duda sobre combo lists y crackers

hola amigos pues tengo una duda, de donde saco combo lists? he leido que usando inyecciones sql pero veo que es dificil porque las paginas no son vulnerables ademas si acaso fueron vulnerables una vez en el pasado pero actualmente no lo son, estoy pensando que es un engaño de estos sujetos que dicen que sacan los passwords desde este tipo de programas para crackear y para mi como sacan passwords muy seguido lo que usan ellos es vulgar phishing, troyanos y keyloggers pero parece que estos sujetes quisieran hacerle creer a los demas que ellos crackean y sacan los combos desde inyecciones SQL, para mi el negocio de ellos es vender los combos (que los he visto vendiendo) y luego con esos combos muy probablemente no sacas ningun password osea quedas estafado, que piensan ustedes de esto?

Tienes dos opciones
1. Te los haces tú
2. Los compras hechos

En cualquier caso ningún combo-list te garantiza ningún tipo de resultado