🎵 Создаем словарь для brute-force из текстов песен артистов

 

Мы уже писали про Территориально-лингвистические особенности создания словарей для brute-force атак с помощью инструмента Mentalist.

Сегодня расскажем про другой инструмент позволяющий также собрать свой словарик, но имеющий ряд отличительных особенностей, а именно:

  1. Скрипт  интерактивно и последовательно задает вопросы о цели атаки и после этого создает словарь заменяя символами и цифрами буквы из заданных ей слов.

  2. Инструмент, также позволяет исключить слова из словаря, который, например, уже применялся для атаки, чтобы не было повторов и для экономии времени.

  3. Модуь “lyric pass” позволяет включать в словарь фразы и текстов песен артистов.

Давайте обо всем по-порядку. Речь идет о https://github.com/r3nt0n/bopscrk

Для установки в Kali Linux набираем в терминале:



git clone https://github.com/r3nt0n/bopscrk.git

 

 

 

Затем переходим в директорию с bopscrk и запускаем скрипт:

python3 bopscrk.py -i

 

 

После этого отвечаем на вопросы системы, для академического примера,за цель возьмем все того же системного администратора из Томска Владимира Ягодчкина, устанавливаем следующие параметры, предлагаемые к нашему вниманию:

-Минимальная длина – 8.

-Максимальная длина – 16.

-Имя – Vladimir.

-Фамилия – Yagodichkin.

-Дата рождения – 20 декабря 1987 года.

-Дополнительные слова, связанные с целью через запятую – honda, zenit, warcraft.

-Устанавливаем параметры по замене букв цифрами, а также подстановку специальных символов в начало и конец пароля – отвечаем “y”.

-Как много слов мы ходим комбинировать – укажем 2.

-Имя артиста, тексты из песен которого ходим добавить – пропустим, об этом ниже.

-Исключить слова из другого словаря – тут можем указать путь на словарик который уже побывал в бою – пропускаем.

-Выбираем файл с результатом, по умолчанию tmp.txt в текущей директории – оставим как есть.

На выходе получаем 260449 возможных значений паролей

 

 

Просмотрим содержимое файла в nano редакторе

 

 

Указанный файлик можем использовать для атаки

Теперь рассмотрим саммую интересную функцию, а именно использование фраз из текстов песен артистов, для этого заново введем

 

python3 bopscrk.py -i

 

Пропускаем все предлагаемые значения, кроме минимальной и  максимальной длины – поставим по 20 символов (для наглядности) и останавливаемся на “Artist names to search song lyrics (comma-separated)”, в указанной строке введем, например 2pac (известный убитый репер). Видим, что инструмент нашел 1244 песни указанного артиста и начинает работать с ними.

 

 

В результате получаем результат, конечно лучше миксовать со спец символами и цифрами, но опять же для наглядности получаем словарик репа), как же прекрасно

 

 

 

Напоминаем , что статья написана с целью ознакомления с инструментом,обеспечения информационной безопасности и обучения, его не следует использовать на системах, на которые у вас нет разрешения на тестирование или  атаку. 

 

 

 



2020-11-09T23:19:25
Аудит ИБ

Создание сайтов и их продвижение как источник для дополнительного дохода

Создание сайтов для заработка – интересная, перспективная и выгодная работа. И, что примечательно в ней, благодаря разнообразию и удобству существующих ныне систем управления контентом, быстро и легко создать вполне приемлемый сайт сможет человек, даже не имеющий глубоких познаний в области информационных технологий. Другое дело, что раскрутка «новорожденного» сайта растягивается на длительное время. И, даже тогда, когда ваш персональный блог уже пользуется успехом, вам придется постоянно подбрасывать дровишек в огонь читательского интереса. Читать

Как проверить SSL-сертификат

SSL-сертификат — это цифровой «ключ» сайта, в котором содержится информация о его владельцах и компании. Без него не будет работать протокол HTTPS, гарантирующий безопасность передачи данных через интернет.

 

Как это работает

Браузер пользователя отправляет запрос к серверу и перед тем, как получить данные на устройство пользователя (отобразить сайт), проверяет его SSL-сертификат. Если он работает корректно, сайт загрузится. В итоге данные, которым обмениваются сервер и браузер, оказываются защищены от перехвата. Также это гарантирует, что данные будут переданы в неизменном виде и полностью.

С помощью этой технологии защищаются и персональные данные пользователей: ФИО, номера телефонов, адреса, номера банковских карт, пароли от аккаунтов на сайтах.

Помимо защиты данных SSL-сертификат необходим для SEO-продвижения, без него сайт будет отмечен в выдаче как небезопасный и понижен. Безопасность сайта — один из критериев ранжирования.

 

Где взять SSL-сертификат?

Сертификаты бывают платные и бесплатные. Их можно купить в удостоверяющих центрах, а регистраторы доменов иногда дарят их своим пользователям.

DV-сертификат (Domain Validated) — подойдет физическим и юридическим лицам. Получается только для одного домена. В нем нет информации о владельце сайта, но он способен защитить информацию от перехвата. Такой вариант подходит небольшим сайтам, которые не работают с платежами. Эти сертификаты бесплатны.

OV-сертификат (Organization Validation) — для его получения надо доказать, что компания зарегистрирована, а сайт принадлежит ей. Подходит небольшим магазинам или инфосайтам.

EV-сертификат (Extended Validation) — сертификат с расширенной проверкой. Чтобы получить такой сертификат, надо показать налоговые и некоторые другие документы, сообщающие о легальности деятельности организации. Их используют крупные компании, которые имеют дело с большим количеством данных пользователей и проводят платежи.

 

Как установить и проверить SSL-сертификат

Для установки вам необходим файл самого сертификата, файл ключа и файлы цепочки сертификатов. В личном кабинете хостинга нужно загрузить файлы в соответствующие поля.

После этого проверьте, доступен ли сайт по HTTPS-протоколу. Проверить сертификат сайта можно через сервис от PR-CY.

В результатах проверки вы увидите наличие сертификата и срок его действия.



2020-11-09T17:52:39
Безопасность

Как удалить (удалить) символические ссылки в Linux

Символическая ссылка, также известная как символическая ссылка, представляет собой файл особого типа, который указывает на другой файл или каталог. Это что-то вроде ярлыка в Windows. Символическая ссылка может указывать на файл или каталог в той же или в другой файловой системе или разделе.

В этом руководстве мы покажем вам, как удалить (удалить) символические ссылки в системах Linux / UNIX с помощью команд rm , unlink и find .

Читать

Для чего нужен Linux

В наши дни операционные системы на базе ядра Linux используются повсеместно. В некоторых сферах деятельности они даже намного популярнее, по сравнению с Windows. Если вы ещё задаётесь вопросом нужен ли Linux, то с помощью этой статьи вы сможете ответить на него.

Конечно, всё это никак не влияет использование Linux для домашних компьютеров, поскольку для этого надо чтобы для Linux было программное обеспечение, которое надо домашним пользователям.

Читать

Использование Tor с Python

В этом коротком, но полном руководстве я научу вас, как использовать TOR и Python вместе.

 

После этого руководства вы сможете посещать сайты TOR через приложение Python.

 

Читать