PwdLogy (Social Engineering)

Vander

Well-Known Member
Администратор
16.01.2016
961
2 213
28
#1
Привет! В этой теме я хочу показать интересный инструмент, касающийся не столько пентеста, сколько социальной инженерии. Он поможет нам создавать файлы с паролями, скажем, для одной жертвы, о которой необходимо собрать как можно больше личной информации.

Называется он PwdLogy. Вот страница разработчиков на github -
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться


upload_2016-11-28_17-8-27.png

Взлом паролей не так прост, как создание словаря. Pwdlogy только позволит создать профильный словарь, он генерирует список возможных паролей по заданному набору ключевых слов, дней рождения и т.д. Мы можем использовать Pwdlogy с широким набором инструментов, таких как Burpsuite, THC-Hydra, Hashcat, и многих других.

Установка и запуск:

> git clone
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться


> cd pwdlogy

> chmod a+x pwdlogy.py

Запуск производим от пользователя, состоящего в группе sudo:

upload_2016-11-28_17-9-4.png

Использование:

· Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом все, что вы можете узнать о жертве, что возможно будет отображаться в ее паролях.

· Дни рождения, имена домашних питомцев, имена членов семьи, друзей.

· Поместите все ключевые слова, которые, по вашему мнению, пригодятся в формировании словаря в файл keywords.txt

· Ключевые фразы вы можете добавить в файл – commonPhrases.txt

· Всю добытую информацию о днях рождения и прочих датах, которые как вы полагаете, важны в файл birthday.txt – в этом файле есть пример, как все это туда вписывать.

· Запустив pwdlogy, выполните команду “start”

· Дождитесь завершения. Сгенерированный словарь будет называться gen.txt, и будет находиться в папке c программой.

· Для просмотра дополнительных настроек воспользуйтесь командой “help”

Дополнительные настройки:

· genDictName -- Generated Dictionary File Name

· keywordsFile -- Keywords File Name

· commonPhrases -- Common Phrases File Name

· formatsFile -- Formats File Name

· birthdaysFile -- Birthdays File Name

· useBirthday -- Use birthday

· showAttempts -- display generated words on console

· includeCommon -- Use common phrases

· fastMode -- Use Fast Mode

· spchar -- Special Characters set

· numbers -- Numbers set

· alphabet -- Alphabets set

· l33t -- L33t set

Итак, попробуем инструмент на практике:

upload_2016-11-28_17-9-54.png

Перед запуском я добавил по несколько пунктов в каждый файл - birthday.txt, keywords.txt и commonPhrases.txt

upload_2016-11-28_17-10-17.png

Запускаем генерацию словаря командой:

> “start”


upload_2016-11-28_17-10-51.png

Дождемся окончания процесса:

upload_2016-11-28_17-11-4.png

В папке с pwdlogy забираем готовый, довольно обширный словарь.

upload_2016-11-28_17-11-27.png

На этом все, спасибо за внимание.
 

fear

Member
21.11.2016
13
17
19
#2
Думаю можно отлично дополнить статистикой по самым популярным паролям, должно повысить пробиваемость.

_ttps://xakep.ru/2015/09/15/ashley-madison-passwords-2/

Интересное исследование со слива Ashley Madison.

Большая часть паролей 6-8 символов. В большенстве случаев это были только буквы в маленьком регистре либо буквы с цифрами.

Интересный факт, паролей, полностью совпадающих с именeм пользователя оказалось 630 000 из 11 716 208 из которых уникальных 4 867 246. Т.е. выходит 7.4%


Еще исследование на эту тему _ttps://xakep.ru/2016/11/16/targuess/

В доклaде (PDF), представленном группой, приведена весьма удpучающая статистика. Порядка 0,79-10,44% паролей, заданных самими пользователями, можно подобрать, просто вооружившись списком из дeсяти самых худших паролей, выявленных в ходе любой свежей утечки данных. В частности, популяpность комбинаций 12345 и password даже не думает снижаться. При этом процент людей, которые иcпользуют для создания паролей свои персональные данные, на удивление низок. К пpимеру, свое имя в состав пароля включают от 0,75% до 1,87% пользователей. А свою дату рождeния в пароле задействуют от 1% до 5,16% китайских пользователей.
еще у них в статье есть

Атаки TarGuess оказались успешны в 73% случаев, если говорить о рядовых пользователях (на подбор такого пароля у системы уходит в среднeм 100 попыток). С подбором паролей от аккаунтов технически продвинутых граждaн дело обстоит заметно хуже: атаки были успешны лишь в 32% случаев.
...

Исследователи создали для TarGuess четыре разных алгоритма, но лучше всего показал себя имeнно алгоритм подбора родственных паролей. То есть проблема passwords reuse пpоявила себя во всей красе, так как направленный подбор паролeй работает куда эффективнее, если атакующей стороне уже известен пароль от любого другого аккaунта жертвы. Впрочем, даже когда родственных паролей нет под рукoй, общая успешность атак TarGuess все равно составила 20% на 100 попыток подбора, и 50% на 106 попыток подбора.
кажется чем то невероятным, хз как они опыты проводили, не изучал этот вопрос (хотя там есть pdf отчет на английском). Хотя вот с повторными паролями думаю реально эффективно и 73% близко к реальности, тем более что как я понял они не просто пробуют тот же пароль но и дополняют его.

Проблема с повторными паролями открывает еще пару векторов атак не относящихся сюда:

  • Взлом менее защищенных сайтов где еще есть жертва
  • Создание своего сайта и мотивация к регистрации там. Такой себе беспалевный фишинг.

К слову еще топ может меняться в зависимости от страны или профессии, во 2 случае не сильно, тут наверно так айтишник или нет. Могут влиять какие то сильные новости, вроде выхода новых звездных войн, в статистике худших паролей за 2015 год, пароли solo и starwars подскочили близко к топу.

Собрал топ список из паблик данных (ру, бурж в перемешку):

Код:
123456789
12345678
123456
1234567890
qwertyuiop
123123123
11111111
1q2w3e4r5t
1q2w3e4r
987654321
qazwsxedc
qweasdzxc
1234qwer
12344321
111111
88888888
1qaz2wsx
1234554321
qwertyui
a123456
12345
password
default
qwerty
abc123
pussy
1234567
696969
ashley
fuckme
football
baseball
fuckyou
password1
madison
asshole
superman
mustang
harley
654321
123123
hello
monkey
hockey
letmein
11111
soccer
cheater
kazuga
hunter
shadow
michael
121212
666666
iloveyou
secret
buster
horny
jordan
hosts
zxcvbnm
asdfghjkl
affair
dragon
987654
liverpool
bigdick
sunshine
yankees
asdfg
freedom
batman
whatever
charlie
fuckoff
money
pepper
jessica
asdfasdf
andrew
qazwsx
dallas
55555
131313
abcd1234
anthony
steelers
asdfgh
jennifer
killer
cowboys
master
jordan23
robert
maggie
looking
thomas
george
matthew
7777777
amanda
summer
qwert
princess
ranger
william
corvette
jackson
tigger
computer
123321
qwer1234
123456a
123qwe
1234
access
trustno1
000000
welcome
login
solo
passw0rd
starwars
 

valerian38

Well-Known Member
20.07.2016
383
281
46
Новосибирск
#3
Спасибо. Статья интересная.
Улыбнуло вот это:
· Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом все, что вы можете узнать о жертве, что возможно будет отображаться в ее паролях.

· Дни рождения, имена домашних питомцев, имена членов семьи, друзей.

Я думаю, если у меня все эти данные будут, то инструмент который вы описали в данной статье, останется не востребован, по крайней мере для меня.
 
Симпатии: Понравилось Vander

Vander

Well-Known Member
Администратор
16.01.2016
961
2 213
28
#4
Спасибо. Статья интересная.
Улыбнуло вот это:
· Узнайте имя, ник, хобби, любимую спортивную команду, любимую еду, словом все, что вы можете узнать о жертве, что возможно будет отображаться в ее паролях.

· Дни рождения, имена домашних питомцев, имена членов семьи, друзей.

Я думаю, если у меня все эти данные будут, то инструмент который вы описали в данной статье, останется не востребован, по крайней мере для меня.
Согласен, но это описание инструмента, словами разработчиков.
 

valerian38

Well-Known Member
20.07.2016
383
281
46
Новосибирск
#5
Согласен, но это описание инструмента, словами разработчиков.
Да это понятно, разработчики конечно ребята весёлые. Они бы ещё написали бы так:
Вы должны знать о жертве абсолютно всё на свете, кроме паролей :p

А так конечно спасибо вам, вы делаете очень большую работу, с тем чтобы донести информацию обо всех этих интересных инструментах таким как я
 
Последнее редактирование:
Симпатии: Понравилось Vander

Vander

Well-Known Member
Администратор
16.01.2016
961
2 213
28
#6
Да это понятно, разработчики конечно ребята весёлые. Они бы ещё написали бы так:
Вы должны знать о жертве абсолютно всё на свете, кроме паролей :p

А так конечно спасибо вам, вы делаете очень большую работу, с тем чтобы донести информацию обо всех этих интересных инструментах таким как я
Спасибо Вам, за отзыв.