La entrada de hoy veremos como generar a través de Crunch un diccionario personalizado, para algunas pruebas internas, externas o procesos de password cracking específicos.
Si deseas ver el resto de entradas de Password Cracking 101.
¿Que es Crunch?
Crunch es una herramienta que nos permite generar palabras para un diccionario basándose en los parámetros que le especifiquemos el procesamiento de creación de estos diccionarios depende de tu equipo y que tan complejo lo generes.
Instalación
Para instalar según tu distribución basta con realizar la búsqueda de crunch directamente.
sudo apt-get install -y crunch
Ejemplo de generación de diccionario
Diccionario Simple
Si ejecutamos en la terminal man crunch
podremos ver la documentación respectiva y las flags que podemos utilizar, por otro lado, si solo ejecutamos crunch
identificamos que se necesitan 3 parámetros.
|
|
Primer parámetro: cantidad mínima de caracteres.
Segundo parámetro: cantidad máxima de caracteres.
-o: Donde se guardara la salida del comando.
En este caso estamos generando todas las combinaciones posibles.
Diccionario con valores predefinidos
Si deseamos generar con base en números o letras procedemos a ejecutar de la siguiente manera:
|
|
- El parámetro “0123456789” que le sigue determina los caracteres a utilizar para las contraseñas que estamos generando.
Diccionario
A continuación veremos un ejemplo, donde sabemos que Snifer usa una contraseña de su nick+4 números, para el servicio SSH del sitio web www.sniferl4bs.com
|
|
- El primer parametro correspondiente a 10 es el mínimo de caracteres de las claves
- El segundo parámetro corresponde a la longitud máxima de caracteres.
- La opción “-t” especifica un patrón para los caracteres aleatorios.
- El @ estamos especificando que use números que estamos previamente especificando, anteponiendo la palabra snifer.
Charsets en Crunch
Crunch cuenta con charsets definidos para generar los diccionarios, el mismo se encuentra regularmente en el directorio. /usr/share/crunch
.
Para hacer uso del charset es realizado con la variable -f, procedemos a conocer el comando respectivo.
|
|
En este caso usamos hex-upper es decir caracteres hexadecimales en mayúscula.
Conclusiones
Con esta entrada damos una continuación a la serie de entradas de Password Cracking, esperamos realizar más entradas en los próximos días referentes a esta área, ¿Te gustaría que hablemos de alguna otra herramienta?, escríbenos en los comentarios o en el grupo de Telegram.
Regards,
Snifer