Wordlists

1. Passwort-Cracking

Dieser Bereich umfasst Wordlists, die für das Knacken von Passwörtern genutzt werden, z.B. mittels Brute-Force oder Wörterbuch-Angriffen.

Top 3 Wordlists:

  • rockyou.txt: Enthält Millionen von Passwörtern, die aus kompromittierten Datenlecks stammen. Sie ist eine der bekanntesten Listen für allgemeines Passwort-Cracking.

  • Probable-Wordlists: Eine Liste, die Passwörter nach Wahrscheinlichkeit sortiert, basierend auf Analysen realer Datenlecks. Diese ist nützlich für Angriffe, bei denen eine hohe Erfolgswahrscheinlichkeit innerhalb kurzer Zeit wichtig ist.

  • darkc0de.txt: Diese Liste ist breiter gefächert und enthält eine Mischung aus gängigen und zufälligen Passwörtern. Verfügbar in SecLists.

2. Benutzernamen Bruteforcing

Dieser Bereich fokussiert sich auf die Identifizierung von häufig verwendeten Benutzernamen, um Zugang zu Systemen zu erlangen.

Top 3 Wordlists:

  • common-usernames.txt: Eine Sammlung der am häufigsten verwendeten Benutzernamen, wie admin, user, root. Zu finden in SecLists.

  • top-usernames-shortlist.txt: Eine kleinere, fokussierte Liste mit Benutzernamen, die eine höhere Erfolgsquote bei einfachen Login-Formularen haben. Teil von SecLists.

  • names.txt: Eine Liste gebräuchlicher Vornamen, die oft als Benutzernamen verwendet werden. Ebenfalls in SecLists verfügbar.

3. Directory Busting / Web-Content Discovery

Wordlists in diesem Bereich werden für Tools wie Gobuster oder Dirb verwendet, um versteckte Verzeichnisse oder Dateien auf Webservern zu finden.

Top 3 Wordlists:

  • directory-list-2.3-medium.txt: Diese Liste enthält viele gängige Verzeichnisnamen und wird oft für die Entdeckung versteckter Webverzeichnisse genutzt. Verfügbar in SecLists.

  • common.txt (Dirb): Standardmäßig bei Dirb enthalten, sie deckt die häufigsten Verzeichnis- und Dateinamen ab.

  • raft-large-directories.txt: Teil der RAFT Wordlists, optimiert für das Finden von größeren und weniger üblichen Verzeichnissen.

4. DNS Fuzzing

DNS Fuzzing wird verwendet, um Subdomains einer Domain zu entdecken. Dies hilft, versteckte Subdomains zu identifizieren, die möglicherweise nicht direkt verlinkt sind.

Top 3 Wordlists:

  • dns-Jhaddix.txt: Eine speziell zusammengestellte Liste für das Subdomain Fuzzing, die häufige und interessante Subdomains enthält. Teil von SecLists.

  • subdomains-top1million-110000.txt: Optimiert für schnelles DNS-Fuzzing mit den am häufigsten genutzten Subdomains. Zu finden in SecLists.

  • fierce-hostlist.txt: Eine Wordlist, die oft mit dem Tool Fierce verwendet wird, um Subdomains zu finden. Sie ist speziell für die Erkennung von häufigen DNS-Namen optimiert.

5. Fuzzing (z.B. Parameter Testing, Input Fields)

Diese Listen sind für das Fuzzing von Parametern, URLs oder Input-Feldern gedacht, um mögliche Schwachstellen zu identifizieren.

Top 3 Wordlists:

  • burp-parameter-names.txt: Diese Liste enthält die gängigsten Parameter, die bei HTTP-Anfragen verwendet werden, um Parameter-basierte Angriffe zu testen. Zu finden in SecLists.

  • fuzzdb/attack-payloads: Enthält spezifische Payloads für verschiedene Angriffsszenarien, z.B. SQLi, XSS, LFI. FuzzDB ist eine der umfassendsten Sammlungen und kann auf GitHub gefunden werden.

  • intruder-params.txt: Eine Liste von Parametern für Tools wie Burp Suite Intruder, um Schwachstellen in Webapplikationen zu entdecken. Teil von SecLists.

6. WPA/WPA2 WLAN Passwort-Cracking

Diese Listen werden für das Knacken von WPA/WPA2-Netzwerkschlüsseln verwendet.

Top 3 Wordlists:

  • wpa-top500.txt: Enthält die 500 am häufigsten verwendeten WLAN-Passwörter. Zu finden in SecLists.

  • wifi_common.txt: Diese Liste umfasst häufig vorkommende WLAN-Keys und ist besonders nützlich, wenn Standardpasswörter oder benutzerdefinierte, aber schwache Passwörter verwendet werden.

  • darkwpa.txt: Eine erweiterte Liste mit realen WPA/WPA2-Passwörtern aus Datenlecks. In verschiedenen Sammlungen wie SecLists zu finden.

PreviousSpraying attackNextSearch Exploits

Last updated