参与 CTF 的每个人都至少使用过一次臭名昭著的rockyou.txt单词表,主要是为了执行密码破解活动。
该文件是一份包含1400 万个唯一密码的列表。
源自 2009 年的 RockYou 黑客攻击,创造了计算机安全历史。
多年来,“rockyou 系列”不断发展。
攻击者以原始文件为起点,不断添加来自各种数据泄露的密码。
最终形成了RockYou2021,这是一个包含 84 亿条记录的列表。
这些庞大的单词表用于凭证填充和其他暴力攻击,使未经培训的用户面临未经授权访问的风险,就像Levi Strauss今年经历的那样。
然而现实却有所不同在 2021 版中,我们触及了高数字,但最新版本是(显然)终极融合。
RockYou2024 已由用户“ObamaCare”发布
新版本在 2021 版本的基础上添加了 15 亿条记录,达到了100 亿条记录。
单词表可能用于多种任务,在单个文件中拥有如此多的记录,尤其是在 2024 年数据泄露日益猖獗的情况下,对攻击者来说简直是梦想成真。
用户尚未指定额外记录的性质,但可以确定新数据来自最近泄露的数据库。
对于攻击者来说,这似乎是一种宝贵的资源,但我们需要分析其内容以确定其真正价值。
-
垃圾数据 = 解压后的文件大小为 146GB,但经过分析发现,存在很多差异。
首先,32 个字符中的大多数都是原始哈希值(这违背了ObamaCare的承诺),大约有 15GB,60 个字符串也是如此,大小同样为 15GB。
此外,文件以大量0x00 字符开头,公司名称和随机字符串也是文件的一部分。
ObamaCare 可能不惜一切代价想要达到 100 亿条记录,只是为了出名或引起关注,而不关心额外的数据。
-
真正的威胁和风险= 即使 2021 版本增加了 20 亿条记录,风险和威胁仍然与 3 年前相同。
这个文件的大小不应该像您想象的那样吓到您。
在现实世界的攻击中,攻击者通常更喜欢从地下市场(凭证经纪人)购买目标凭证,而不是诉诸使用大量单词表的暴力攻击。
熟练的攻击者更喜欢更精确的方法。
他们根据目标量身定制自定义单词表。
字典、单词规则和 Kewl、Crunch、Awk 和 Sed 等工具成为他们的首选武器。
使他们能够采取智能行动,而不是依赖庞大的单词表。
虽然像这样的庞大单词表会产生噪音并引起注意,但潜在风险仍然不那么显著。
熟练的攻击者使用有针对性的方法,使用未经提炼的数据进行暴力破解对他们来说效率低下。
随着发布,并没有出现额外的安全崩溃,也没有出现描述的巨大安全风险。
文件下载大小45.61GB,解压后大小145GB
关注下方获取下载地址。