weak password dictionary used by Mirai malware

Through dmesg and /proc/13181/exe 

I capture so called qemu,but actually it is actually not.

I execute a command

strings qemu 

The output is 

...

root

Pon521

Zte521

root621

vizxv

oelinux123

wabjtam

Zxic521

tsgoingon

123456

xc3511

solokey

default

a1sev5y7c39k

hkipc2016

unisheen

Fireitup

hslwificam

jvbzd

1001chin

system

zlxx.

admin

7ujMko0vizxv

1234horses

antslq

xc12345

xmhdipc

icatch99

founder88

xirtam

taZz@01

/*6.=_ja

12345

t0talc0ntr0l4!

7ujMko0admin

telecomadmin

ipcam_rt5350

juantech

1234

dreambox

IPCam@sw

zhongxing

hi3518

hg2x0

dropper

ipc71a

root123

telnet

ipcam

grouter

GM8182

20080826

3ep5w2u

uFwfBht5

VnT3ch@dm1n

admin123

admin1234

admin@123

BrAhMoS@15

GeNeXiS@19

firetide

2601hx

service

password

supportadmin

telnetadmin

admintelecom

guest

video

user

nobody

daemon

1cDuLJ7c

tlJwpbo6

S2fGqNFs

OxhlwSG8

lJwpbo6

tluafed

vstarcam2015

20150602

support

hikvision

e8ehomeasb

e8ehome

e8telnet

cisco

...

I also referred to Anity Lab


The end


SHA1: c9151badebad2dac66dedea508f0b7bf2c1baa2a


评论

发表评论

此博客中的热门博文

制作Windows远控(序言二)

章节三(奇特的根本规矩) 0 在远控的代码混淆和反分析措施中投入的精力应至少与开发远控本身一样多. 1 只用rootkit,bootkit则其它的人才去做(Contact t.me/bytecategory) 2 remember make it clean. 3 AV only     not EDR  在sandbox{.}qianxin{.}com/blog/2025/12/18/tq-sandbox-BYOVD-detect-attack/ 来自奇安信的guys似乎认为BYOVD是最隐蔽 危害性极强的操作. 但从securelist{.}com/finspy-unseen-findings/104322/ 可以看出FinFisher至少领先了他们14年..... What Can I say?QiHoo Out! 4 还有gfwvector的rules 忘在哪了?         
阅读全文

几年前的技俩

看我如何零元购韩国住宅IP 不良林曾说: 纯净的住宅IP是实现某些特殊业务的前提,比如跨境电商,运营tiktok,解锁流媒体,薅甲骨文永久免费VPS等. 其中这句话 由于住宅IP一般是以HTTP或者SOCKS代理的形式出售 就很可疑了. 正所谓有需求的地方,就有利益.僵尸网络控制的节点天然适合构建住宅代理,这似乎是近年来DDoS圈的一个潮流,把业务从单一的攻击,扩展到网络代理. 比如被奇安信X实验室曝光的大盘子的业务涵盖流量代理,DDoS攻击,互联网提供内容的服务盗版流量等. 所以今天,我带来一个惊人的发布. 那就是教你零元购住宅IP. (建议看完后再上机) 我认识每个孩子和他们妈,他们做梦都想要一个除了搬瓦工的住宅IP. 假设一下8.8.4.4是一只可怜的在韩国的肉只因,1.1.1.1和8.8.8.8是你的VPS 先做准备工作 ~# file sh ../sh: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.3, stripped ~# r2 -A sh [0x0000bb70]> pdf @main ; UNKNOWN XREF from entry0 @ 0xbba0 ┌ 124: int main (int32_t arg2); │ ; var int32_t var_4h @ sp+0x2c │ ; arg int32_t arg2 @ r1 │ 0x0000bfa0 0dc0a0e1 mov ip , sp │ 0x0000bfa4 60 00 9fe5 ldr r0 , [ str.busybox ] ; [0xc00c:4]=0x4d67b "busybox" ; "{\xd6\x04" ; int32_t arg1 │ 0x0000bfa8 30 d8 2d e9 ...
阅读全文

制作Windows远控(序言一)

章节一   关于Windows远控的一些事  想要做出来,你必须了解:  Win32 API.不仅仅,比如如何注入Shellcode,所以须了解asm,也就是x64/x86汇编.  C/C++的语法,标准库,数据结构等(或者你用其他的高级语言例如C Sharp),Socket etc.  为了继承www.yuque.com/wormwaker/tkpgqw/ppfnlcaqdkcsfmkd (有几个标识符(方法) 比如"显示器" "压缩文件"的声明 我们不再重定义)的伟大叙述 我于是成了它的子类. 章节二   驱动程序 比如CreateFile先经过kernel32.dll, 然后经过kernelbase.dll, 再由它调用ntdll.dll中的NTCreateFile 触发系统调用,进入Ring0 杀毒软件通过替换劫持已经加载的ntdll.dll的内存映像, 在函数里面添加jmp指令 这就是inline hook ntdll.dll进入ring0的方式是通过syscall指令 研究人员逆向分析了ntdll系统调用的编号和参数 然后在用户态自己实现了一套等效的syscall封装 这就是直接系统调用绕过 再看安全产商是如何应对的 CPU执行函数时要把调用者的返回基址压到栈上 然后跳转到函数所在的位置 这样函数执行完才能找到回来的路 syscall也是类似的跳转 如果是正常的用户态api调用流程 调用链会先经过ntdll,再由它发起syscall,也就是说, 当从内核返回到用户层时 栈顶的返回地址应该位于ntdll的地址范围 但如果由攻击者直接在用户态自己执行syscall, 此时当ring0返回时, 栈顶的返回地址就会落在主程序模块内 引用自github.com/AzidoPP的视频 纠正了若干错别字 ring0用于内核代码和驱动程序,驱动程序的文件扩展名是.sys. 我们可以用SCM方法加载驱动 比如MD5是dfb69795d1991da6f9edaa38d2a71427的A1SysTest v0.3.0.1.exe就用的是SCM方法. 用WinDbg验证 0:006...
阅读全文