'senhas'

Cheirando senhas de e-mail com o Wireshark

> Escolha uma interface e iniciar a captura em modo promíscuo.

> Para capturar credenciais de POP aplicar esse filtro:

pop.request.command == "user"  | | pop.request.command == "PASS"

> Para capturar credenciais de IMAP aplicar esse filtro:

imap.request contém "login"

> Para capturar credenciais de SMTP aplicar esse filtro:

smtp.req.command == "auth"

Cracking senhas do MySQL com John The Ripper

Dump MySQL senha hashes mysql_hashdump extrai os nomes de usuário e hashes de senha criptografada de um MySQL server. Você pode então usar jtr_mysql_fast módulo para quebrá-las. O módulo está localizado emauxiliar / scanner / mysql . Para usá-lo definir Rhosts opção para o endereço ip do seu alvo e aumentarFIOS valor. Se você conseguiu revelar a senha de root, em seguida, definir também opções de usernamee senha de acordo.

Cracking senhas com John The Ripper Metasploit oferece módulo jtr_mysql_fast . Este módulo utiliza John the Ripper para identificar fracos senhas que foram adquiridos do mysql_hashdump módulo. John the Ripper é um cracker de senha livre e Open Source software, disponível para vários sistemas operacionais, tais como Unix, Windows, DOS, BeOS e OpenVMS. Seu objetivo principal é detectar Unix fracas senhas. Depois de ter adquirir MySQL hashes com módulo mysql_hashdump, carga jtr_mysql_fastmodule e executá-lo.

usar auxiliary/analyze/jtr_mysql_fast

run

Este módulo oferece opções como a definição de um caminho personalizado para o John the Ripper. A opção que mais lhe interessa, é a opção Wordlist, você pode configurá-lo para usar uma lista de senha personalizada.

Publicado na revista Hakin9 em 25 de outubro de 2012

Etiquetas: rachadura , rachaduras , john , JTP , mysql , senhas , o estripador Postado em Cracking , John the Ripper , Metasploit , MySQL | Comments Off

Quebrar senhas com hidra

THC-Hydra - A logon biscoito rede muito rápida que suportar muitos serviços diferentes. Veja conjuntos de recursos e serviços da página cobertura - incl. uma comparação velocidade contra ncrack e medusa.

Opções Hydra :

hidra [ [ [ -l LOGIN |-L IMAGEM ]  [ -p PASS | -P FILE ]]| [ -C IMAGEM ] ]  [ -e nsr ]  [ -o file ]  [ -t TAREFAS ]  [ -M IMAGEM [ - TAREFAS T ] ]  [ TIME-w ]  [ -W TEMPO ]  [ -f ]  [ -s PORT ]  [ -x MIN: MAX:CHARSET ] [ -SuvV46 ] service server [ OPT ][ serviço: / server[ : PORT ] [ / OPT ]

Opções:
  -R restaurar uma sessão anterior abortada / caiu
  -S realizar uma SSL conectar
  PORT-s se o serviço está em uma porta padrão diferente, defini-lo aqui
  -L LOGIN ou-L Matrícula de login com nome de login, ou carregar vários logins de Matrícula
  -P-PASS ou P FILE tentar password PASS, ou carregar várias senhas de Matrícula
  -X MIN: MAX: CHARSET geração de senha bruteforce, digite "-x-h" para obter ajuda
  -E nsr tentar "n" senha nula, "s" login como passagem e / ou "r" inverteu o login
  -U laço em torno de usuários, e não senhas (effective! implícita com-x)
  -C Matrícula cólon separados "login: pass" formato, em vez de -L/-P opções
  Lista de servidor de arquivos para ataques paralelos, uma entrada por linha-M
  -O ARQUIVO escreve encontrados pares login / senha para FILE em vez de stdout
  -F saída após o primeiro par login / senha encontrado (por host se-M)
  -t executar tarefas TAREFAS número de Ligações em paralelo (padrão: 16)
  -W /-W waittime tempo para as respostas (32s) / entre conecta por tópico
  -4 / -6 Preferir IPv4 (padrão) ou endereços IPv6
  -V /-V detalhado modo / show de login + combinação passagem para cada tentativa
  -U serviço módulo detalhes de uso
  servidor o servidor de destino (use isso ou a opção-M)
  a manutenção do serviço de crack. Protocolos suportados: cisco cisco-enable
cvs ftp firebird [s] http [s] - {cabeça | get} http [s] - {se | pós-form} http-proxy 
http-proxy-urlenum icq imap irc LDAP2 LDAP3 [- {empinar | digerir} md5] mssql mysql 
NNTP ncp oracle-ouvinte oracle-sid pcanywhere PCNFS postgres POP3 RDP 
rexec rsh rlogin gole smb smtp smtp-enum snmp socks5 ssh svn teamspeak 
telnet vmauthd vnc XMPP
  OPT alguns módulos de serviços precisam de entrada especial (use-U para ver módulo de ajuda)

Exemplos : Cracking ssh senhas (tentar todas as combinações de nomes de usuário e senhas) com Hydra:

hidra -L usernames_file -P passwords_file -e ns -t  10  -f  -s ip ssh2

Cracking ftp senhas em BackTrack com Hydra:

hidra -l -P /pentest/passwords/wordlits/ arkc0de.lst -e ns -f -VV ip ftp

TContinue enviando e-mails com senhas de contas em texto simples ...

Apesar de todos (bem conhecidos e discutidos) Avisos de segurança e problemas, as grandes empresas de comércio eletrônico como PIXmania continuar enviando senhas de contas de usuário em texto simples!

Como gerenciar suas senhas de forma segura

Hoje você precisa se lembrar de muitas senhas. Você precisa de uma senha ou senhas para Windows ou Linux logon, suas contas de e-mail, seus sites, a sua conta do Facebook, sua conta do twitter, etc

Você deve usar senhas diferentes para cada conta. Se você usar apenas uma senha em qualquer lugar e alguém recebe esta senha você tem um problema.

Eu prefiro KeePass gerenciador de senhas, porque é livre, de código aberto e funciona em todas as plataformas. Você acabou de colocar todas as suas senhas em um único banco de dados, que é trancada com uma chave mestra ou um arquivo de chave. Você só tem que lembrar a senha mestra ou selecione o arquivo de chave para abrir o banco de dados.

KeePass criptografa senhas utilizando AES .

Baixe KeePass de aqui .

Proteja suas senhas salvas do Firefox se!

Se você realmente precisa para salvar as senhas dos sites que você está visitando todos os dias, em seguida, siga os passos abaixo para criptografá-los. Caso contrário desativar esse recurso no Firefox.Para desativá-la Ir para: Editar-> Preferências-> Segurança-> desmarque a opção "lembrar senhas de sites" ou Ferramentas-> Opções-> Segurança-> desmarque a opção "lembrar senhas de sites"

Ao usar uma senha mestra no Firefox, os dados são criptografados usando 3DES no modo CBC. Você só tem que escolher uma senha mestre forte . Dê uma olhada nesta postagem sobre como você deve escolher uma senha segura.

Para usar uma senha mestra no Firefox empreendedores: Editar-> Preferências-> Segurança-> Definir senha mestre ou

Ferramentas-> Opções> Segurança> Definir senha mestra e escolha a sua senha mestra.

Para melhorar a segurança, você pode fazer a criptografia de senha armazenados FIPS 140-1 compatível.Para fazer isso Goto: Editar-> Preferências-> Avançado-> Encryption-> Dispositivos de Segurança-> Habilitar FIPS ou Editar-> Opções-> Avançado-> Encryption-> Dispositivos de Segurança-> Habilitar FIPS .

Você ainda tem que escolher um bom e forte senha mestra.

John the Ripper - é gratuito e Open Source. Você pode encontrar algumas listas de senhas: aqui , aquie aqui . Para fornecer uma lista de palavras para john você pode fazê-lo com -wordlist argumento assim:-wordlist = password.lst

Suponha que você tenha um arquivo passwords.txt assim:

george: 827ccb0eea8a706c4c34a16891f84e7b

Thanos: 202cb962ac59075b964b07152d234b70

Se você tiver instalado john já, emitir o comando abaixo indicado para iniciar o procedimento forçando bruta:

john passwords.txt

Você vai ter uma resposta como esta de john: Loaded 4 password hashes sem sais diferentes (LM DES [128/128 SSE2 BS-16]) e depois mais nada. Mas João está trabalhando ..

Basta clicar em entrar um par de vezes para obter algo como isto: palpites: 0 Tempo: 0:00:22:11 (3) c / s: 76996K tentando: C3O19NL - C3O15MT adivinha: 0 Tempo: 0:00:22:12 (3) c / s: 76982K tentando: MJULRWR - MJUL33E palpites: 0 Tempo: 0:00:22:13 (3) c / s: 76968K tentando: BDMDYDH - BDMDFU @adivinha: 0 Tempo: 00:00:22: 14 (3) c / s: 76954K tentando: PAOGK7F - PAOG45P palpites: 0 Tempo: 0:00:22:15 (3) c / s: 76941K tentando: PV150R0 - PV159DK adivinha: 0 Tempo: 00:00:22: 16 (3) c / s: 76927K tentando: 4CH9LL. - 4CH9D0U adivinha: 0 Tempo: 0:00:25:00 (3) c / s: 76674K tentando: 4GBSYB6 - 4GBSZP6 adivinha: 0 Tempo: 0:00:25:03 (3) c / s: 76637K tentando: T -RHMRV - T-RHB2Y