pwnedOrNot – Tool para encontrar passwords de un correo comprometido

Buenas,

Hay numerosas cuentas de twitter dedicadas a publicar herramientas de hacking para ayudar a su promoción. Entre ellas, una de mis favoritas es @KitPloit, cuya página web es https://www.kitploit.com. Hace un par de semanas, vi la tool pwnedOrNot, pero hasta hace poco no pude probarla para ver su potencial.

pwnedOrNot es una herramienta que busca posibles contraseñas de correos comprometidos del servicio online haveIbeenPwned. ¿Cómo lo hace? Para ello en primer lugar, interactuando con la API V2 de haveIbeenPwned comprueba si la cuenta de correo introducida se encuentra dentro de su base de datos. En el caso que se encuentre, busca en los leaks de pastes en busca de resultados de contraseñas para la cuenta introducida. Por supuesto en función de la cantidad de leak’s, llevará un tiempo.

 

 

Instalación

Directamente con git desde el github del autor:

git clone https://github.com/thewhiteh4t/pwnedOrNot.git

Al estar desarrollada en python, no olvidéis las dependencias externas (revisad el readme.md, pues no vienen en el típico requirements.txt)

# Python 2
pip install cfscrape
apt-get install nodejs

pip install requests

# Python 3
apt-get install python3-pip
pip3 install requests
pip3 install cfscrape

Además requiere de los siguientes módulos:

os
re
time
json
argparse

 

 

Uso

Como se ve, es realmente sencillo, a través del parámetro «email» se introduce la cuenta de correo a testear o bien mediante el parámetro «file«, el fichero con múltiples cuentas.

 

Al ejecutar la herramienta, en primer lugar muestra el conjunto de resultados que tiene con la siguiente información:

  • Brecha: Identificador.
  • Dominio en dónde se ha producido.
  • Fecha
  • Fabricado?
  • Verificado: Si se ha confirmado.
  • Retirado. Si se ha retirado o todavía sigue accesible.
  • Spam

 

 

A continuación, busca posibles contraseñas en los enlaces que facilita haveIbeenpwned de los leaks:

 

 

Herramienta muy interesante para equipos de antifraude o ciberinteligencia, así como para la fase previa de cualquier pentesting (ya sabéis reutilización de contraseñas).

 

Referencias:

https://www.kitploit.com/2018/05/pwnedornot-tool-to-find-passwords-for.html

https://github.com/thewhiteh4t/pwnedOrNot

 

Espero que os haya gustado y especialmente os resulte útil.

Nos vemos en la siguiente entrada o en la próxima CON (Euskalhack2018)

Saludos.

N4xh4ck5

La mejor defensa, es un buen ataque.