Статья PwdLogy (Social Engineering)

Привет! В этой теме я хочу показать интересный инструмент, касающийся не столько пентеста, сколько социальной инженерии. Он поможет нам создавать файлы с паролями, скажем, для одной жертвы, о которой необходимо собрать как можно больше личной информации.

Называется он PwdLogy. Вот страница разработчиков на github - https://github.com/tch1001/pwdlogy

Взлом паролей не так прост, как создание словаря. Pwdlogy только позволит создать профильный словарь, он генерирует список возможных паролей по заданному набору ключевых слов, дней рождения и т.д. Мы можем использовать Pwdlogy с широким набором инструментов, таких как Burpsuite, THC-Hydra, Hashcat, и многих других.

Установка и запуск:

> git clone https://github.com/tch1001/pwdlogy

> cd pwdlogy

> chmod a+x pwdlogy.py

Запуск производим от пользователя, состоящего в группе sudo:

Использование:

· Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом все, что вы можете узнать о жертве, что возможно будет отображаться в ее паролях.

· Дни рождения, имена домашних питомцев, имена членов семьи, друзей.

· Поместите все ключевые слова, которые, по вашему мнению, пригодятся в формировании словаря в файл keywords.txt

· Ключевые фразы вы можете добавить в файл – commonPhrases.txt

· Всю добытую информацию о днях рождения и прочих датах, которые как вы полагаете, важны в файл birthday.txt – в этом файле есть пример, как все это туда вписывать.

· Запустив pwdlogy, выполните команду “start”

· Дождитесь завершения. Сгенерированный словарь будет называться gen.txt, и будет находиться в папке c программой.

· Для просмотра дополнительных настроек воспользуйтесь командой “help”

Дополнительные настройки:

· genDictName -- Generated Dictionary File Name

· keywordsFile -- Keywords File Name

· commonPhrases -- Common Phrases File Name

· formatsFile -- Formats File Name

· birthdaysFile -- Birthdays File Name

· useBirthday -- Use birthday

· showAttempts -- display generated words on console

· includeCommon -- Use common phrases

· fastMode -- Use Fast Mode

· spchar -- Special Characters set

· numbers -- Numbers set

· alphabet -- Alphabets set

· l33t -- L33t set

Итак, попробуем инструмент на практике:

Перед запуском я добавил по несколько пунктов в каждый файл - birthday.txt, keywords.txt и commonPhrases.txt

Запускаем генерацию словаря командой:

> “start”

Дождемся окончания процесса:

В папке с pwdlogy забираем готовый, довольно обширный словарь.

На этом все, спасибо за внимание.

 

[fear]

Думаю можно отлично дополнить статистикой по самым популярным паролям, должно повысить пробиваемость.

_ttps://xakep.ru/2015/09/15/ashley-madison-passwords-2/

Интересное исследование со слива Ashley Madison.

Большая часть паролей 6-8 символов. В большенстве случаев это были только буквы в маленьком регистре либо буквы с цифрами.

Интересный факт, паролей, полностью совпадающих с именeм пользователя оказалось 630 000 из 11 716 208 из которых уникальных 4 867 246. Т.е. выходит 7.4%


Еще исследование на эту тему _ttps://xakep.ru/2016/11/16/targuess/

В доклaде (PDF), представленном группой, приведена весьма удpучающая статистика. Порядка 0,79-10,44% паролей, заданных самими пользователями, можно подобрать, просто вооружившись списком из дeсяти самых худших паролей, выявленных в ходе любой свежей утечки данных. В частности, популяpность комбинаций 12345 и password даже не думает снижаться. При этом процент людей, которые иcпользуют для создания паролей свои персональные данные, на удивление низок. К пpимеру, свое имя в состав пароля включают от 0,75% до 1,87% пользователей. А свою дату рождeния в пароле задействуют от 1% до 5,16% китайских пользователей.

еще у них в статье есть

Атаки TarGuess оказались успешны в 73% случаев, если говорить о рядовых пользователях (на подбор такого пароля у системы уходит в среднeм 100 попыток). С подбором паролей от аккаунтов технически продвинутых граждaн дело обстоит заметно хуже: атаки были успешны лишь в 32% случаев.
...

Исследователи создали для TarGuess четыре разных алгоритма, но лучше всего показал себя имeнно алгоритм подбора родственных паролей. То есть проблема passwords reuse пpоявила себя во всей красе, так как направленный подбор паролeй работает куда эффективнее, если атакующей стороне уже известен пароль от любого другого аккaунта жертвы. Впрочем, даже когда родственных паролей нет под рукoй, общая успешность атак TarGuess все равно составила 20% на 100 попыток подбора, и 50% на 106 попыток подбора.

кажется чем то невероятным, хз как они опыты проводили, не изучал этот вопрос (хотя там есть pdf отчет на английском). Хотя вот с повторными паролями думаю реально эффективно и 73% близко к реальности, тем более что как я понял они не просто пробуют тот же пароль но и дополняют его.

Проблема с повторными паролями открывает еще пару векторов атак не относящихся сюда:

• Взлом менее защищенных сайтов где еще есть жертва
• Создание своего сайта и мотивация к регистрации там. Такой себе беспалевный фишинг.

К слову еще топ может меняться в зависимости от страны или профессии, во 2 случае не сильно, тут наверно так айтишник или нет. Могут влиять какие то сильные новости, вроде выхода новых звездных войн, в статистике худших паролей за 2015 год, пароли solo и starwars подскочили близко к топу.

Собрал топ список из паблик данных (ру, бурж в перемешку):

123456789
12345678
123456
1234567890
qwertyuiop
123123123
11111111
1q2w3e4r5t
1q2w3e4r
987654321
qazwsxedc
qweasdzxc
1234qwer
12344321
111111
88888888
1qaz2wsx
1234554321
qwertyui
a123456
12345
password
default
qwerty
abc123
pussy
1234567
696969
ashley
fuckme
football
baseball
fuckyou
password1
madison
asshole
superman
mustang
harley
654321
123123
hello
monkey
hockey
letmein
11111
soccer
cheater
kazuga
hunter
shadow
michael
121212
666666
iloveyou
secret
buster
horny
jordan
hosts
zxcvbnm
asdfghjkl
affair
dragon
987654
liverpool
bigdick
sunshine
yankees
asdfg
freedom
batman
whatever
charlie
fuckoff
money
pepper
jessica
asdfasdf
andrew
qazwsx
dallas
55555
131313
abcd1234
anthony
steelers
asdfgh
jennifer
killer
cowboys
master
jordan23
robert
maggie
looking
thomas
george
matthew
7777777
amanda
summer
qwert
princess
ranger
william
corvette
jackson
tigger
computer
123321
qwer1234
123456a
123qwe
1234
access
trustno1
000000
welcome
login
solo
passw0rd
starwars

 

[valerian38]

Спасибо. Статья интересная.
Улыбнуло вот это:
· Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом все, что вы можете узнать о жертве, что возможно будет отображаться в ее паролях.

· Дни рождения, имена домашних питомцев, имена членов семьи, друзей.

Я думаю, если у меня все эти данные будут, то инструмент который вы описали в данной статье, останется не востребован, по крайней мере для меня.

 

[Vander]

Спасибо. Статья интересная.
Улыбнуло вот это:
· Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом все, что вы можете узнать о жертве, что возможно будет отображаться в ее паролях.

· Дни рождения, имена домашних питомцев, имена членов семьи, друзей.

Я думаю, если у меня все эти данные будут, то инструмент который вы описали в данной статье, останется не востребован, по крайней мере для меня.

Согласен, но это описание инструмента, словами разработчиков.

 

[valerian38]

Согласен, но это описание инструмента, словами разработчиков.

Да это понятно, разработчики конечно ребята весёлые. Они бы ещё написали бы так:
Вы должны знать о жертве абсолютно всё на свете, кроме паролей

А так конечно спасибо вам, вы делаете очень большую работу, с тем чтобы донести информацию обо всех этих интересных инструментах таким как я

 

[Vander]

Да это понятно, разработчики конечно ребята весёлые. Они бы ещё написали бы так:
Вы должны знать о жертве абсолютно всё на свете, кроме паролей

А так конечно спасибо вам, вы делаете очень большую работу, с тем чтобы донести информацию обо всех этих интересных инструментах таким как я

Спасибо Вам, за отзыв.