Credmap: Verifica la reusabilidad de contraseñas en diferentes servicios

No Comments
Dando continuidad al tema tratado en el Podcast del día sábado, de Generación de Contraseñas Seguras en esta oportunidad compartimos una herramienta que tiene como objetivo identificar si se usa la mismas contraseña en mas de un servicio.

Este script esta desarrollado en Python, como lo mencione anteriormente, la herramienta puede ser usada durante un pentesting, con el fin de identifcar si alguna contraseña obtenida de un usuario la cual pueda estar siendo usada en otros servicios, considerando que se tiene una probabilidad elevada de que sea exitoso nuestro acceso a otros servicios.  La instalación del mismo es simple basta con acceder a su repositorio en GITHUB y proceder a descargar con el git clone el mismo se muestra a continuación.


root@snifer:# git clone git@github.com:lightos/credmap.git 

Una vez tenemos descargado la aplicación, e iniciarla con la bandera -h, perteneciente a HELP tenemos el menu de ayuda respectivo a continuación se tiene los parámetros que podemos usar como tambien algunos ejemplos de uso


Usage: credmap.py --email EMAIL | --user USER | --load LIST [options]

Options:
  -h/--help             show this help message and exit
  -v/--verbose          display extra output information
  -u/--username=USER..  set the username to test with
  -p/--password=PASS..  set the password to test with
  -e/--email=EMAIL      set an email to test with
  -l/--load=LOAD_FILE   load list of credentials in format USER:PASSWORD
  -f/--format=CRED_F..  format to use when reading from file (e.g. u|e:p)
  -x/--exclude=EXCLUDE  exclude sites from testing
  -o/--only=ONLY        test only listed sites
  -s/--safe-urls        only test sites that use HTTPS.
  -i/--ignore-proxy     ignore system default HTTP proxy
  --proxy=PROXY         set proxy (e.g. "socks5://192.168.1.2:9050")
  --list                list available sites to test with


Como usar tenemos a continuación:

./credmap.py --username janedoe --email janedoe@email.com
./credmap.py -u johndoe -e johndoe@email.com --exclude "github.com, live.com"
./credmap.py -u johndoe -p abc123 -vvv --only "linkedin.com, facebook.com"
./credmap.py -e janedoe@example.com --verbose --proxy "https://127.0.0.1:8080"
./credmap.py --load creds.txt --format "e.u.p"
./credmap.py -l creds.txt -f "u|e:p"
./credmap.py -l creds.txt
./credmap.py --list

Al proceder a trabajar con ella me puse a jugar con una de mis cuentas de GMAIL y  una contraseña que tenia que haber cambiado en su debido momento, lo cual me muestra que en un servicio se mantiene en este caso es Bitbucket como se muestra a continuación.

El resultado cuando termina de realizar todo el proceso de verificación es el siguiente:


Si te gustaria apoyar al proyecto puedes generar la verificación para otros servicios, la vía de colaboración es bastante simple y consta de hacer uso de un Template el cual con las pruebas necesarias nos permite ayudar al proyecto.


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
                 
que mejor manera de colaborar y seguir la guia que cuenta la herramienta desde aquí dar una felicitación a lightos el creador de la herrmienta.
"No temo a los ordenadores; lo que temo es quedarme sin ellos" -- Isaac Asimov

Regards,
Snifer

0 comentarios

Publicar un comentario