Diccionarios con Passwords de Sitios Expuestos

Los diccionarios de passwords, esos archivos que tanto usamos en nuestros ataques de fuerza bruta, con la esperanza de encontrar en su interior una combinación de letras, que formen la contraseña de algún usuario en un servicio que estemos auditando, son de gran ayuda e indispensables en la caja de herramientas de  cualquier auditor; Podemos encontrar listas de passwords con nombres comunes, nombres de famosos, de películas, de ciudades, con los passwords mas utilizados, e incluso crear o extrapolar nuevos… pero hoy traigo otro tipo de passwords, passwords de sitios cuyas bases de datos han sido expuestas en la red. En esta tabla podemos encontrar sitios tan populares como MySpace, Facebook, Carders.cc, Hack5, los cuales han sufrido ataques en sus servidores y los datos de sus usuarios quedaron expuestos… Nombre Comprimido Descomprimido Rockyou rockyou.txt.bz2 (60,498,886 bytes) rockyou.txt (139,921,497 bytes) Rockyou with count rockyou-withcount.txt.bz2 (59,500,255 bytes) rockyou-withcount.txt (254,676,625 bytes) phpbb phpbb.txt.bz2 (868,606 bytes) phpbb.txt (1,574,395 bytes) phpbb with count phpbb-withcount.txt.bz2 (872,867 bytes) phpbb-withcount.txt (3,049,507 bytes) phpbb with md5 phpbb-withmd5.txt.bz2 (4,117,887 bytes) phpbb-withmd5.txt (7,659,241 bytes) MySpace myspace.txt.bz2 (175,970 bytes) myspace.txt (356,352 bytes) MySpace – with count myspace-withcount.txt.bz2 (179,929 bytes) myspace-withcount.txt (653,504 bytes) Hotmail hotmail.txt.bz2 (47,195 bytes) hotmail.txt (87,383 bytes) Hotmail with count hotmail-withcount.txt.bz2 (47,975 bytes) hotmail-withcount.txt (158,831 bytes) Faithwriters faithwriters.txt.bz2 (39,327 bytes) faithwriters.txt (72,695 bytes) Faithwriters – with count faithwriters-withcount.txt.bz2 (40,233 bytes) faithwriters-withcount.txt (139,480 bytes) Elitehacker elitehacker.txt.bz2 (3,690 bytes) elitehacker.txt (6,516 bytes) Elitehacker – with count elitehacker-withcount.txt.bz2 (3,846 bytes) elitehacker-withcount.txt (13,676 bytes) Hak5 hak5.txt.bz2 (16,490 bytes) hak5.txt (24,714 bytes) Hak5 – with count hak5-withcount.txt.bz2 (16,947 bytes) hak5-withcount.txt (43,522 bytes) Älypää alypaa.txt.bz2 (5,178 bytes) alypaa.txt (11,634 bytes) alypaa – with count alypaa-withcount.txt.bz2 (6,013 bytes) alypaa-withcount.txt (22,706 bytes) Facebook (Pastebay) facebook-pastebay.txt.bz2 (375 bytes) facebook-pastebay.txt (500 bytes) Facebook (Pastebay) – w/ count facebook-pastebay-withcount.txt.bz2 (407 bytes) facebook-pastebay-withcount.txt (940 bytes) Unknown porn site porn-unknown.txt.bz2 (30,600 bytes) porn-unknown.txt (57,836 bytes) Unknown porn site – w/ count porn-unknown-withcount.txt.bz2 (31,899 bytes) porn-unknown-withcount.txt (122,548 bytes) Ultimate Strip Club List tuscl.txt.bz2 (176,291 bytes) tuscl.txt (324,743 bytes) Ultimate Strip Club List – w/ count tuscl-withcount.txt.bz2 (182,441 bytes) tuscl-withcount.txt (635,303 bytes) [Facebook por Phishing] facebook-phished.txt.bz2 (14,457 bytes) facebook-phished.txt (25,688 bytes) Facebook Phished – w/ count facebook-phished-withcount.txt.bz2 (14,941 bytes) facebook-phished-withcount.txt (45,224 bytes) Carders.cc carders.cc.txt.bz2 (8,936 bytes) carders.cc.txt (16,760 bytes) Carders.cc – w/ count carders.cc-withcount.txt.bz2 (9,774 bytes) carders.cc-withcount.txt (31,992 bytes) Singles.org singles.org.txt.bz2 (50,697 bytes) singles.org.txt (106,925 bytes) Singles.org – w/ count singles.org-withcount.txt.bz2 (52,884 bytes) singles.org-withcount.txt (204,797 bytes) Gusano Conficker conficker.txt.bz2 (1411 bytes) conficker.txt (702 bytes) 500 worst passwords 500-worst-passwords.txt.bz2 (1868 bytes) 500-worst-passwords.txt (3493 bytes) 370 Passwords Banneados por Twitter twitter-banned.txt.bz2 (1509 bytes) twitter-banned.txt (2780 bytes) También les puede interesar el listado de Diccionarios para Realizar Ataques de Fuerza Bruta publicado hace poco en la...

Leer Más

CeWL – Generador de Diccionarios Personalizados

CeWL es una herramienta escrita en ruby por Robin Wood, de DigiNinja.org, que permite generar diccionarios con palabras claves, que pueden ser utilizadas por programas como Cain & Abel, Bruter o John the Ripper, para realizar ataques de fuerza bruta . Lo que diferencia CeWL de cualquier otra herramienta para generar listas de passwords, es que extrae las palabras claves desde una url, por lo que la lista generada es mas especifica y puede incluir palabras que no se encuentran en las tipicas listas de password, pero que posiblemente este siendo usada como clave por algun usuario del sistema. El modo de uso de CeWL es el siguiente: cewl [opcion u opciones] URL, teniendo como opciones los siguientes parametros: –help, -h Muestra ayuda –depth x, -d x Nivel de profundida del escaneo –min_word_length, -m Tamaño minimo de cada palabra, util si no deseamos llenar la lista con palabras como “de”, “la”, “por”,etc.. –offsite, -o Por defecto CeWL solo revisa una url especifica, con esta opcion escaneara tambien enlaces externos. –write, -w file Escribe la salida del CeWL en un archivo –ua, -u user-agent Cambia el user-agent -v Utiliza el modo Verbose,  mostrando mas informacion de salida –no-words, -n No muestra la lista –meta, -a Incluye meta datos –email, -e Incluye correos encontrados –meta-temp-dir directory Especifica el directorio utilizado por exiftool para convertir los archivos, por defecto es /tmp URL La url a escanear Descargar CeWL Generador de Diccionarios Basado en URL`s Mas Información: Pagina Oficial del...

Leer Más

Laboratorios Hacking – Técnicas y contramedidas

El objetivo de los Laboratorios de Hacking – Técnicas y Contramedidas, es ofrecer de manera ordenada y secuencial, las técnicas, tácticas y contramedidas utilizadas en los diferentes campos de la seguridad informática, principalmente los que corresponden a test de penetración y hacking ético. Aquí les dejo un listado de los laboratorios sobre hacking técnicas y contra medidas realizados por La Comunidad: Laboratorios: Hacking, Técnicas y Contramedidas. Introducción y Contenido Laboratorios: Hacking – Técnicas y contramedidas – Instalación de máquinas virtuales I Laboratorios: Hacking – Técnicas y contramedidas – Instalación de máquinas virtuales II Laboratorios: Hacking – Técnicas y contramedidas – Instalación de VMware Tools en Windows 2003 Server Laboratorios: Hacking – Técnicas y contramedidas – Instalación de VMware Tools en BackTrack Laboratorios: Hacking – Técnicas y contramedidas – Identificación de Banner’s (Banderas) I Laboratorios: Hacking – Técnicas y contramedidas – Identificación de Banner’s (Banderas) II Laboratorios: Hacking – Técnicas y contramedidas – Enumeración del objetivo I Laboratorios: Hacking – Técnicas y contramedidas – Enumeración del objetivo II Laboratorios: Hacking – Técnicas y contramedidas – Enumeración del objetivo III Laboratorios: Hacking – Técnicas y contramedidas – Scanning I Laboratorios: Hacking – Técnicas y contramedidas – Scanning II Laboratorios: Hacking – Técnicas y contramedidas – Scanning III Laboratorios: Hacking – Técnicas y contramedidas – Scanning IV Laboratorios: Hacking – Técnicas y contramedidas – Sniffing I Laboratorios: Hacking – Técnicas y contramedidas – Sniffing II Laboratorios: Hacking – Técnicas y contramedidas – Sniffing III Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) I Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) II Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) III Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) IV Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) V Laboratorios: Hacking – Técnicas y contramedidas – Ataques por fuerza bruta (Brute Force) VI Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades I Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades II Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades III Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades IV Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades V Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades VI Laboratorios: Hacking – Técnicas y contramedidas – Escaneo de vulnerabilidades VII Si quieres mas laboratorios de este tipo solo tienes que hacer click aquí. Existen mas laboratorios de diferentes tematicas y puede encontrarlos en...

Leer Más

Cómo recuperar una clave en MD5

La criptografía es utilizada para la proteger la información sensible de usuarios no autorizados, en una de ramas se encuentran los algoritmos de hash los cuales se encargan de asignan un valor numérico a cada carácter dentro del texto/archivo y generar un “hash” único (en teoría) para este. En esta entrada pretendo recopilar los distintos métodos que tenemos para recuperar una clave o texto codificado con el algoritmo MD5, uno de los mas utilizados actualmente . Antes de empezar definamos qué es MD5: Es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachusetts Institute of Technology, Instituto Tecnológico de Massachusetts), Ampliamente utilizado en aplicaciones web (principalmente para almacenar contraseñas), para verificar la integridad de archivos y en. Métodos para recuperar una Clave en MD5 Ataque de Fuerza Bruta El MD5 es un algoritmo unidireccional (permite codificar mas no decodificar), por eso para validar las entradas es necesario pasarlas primero por el algoritmo para después comparar el hash generado con el que esta almacenado previamente, una de las primeras ideas que nos llega a la mente para “decodificar” algo en MD5 es realizar un ataque por fuerza bruta, donde codifiquemos caracteres desde aaaaaaa…a hasta zzzzzzz…z comparando con el hash que tenemos para ver si coincide. Existen portales que se dedican a realizar este ataque de fuerza bruta y a almacenar en su base de datos la cadena de caracteres con su respectivo hash en MD5 por lo tanto lo primero que debemos hacer es comprobar si el hash que tenemos ya ha sido almacenado en alguna de estas bases de datos, si es asi podremos ahorrarnos mucho tiempo. Bases de Datos para crackear MD5 Aquí les dejo un listado con las bases de datos con mas registros, este es el primer paso que se debe realizar solo tendremos que colocar el hash en el campo de texto y consultar si este ya esta en la base de datos, no es demorado y puede ahorrarnos mucho tiempo (click en la imagen para visitar la pagina). authsecu.com md5decrypter.com gdataonline.com shm.hard-core.pl md5.shalla.de md5.rednoize.com insidepro.com passcracking.com Y existen muchas mas solo es cuestión de buscar, recuerda probar primero el hash que tienes en cuanta base de datos de este tipo encuentres ya que el tiempo que gastas buscando nuevos portales con DB lo recuperas con creces si encuentras el pass decodificado en uno de ellos. Software para Realizar Ataques de Fuerza Bruta a claves con MD5 Si la búsqueda en las bases de datos no te arrojo resultados positivos puedes realizar el ataque desde tu propia maquina, existe mucho software que puedes utilizar para este fin. En...

Leer Más

Video: Auditoría de una Aplicacón Web, Bruteforcing

Siguiendo con la secuencia de vídeos del evento realizado el 7 de Octubre de 2007 en Getafe España, les dejo a continuación una charla de Alberto Moro, aka “Mandingo”, donde nos cuenta algunas técnicas para enfrentarse a un reto de auditoría; que mecanismos mentales seguir, que actitudes tomar y que realizar frente a situaciones de bloqueo. Al final, cuenta como utilizar la herramienta “pipper” para realizar realizar bruteforcing de aplicaciones web. La duración del vídeo es de 00:32:55, aquí les dejo el enlace de descarga. Aqui las diapositivas (Primera Parte en PDF – Mirror Comunidad) (Segunda Parte en PPTMirror...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices