Creación de listas de palabras con Crunch en Kali Linux

Introducción

Las listas de palabras son una parte clave de los ataques de contraseña de la fuerza bruta. Para aquellos lectores que no están familiarizados, un ataque con contraseña de fuerza bruta es un ataque en el que un atacante usa un script para intentar registrar repetidamente en una cuenta hasta que reciban un resultado positivo. Los ataques de fuerza bruta son bastante abiertos y pueden hacer que un servidor configurado correctamente bloquee a un atacante o su IP.

Este es el punto de probar la seguridad de los sistemas de inicio de sesión de esta manera. Su servidor debe prohibir a los atacantes que intentan estos ataques, y deben informar el aumento del tráfico. Al final del usuario, las contraseñas deben ser más seguras. Es importante comprender cómo se lleva a cabo el ataque para crear y hacer cumplir una política de contraseña segura.

Kali Linux viene con una herramienta poderosa para crear listas de palabras de cualquier longitud. Es una simple utilidad de línea de comando llamada crunch. Tiene una sintaxis simple y se puede ajustar fácilmente para satisfacer sus necesidades. Cuidado, sin embargo, estas listas pueden ser muy grande y puede llenar fácilmente un disco duro completo.

Generando una lista

Para comenzar, abra una terminal. Crunch ya está instalado y listo para usar Kali, por lo que puede ejecutarlo. Para la primera lista, comience con algo pequeño, como el siguiente.

# Crunch 1 3 0123456789

Muy bien, por lo que la línea anterior creará una lista de cada combinación posible de los números cero a las nueve con uno dos y tres caracteres. Para reiterar, el primer número es la combinación más pequeña de caracteres. En este caso, es un solo personaje. Esto es un poco poco realista, ya que nadie debería tener una contraseña de un personaje, y no el sitio debería permitirlo.

El segundo número es la combinación más larga de caracteres. Esta vez, son las tres. Entonces, Crunch generará todas las combinaciones posibles de tres de los personajes proporcionados.

La última parte es la lista de todos los caracteres que Crunch usará para hacer las combinaciones. Esta lista es relativamente pequeña, así que siéntase libre de ejecutarla, pero tan pronto como comience a agregar más caracteres o aumente el tamaño de combinación máximo, el tamaño general de la lista explotará.

El escenario anterior no es tan realista, aunque podría aplicarse a la combinación PIN para desbloquear un teléfono o algo por el estilo. Se podría generar una lista más realista con el siguiente comando Linux.

# Crunch 3 5 0123456789abcdefghijklmnopqrstuvwxyz

Ese comando generará todas las combinaciones posibles de tres, cuatro y cinco caracteres de los números cero a través de nueve y el alfabeto utilizando caracteres en minúsculas. Aunque las contraseñas generadas serán cortas, la lista será absolutamente masiva.

Ahora, si tenía el hardware y los recursos para tratar de probar la seguridad de las contraseñas, puede ejecutar algo como el comando a continuación.

# Crunch 3 10 0123456789AbcDefghiJklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz

TENER CUIDADO! No intentes ejecutar eso. Generará un archivo que llenará fácilmente todo su disco duro y será prácticamente inutilizable con hardware normal. Sin embargo, si alguien pudiera usarlo, podría probar cada contraseña con cada combinación de tres a diez caracteres usando todos los números y el alfabeto de mayúsculas inferiores y superiores.

Capturando la salida

Lo que has visto hasta ahora es simplemente emitir números a la pantalla. Eso obviamente no es muy útil. Después de todo, se supone que debe generar un archivo de texto para usar con otro programa. Crunch como un indicador integrado para generar salida en forma de un archivo de texto.

# Crunch 3 5 0123456789AbcDefghijklmnopqrstuvwxyz -o documentos/pase.TXT

Solo agregando el -O Marcar y especificar un destino, puede crear su lista de palabras en forma de un archivo de texto formateado correctamente.

Aunque hay otra forma de manejar esto. Digamos que ya tienes una buena lista de palabras con contraseñas populares de malas. En realidad, hay uno instalado en Kali de forma predeterminada en /usr/share/listas de palabras llamado Rockearte.TXT. Solo tienes que descomprimirlo. ¿Qué pasaría si quisiera agregar su lista de palabras generada a Rockearte.TXT Para probar posibilidades adicionales de una sola vez. Puede. Simplemente redirige la salida de Crunch en el archivo.

# Crunch 3 5 0123456789AbcDefghijklmnopqrstuvwxyz >>/usr/share/wordlists/rockyou.TXT

El archivo será muy grande, así que asegúrese de tener espacio y realmente quiera probar muchas posibilidades.

Cierre de los tocados

No hay mucho más que decir. Crunch es una excelente herramienta para crear listas de palabras. Como cualquier herramienta de seguridad, debe usarse de manera inteligente y con discreción. En el caso de en realidad Contraseñas malas, Crunch puede crear una lista corta rápidamente para que otros programas como Hydra prueben. Las guías futuras explorarán las otras herramientas que pueden usar las listas de palabras creadas por Crunch para probar contraseñas vulnerables.

Tutoriales de Linux relacionados:

• Cómo arrancar dual Kali Linux y Windows 10
• Lista de las mejores herramientas de Kali Linux para pruebas de penetración y ..
• Cómo descifrar la contraseña con cremallera en Kali Linux
• Cómo instalar Kali Linux en VMware
• Endurecimiento de Kali Linux
• Configuración del servidor Kali HTTP
• Kali Linux vs Parrot
• Instaladores de software GUI para Kali Linux
• Cómo verificar la versión de Kali Linux
• Establezca la contraseña de root de Kali y habilite el inicio de sesión root