Un estudio reciente de Panda arroja como resultado que el 52% de los usuarios reutiliza las contraseñas. Es decir, más de la mitad de los usuarios utiliza exactamente la misma password (o una muy parecida) en varios servicios web diferentes, lo que posibilita a un atacante comprometer varias cuentas de su víctima "de un plumazo". Y para hacerlo aún más fácil, el egipcio Karim Shoair aka D4Vinci ha creado una herramienta en python llamada Cr3dOv3r que facilita mucho el trabajo a la hora de realizar ataques de reutilización de contraseñas.
Básicamente, con una cuenta de correo Cr3dOv3r realiza dos simples pero útiles tareas:
- Busca en leaks públicos la cuenta indicada y devuelve el resultado con los detalles más útiles (utilizando la API de haveibeenpwned) e intenta obtener las contraseñas en texto claro que encuentre (utilizando @GhostProjectME).
- Si seteas la contraseña, prueba además esas credenciales contra algunos sitios web conocidos (por ejemplo, Facebook, Twitter, Google ...) e informa si el inicio de sesión fue exitoso.
Uso
Instalación
+Para windows : (después de descargar el ZIP y descomprimirlo)
cd Cr3dOv3r-master
python -m pip install -r win_requirements.txt
python Cr3dOv3r.py -h
+Para Linux :
git clone https://github.com/D4Vinci/Cr3dOv3r.git
cd Cr3dOv3r
python3 -m pip install -r requirements.txt
python3 Cr3dOv3r.py -h
+Para docker :
git clone https://github.com/D4Vinci/Cr3dOv3r.git
docker build -t cr3dov3r Cr3dOv3r/
docker run -it cr3dov3r "example@gmail.com"
Github: https://github.com/D4Vinci/Cr3dOv3r
Básicamente, con una cuenta de correo Cr3dOv3r realiza dos simples pero útiles tareas:
- Busca en leaks públicos la cuenta indicada y devuelve el resultado con los detalles más útiles (utilizando la API de haveibeenpwned) e intenta obtener las contraseñas en texto claro que encuentre (utilizando @GhostProjectME).
- Si seteas la contraseña, prueba además esas credenciales contra algunos sitios web conocidos (por ejemplo, Facebook, Twitter, Google ...) e informa si el inicio de sesión fue exitoso.
Uso
usage: Cr3d0v3r.py [-h] [-p] [-np] [-q] email
positional arguments:
email Email/username to check
optional arguments:
-h, --help show this help message and exit
-p Don't check for leaks or plain text passwords.
-np Don't check for plain text passwords.
-q Quiet mode (no banner).
Installing and requirements
To make the tool work at its best you must have :
Python 3.x or 2.x (preferred 3).
Linux or Windows system.
Worked on some machines with MacOS and python3.
The requirements mentioned in the next few lines.
Instalación
+Para windows : (después de descargar el ZIP y descomprimirlo)
cd Cr3dOv3r-master
python -m pip install -r win_requirements.txt
python Cr3dOv3r.py -h
+Para Linux :
git clone https://github.com/D4Vinci/Cr3dOv3r.git
cd Cr3dOv3r
python3 -m pip install -r requirements.txt
python3 Cr3dOv3r.py -h
+Para docker :
git clone https://github.com/D4Vinci/Cr3dOv3r.git
docker build -t cr3dov3r Cr3dOv3r/
docker run -it cr3dov3r "example@gmail.com"
Github: https://github.com/D4Vinci/Cr3dOv3r
Comentarios
Publicar un comentario