This page looks best with JavaScript enabled

Credmap: Verifica la reusabilidad de contraseñas en diferentes servicios

 ·   ·   3 min read

Dando continuidad al tema tratado en el Podcast del día sábado, de Generación de Contraseñas Seguras en esta oportunidad compartimos una herramienta que tiene como objetivo identificar si se usa la mismas contraseña en mas de un servicio.

Este script esta desarrollado en Python, como lo mencione anteriormente, la herramienta puede ser usada durante un pentesting, con el fin de identifcar si alguna contraseña obtenida de un usuario la cual pueda estar siendo usada en otros servicios, considerando que se tiene una probabilidad elevada de que sea exitoso nuestro acceso a otros servicios.  La instalación del mismo es simple basta con acceder a su repositorio en GITHUB y proceder a descargar con el git clone el mismo se muestra a continuación.

root@snifer:# git clone git@github.com:lightos/credmap.git

Una vez tenemos descargado la aplicación, e iniciarla con la bandera -h, perteneciente a HELP tenemos el menu de ayuda respectivo a continuación se tiene los parámetros que podemos usar como tambien algunos ejemplos de uso

Usage: credmap.py --email EMAIL | --user USER | --load LIST \[options\]  
  
Options:  
  -h/--help             show this help message and exit  
  -v/--verbose          display extra output information  
  -u/--username=USER..  set the username to test with  
  -p/--password=PASS..  set the password to test with  
  -e/--email=EMAIL      set an email to test with  
  -l/--load=LOAD\_FILE   load list of credentials in format USER:PASSWORD  
  -f/--format=CRED\_F..  format to use when reading from file (e.g. u|e:p)  
  -x/--exclude=EXCLUDE  exclude sites from testing  
  -o/--only=ONLY        test only listed sites  
  -s/--safe-urls        only test sites that use HTTPS.  
  -i/--ignore-proxy     ignore system default HTTP proxy  
  --proxy=PROXY         set proxy (e.g. "socks5://192.168.1.2:9050")  
  --list                list available sites to test with

Como usar tenemos a continuación:

./credmap.py --username janedoe --email janedoe@email.com  
./credmap.py -u johndoe -e johndoe@email.com --exclude "github.com, live.com"  
./credmap.py -u johndoe -p abc123 -vvv --only "linkedin.com, facebook.com"  
./credmap.py -e janedoe@example.com --verbose --proxy "https://127.0.0.1:8080"  
./credmap.py --load creds.txt --format "e.u.p"  
./credmap.py -l creds.txt -f "u|e:p"  
./credmap.py -l creds.txt  
./credmap.py --list

Al proceder a trabajar con ella me puse a jugar con una de mis cuentas de GMAIL y  una contraseña que tenia que haber cambiado en su debido momento, lo cual me muestra que en un servicio se mantiene en este caso es Bitbucket como se muestra a continuación.

El resultado cuando termina de realizar todo el proceso de verificación es el siguiente:

Si te gustaria apoyar al proyecto puedes generar la verificación para otros servicios, la vía de colaboración es bastante simple y consta de hacer uso de un Template el cual con las pruebas necesarias nos permite ayudar al proyecto.

  
```que mejor manera de colaborar y seguir la guia que cuenta la herramienta desde aquí dar una felicitación a lightos el creador de la herrmienta.  

*   [Credmap](https://github.com/lightos/credmap/)
*   [Wiki](https://github.com/lightos/credmap/wiki)

"No temo a los ordenadores; lo que temo es quedarme sin ellos" -- Isaac Asimov

  
Regards,  
Snifer
Share on
Support the author with
Avatar
WRITTEN BY

See Also