Siguiendo con nuestro PASSWORD 101, quiero mostrarles dos herramientas para la creación de diccionarios para fuerza bruta: IKnowU y Rsmangler.
IKNOWU
IKnowU es una herramienta desarrollada en Python por quien escribe este blog. Puede ser descargada de:
https://github.com/alearea51/IKn0wU
En entradas anteriores he mostrado algunas funcionalidades de esta herramienta como por ej. Obtención de datos de dominios y personas de Argentina. Pueden ver la entrada aquí:
http://mamaquieroserpentester.blogspot.com.ar/2014/06/welcome-to-ikn0wu.html
Esta vez, la utilizaremos para crear una lista de posibles passwords para testear con Brutus o Hydra por ejemplo.
Ejecutamos IKnowU y seleccionamos la opción 7:
Nos pedirá que ingresemos nombre, apellido, edad, gustos y organización asociadas a la persona poseedora de la cuenta a auditar.
Como se puede observar a partir de la edad nos crea claves que poseen el año de nacimiento de la persona (algo que suele verse bastante en los passwords). También nos coloca en mayúscula la primera letra de algunas palabras. Ahora pasemos a la siguiente herramienta.
RSMANGLER
Esta herramienta (escrita en Ruby) es un Keyword Based Wordlist Generator y toma como entrada un archivo de texto y, realizando distintas operaciones sobre él, genera un listado de palabras para que guardemos en otro archivo.
Lo podemos descargar de:
https://www.randomstorm.com/resources/free-tools/rsmangler/
Al correr rsmangler sin parámetros podemos ver sus opciones:
Como pueden ver, podemos específicar multiples opciones para generar archivos mas completos.
Generando un archivo wordlist
Creamos un archivo que contenga alguna o algunas palabras que creemos pueden formar parte de la contraseña.
Y ahí lo tenemos, el listado generado, listo para guardar en un archivo y probar con nuestra herramienta de fuerza bruta preferida.
Con esto damos por finalizado nuestro PASSWORD 101, espero que haya sido de utilidad.
Saludos
HAPPY HACKING!