محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

کمبولیست چیست؟ آشنایی با Combolist به زبان خیلی ساده

کبولیست یا Combolist چیست؟ خیلی برام جالب بود که حتی یک مطلب کامل و جامع در خصوص اینکه کمبولیست چی هست در زبان انگلیسی هم وجود نداشت یا من نتونستم پیدا کنم ! همش در حد چند جمله کفایت کرده بودن اون هم در فروم های زیرزمینی پس یه چیز کامل در خصوص این موضوع در توسینسو امروز قرار می دیم که دوستان استفاده کنن . خوب وقتی صحبت از کمبو یا کمبولیست ( Combo or Combolist ) میشه اکثر دوستان با توجه به پیشینه کامپیوتری که دارن ذهنشون به سمت Combo box در برنامه نویسی میره که باید بگم هیچ ارتباطی بین اینها وجود نداره فقط یک تشابه اسمی اولیه هست .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

وقتی ما میخایم به یه وب سایت به عنوان هکر یا نفوذگر حمله کنیم ، یکی از چیزهایی که خیلی مهم هست عبور کردن از مرحله Username و Password ای هست که تو سایت در قسمت Login تعریف شده ، حالا برای عبور از این قسمت شما چند تا راهکار مختلف دارید ، یکی اینکه بیاین بصورت تصادفی یا رندوم با استفاده از تکنیک هایی که کلی کاراکتر و حرف مختلف رو تست می کنن در اصطلاح Brute Force کنید شبیه به همین فیلم های علمی و تخیلی که یه چیزی میچرخه میچرخه تا مثلا پسورد به دست میاد و وارد میشه ... که اینکار عملا در خیلی از وب سایت های امروزی به خاطر محدود کردن تعداد ورود ناموفق عملا تا حد زیادی ممکن نیست و جلوی آدرس شما تا مدتی بسته میشه .

اما روش بهتری هم هست که درصد پیدا کردن یک یا چند Username و Password معتبر رو روی وب سایت افزایش میده که اسمش رو میزاریم روش تست کردن Combolist ها ... وقتی میگیم کمبولیست یعنی یک لیست وجود داره از احتمالات ، چه احتمالاتی ؟ احتمالات برابر بودن نام کاربری و رمز عبوری که در وب سایت های دیگه استفاده شده و در این وب سایت هم قابل استفاده هست . به زبان ساده تر من لیستی از Username و Password در کنار هم دارم و این لیست رو به ابزارهای تستم میگم که توی فیلد های Login وب سایت تست کن به جای اینکه خودت لیست درست کنی با Brute Force ... این روش به مراتب درصد احتمال برنده شدنش خیلی بیشتر از موارد دیگه هست . پس تا اینجا متوجه شدیم که کمبولیست به زبان ساده یک ترکیب ساده از نام کاربری و رمز عبور هست که با استفاده از کاراکتر دو نقطه : از همدیگه به شکل زیر جدا شدن :

Usernam:Password
---------------------
alphaman2015:kimbatoo
joellagriffin:96529652
8angeloblu2:orione
beeredup:traxxas
bianka.bruemmer:123456789
driver2351:n6amjefhh5sr
butter_ball_11288:love
cemil_ende:123456
sumthingrandom06:6rustee
gearyc:sarahdavid
erik.nieman:stryker
web4:basket00
sman1:aleunam
david:david@pierceandthorn

لیست بالا یه نمونه کمبولیست هست که شما می تونید ازش برای تست کرک کردن صفحات لاگین وب سایت ها استفاده کنید ازش ولی همیشه هم این شکلی نیستن و شما ممکنه در قالب ایمیل یه سری کمبولیست به شکل زیر هم داشته باشید :

Email:Password
---------------------
p.vassort@yahoo.es:bikers
osler@easy.com:gooood
p_2ii@hotmail.com:51508249
mame@ggaweb.ch:Ma18c5l
marc7071@swbell.net:little
markllo@mail.com:fafner
matt_ubertini@yahoo.com:chikara
mattbetea@wowway.com:3nipples
maulee@aol.com:schmoe
mbbmpd@hunterlink.net.au:cat888
nismogtr02@yahoo.com:kelly

خوب مثال های بالا رو دیدید ؟ قسمت اول رو بهش میگن نام کاربری username یا ایمیل و قسمت بعد از دو نقطه میشه پسورد که وقتی میخایم کرک وب سایت ها رو تست کنیم نرم افزارها خودشون این قسمت رو تشخیص میدن ... کمبولیست در قالب یک فایل متنی به شما داده میشه تا ورودی یک ابزار برای تست کردن باشه و معمولا بصورت دستی کسی نمیشینه کمبولیست تست کنه .

آیا کمبولیست ها تصادفی ایجاد می شوند ؟

اگه فکر می کنید این لیست ها بصورت تصادفی ایجاد میشه کاملا در اشتباه هستید . یعنی این لیست ها به احتمال قریب به یقین به هر حال در یک جایی در دنیا مورد استفاده قرار می گرفته و خورد خورد جمع شده تا به دست شما رسیده یا اینکه خودتون تونستید این لیست رو ایجاد کنید اما از چه طریقی ؟ وقتی یک وب سایت هک میشه یا کرک میشه و پایگاه داده Username و Password هاش لو میره ، این لیست میره توی کمبولیست یک هکر قرار می گیره و در هر جای دیگه می تونه استفاده بشه ، به زبان ساده اگر شما الان کمبولیستی دارید قطعا این نام کاربری و رمز عبور در جایی از دنیا مورد استفاده قرار می گرفته و معتبر هست حتی اونهایی که در مثال های بالا گفتیم در یه وب سایت در یه جای دنیا معتبر هستن و یک مثال فرضی نیستن . روش های متنوعی برای پیدا کردن این لیست ها وجود داره اما بصورت کلی معمولا از لیست های آماده استفاده میشه و کمتر کسی خودش لیست درست می کنه .

آیا کمبولیست های خارجی برای وب سایت ایرانی قابل استفاده هست ؟

در جوابش باید بگم در نود و نه درصد ماجرا کمبولیست های خارجی برای وب سایت های ایرانی جواب نمیدن ، اون یک درصد هم برای کاربرهای ایرانی هست که در وب سایت خارجی ثبت نام کردن و نام کاربری و رمزعبورشون لو رفته و تو لیست قرار گرفته و برعکس این موضوع هم صادق هست و شما نمی تونید انتظار داشته باشید کمبولیست شما که تو ایران هستید برای یک وب سایت خارجی که کل کاربراش خارجی هستن قابل استفاده باشه و منطقی هست ! طبیعتا ما داریم در مورد نام کاربری و رمز عبور واقعی صحبت می کنیم و ایرانی با خارجیش خیلی تفاوت داره .

درصد موفقیت کمبولیست چقدر است ؟

بزارید اینجوری بگم که درصد موفقیت کمبولیست بستگی به خیلی از موارد داره ، اولیش این هست که وب سایت شما خارجی هست یا ایرانی ، وب سایت شما ( منظور وب سایت هدف ) مخاطبش چه افرادی هستند ، وب سایت شما برای کدوم کشور هست و ... یعنی شما مثلا اگر یک کمبولیست داشته باشید که کاربرهای بازی Clash Of Clans رو داخلش داره و یک کمبولیست دیگه دارید که لیستی از کاربرهای اینستاگرام ایرانی رو داره درصد موفقیت شما برای تست کردن این دو تا لیست برای طرف مقابل خیلی کم هست ولی مثلا شما اگر کمبولیست بازی Clash Of Clans رو که مثلا 10 هزار کاربر داره رو روی بازی دیگه ای مثل League Of Legends تست کنید درصد موفقیت شما خیلی خیلی بالا میره چون احتمال اینکه از این 10 هزار نفر 100 نفر توی بازی دیگه ای مشابه ثبت نام کرده باشن خیلی زیاد هست .

پس موضوع فعالیت وب سایت های هدف خیلی مهم هست . مثلا اگر در ایران شما از وب سایت توسینسو استفاده می کنید این احتمال بسیار زیاد هست که شما در وب سایت های مشابهی که در حوزه آموزش امنیت هستن هم با همین نام کاربری و رمز عبور مشابه ثبت نام کرده باشید . امیدوارم مورد توجه شما قرار گرفته باشه اگر نظری در خصوص این مطلب دارید در ادامه همین مقاله مطرح کنید خوشحال میشیم .


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات