domingo, 26 de agosto de 2018

Hackeando a Manolo el Barbas [Parte 2] - En busca de la contraseña

Comenzamos la segunda parte de la serie de Posts "Hackeando a Manolo el Barbas", si no habéis leído los otros anteriores aconsejo hacerlo antes de seguir con este.

  1. Obtención de información pública de la persona o Doxing.
  2. Buscando y adivinando la contraseña.
  3. Obtención de contraseña con engaños y saltando el 2FA.
  4. Robo de datos a través de Malware.
El otro día obtuvimos toda la información que podíamos sobre nuestro amigo Manolo, hoy lo que vamos a hacer es intentar obtener su contraseña intentando no interactuar con el usuario.

La gente que me conoce sabe que tengo mis diferencias con Chema Alonso, pero esta vez tengo que parafrasearlo (por mucho que odie hacer esto). En muchas ocasiones cuando nos preguntan si podemos hackear la contraseña de la pareja de alguien lo primero que nos viene a la cabeza es: ¿Pero has buscado en Google?

Aunque parezca irreal hay una cantidad de contraseñas de gente filtrada por Google impresionante, y como anteriormente conseguimos el correo de la persona que queríamos hackear esto nos resultará una tarea trivial.


Para quien no lo conozca les quiero hablar de mi amigo "Pastebin". Pastebin es una página Web que sirve exclusivamente para almacenar texto y es usado por la gente para almacenar información, por lo que podemos encontrar de todo, ya que esta información es indexada por Google.

Los Hackeritos (es gracioso porque son hackers pequeños) usan pastebin para compartir contraseñas que han hackeado o en otro caso para buscar cuentas sobre una aplicación o si ha sido filtrada la cuenta de una contraseña.

Para que se entienda mejor voy a poner un ejemplo muy sencillito de una búsqueda en Google;

- inurl:pastebin.com netflix ||  Esto nos devolvería una gran cantidad de pastes con cuentas de Netflix (Si lo vais a usar con las herramientas de Google buscad indexadas de la última semana que no esten quemadas).

De esta misma forma podríamos buscar la cuenta de una persona, y lo haríamos de la siguiente manera:

- inurl:pastebin.com "manoloelbarbas127@gmail.com" || Y aquí veríamos todos los pastes donde se ha indexado el correo de la persona que queríamos hackear.



Y así de simple tendríamos la contraseña, ya hemos acabado por hoy, hasta otro día...

Na, na, na, es de coña aún podemos encontrar contraseñas filtradas por internet de otras formas, así que vamos a seguir buscando.

Hace un tiempo hicieron una recopilación de contraseñas filtradas en texto plano, también podemos mirar aquí, la recopilación pesa unos 40GB por lo que es probable que encontremos la contraseña de nuestra víctima.

También hay algunas falsos positivos, por lo que si alguna de las contraseñas no funciona no perdáis mucho tiempo con ella.

La recopilación la podemos encontrar aquí: https://mega.nz/#!QYsSlArZ!rRVlWbnc_9trPfX8Zq7yOFocLCsMDHKIlReJIYw428I

Además de esto, esta recopilación viene con un script que nos ayudará a buscar las contraseñas, así que vamos a buscar la de nuestro amigo Manolo (si no supiéramos alguna de las letras del correo podemos sustituirla por un punto para que nos muestre todas las opciones posibles).



Hasta ahora vamos bien, pero puede ser que nunca nadie nos haya hecho el trabajo antes, así que tenemos que buscar otras formas de encontrar nuestras tan preciadas contraseñas.

En muchas ocasiones se filtran Bases de Datos con usuarios, correos electrónicos y contraseñas, el problema aquí radica en que, excepto que la aplicación la haya programado un simio, la contraseña no estará en texto plano (tal cual es).

Las contraseñas nos las vamos a encontrar Hasheadas, para quien no sepa lo que significa puede ver como funciona esto aquí. https://www.hackingdesdecero.org/2016/04/clase-06-hashes-y-encriptacion-hibrida.html

Bueno lo que vamos a hacer ahora es entrar en "Have I been pwned" e introducir el correo.


Este sitio lo que hace es decirnos si el correo introducido se encuentra en alguna Base de Datos filtrada, he puesto otro correo en lugar de el de Manolo debido a que al ser un correo creado explicitamente para esta serie de posts y la charla no se encuentra en ninguna Base de Datos.

Igualmente veamos en que Bases de Datos está el correo introducido.


La lista de Bases de Datos donde donde se encuentra este correo es la siguiente:

  1. 000webhost
  2. Adobe
  3. Separate Data Breaches
  4. Army Force Online
  5. Bitly
  6. CashCrate
  7. DailyMotion
  8. Disqus
  9. Dropbox
  10. Edmodo
  11. Evony
  12. Exploit.ln
  13. imesh
  14. last.fm
  15. lifeboat
  16. Linkedin
Ya que sabemos en que Bases de Datos está este usuario deberemos buscarlas (en muchas ocasiones son bastantes dificiles de encontrar o hay hasta que pagar), yo como ayuda voy a dejar esta recopilación de Bases de Datos en RaidForums, donde podemos ver que hay algunas de las enumeradas.



Una vez descargada la Base de Datos nos encontraremos la contraseña Hasheada, que será algo como esto:

a0e800bd5155387ba40c162948cab8cf

Como sabemos los Hashes son irreversibles, por lo tanto desde el hash no podemos obtener la contraseña en texto plano, de igual forma, existen Bases de Datos con un gran número de hashes, por lo que podemos ver si nuestro hash está en una de estas Bases de Datos. Yo aconsejo https://crackstation.net/, ya que de las que he visto es la más completa.


Por desgracia en esta ocasión no la hemos obtenido, por lo que vamos a intentar Crackearla a través de fuerza bruta.

Para hacer eso aconsejo leer estos dos posts, donde explica como hacerlo:

Como vemos en los posts anteriores, además de fuerza bruta, existen los ataques de diccionario, donde se prueban en lugar de todas las combinaciones, una lista de posibles contraseñas. Hace un tiempo creé una aplicación con Java, en la que introduciendo una serie de datos sobre una persona te crea un diccionario personalizado. La herramienta es la siguiente: DxD

Una vez tengamos la herramienta vamos a introducir los datos que tenemos sobre Manolo y vamos a generar nuestro diccionario: 


Ahora que tenemos nuestro diccionario generado vamos a probar a crackear la contraseña con John the ripper y con nuestro diccionario.


¡Uy, uy, uy! Ahí la tenemos y estamos casi acabando por hoy, lo último que vamos a hacer es otra forma de fuerza bruta.

Como recordamos de la primera parte, nuestro amigo Manolo estaba registrado en una página web, en las webs también se pueden hacer ataques de fuerza bruta, aunque estos son más lentos, podemos probar a introducir usuarios y contraseñas de forma automatizada para ver cuando coincide.

Yo en este caso voy a usar BurpSuite, pero hay muchas herramientas que nos permiten hacer esto. Os dejo por aquí una serie de tutoriales sobre BurpSuite para quien no sepa usarlo: https://www.sniferl4bs.com/p/guia-de-uso-de-burpsuite.html

Vamos a capturar la petición que envía el formulario de login y lo mandamos al intruder, donde configuraremos para que haga fuerza bruta junto a nuestro diccionario ya creado anteriormente.


En este caso vemos que el tamaño de la respuesta es diferente en el caso de la contraseña correcta, así que ahí la tendríamos.

Ahora si que por fin hemos acabado, y como podemos ver por el momento hackear a una persona depende totalmente de esta, si su contraseña ha sido filtrada, si la ha cambiado, si es robusta, etc...

Nos vemos en el siguiente episodio de "Hackeando a Manolo El Barbas".

Saluti

Semos buenos que sus conosco

5 comentarios: