Как создать словарь из содержимого сайта

Мы уже писали о создании словарей паролей в статьях

• 📖 Территориально-лингвистические особенности создания словаря паролей для Bruteforce
• 🎵 Создаем словарь для brute-force из текстов песен артистов

Однако сегодня рассмотрим метод, где источником слов будет является Веб-сайт потенциальной жертвы, и для этого мы будем использовать Cewl

Cewl – это предустановленный инструмент в kali Linux, который предназначен для создания списка слов, используя любые URL, например (сайты организаций, персональные страницы и т.д.). В дальнейшем сформированный список слов можно использовать для взлома паролей с помощью john the ripper или для проведения атак методом brute-force. В этом инструменте существует множество опций, поэтому мы расскажем вам о некоторых командах, которые мы чаще всего используем. Указанный инструмент может быть полезен при проведении тестирования на проникновение, так как всегда лучше использовать словари слов, подготовленные под таргетированную цель.

ПАРАМЕТРЫ СПРАВКИ CEWL

Используйте команду cewl -h.

Эта команда покажет все опции подсказок в cewl

ГЕНЕРАЦИЯ СПИСКА СЛОВ

Далее мы воспользуемся этой командой для создания списка слов, используя URL любого сайта

cewl https://itsecforu.ru

СОХРАНЕНИЕ СПИСКА СЛОВ В ФАЙЛ

Далее мы используем команду

cewl https://itsecforu.ru -w wordlist.txt

Эта команда сохранит сгенерированный нами список слов. Флаг -w используется для записи результата в файл

Далее используем команду cat wordlist.txt. Чтобы просмотреть содержимое файла

cat wordlist.txt

ГЕНЕРАЦИЯ СПИСКА СЛОВ ОПРЕДЕЛЕННОЙ ДЛИНЫ

Далее используем команду

cewl https://itisgood.ru -m 10

Эта команда покажет нам слова минимальной длины из 10 символов с указанного сайта

Флаг -m используется для определения минимальной длины слова

ПОЛУЧЕНИЕ ЭЛЕКТРОННОЙ ПОЧТЫ С ВЕБ-САЙТА

Далее используем команду

cewl https://www.cmrtc.ac.in -n -e.

Вывод этой команды покажет нам общее количество адресов электронной почты, найденных на сайте. Эта информация может быть использована для атак методами социальной инженерии.

Флаг -n используется для запрета вывода списка слов.

Флаг -e используется для включения адреса электронной почты

КОЛИЧЕСТВО СЛОВ, ПОВТОРЯЮЩИХСЯ НА ВЕБ-САЙТЕ

Далее используем команду

cewl https://itsecforu.ru -c

Эта команда отображает количество повторений слов на сайте

Флаг -c используется для отображения количества для каждого найденного слова

DEBUG ИНФОРМАЦИЯ

Далее используем команду

cewl http://testphp.vulnweb.com --debug

Эта команда покажет ошибки и необработанные данные сайта.

Флаг -debug используется для получения дополнительной отладочной информации.

РЕЖИМ VERBOSE

Далее используем команду

cewl http://testphp.vulnweb.com -v

Эта команда покажет полную информацию о сайте.

Флаг -v используется для просмотра подробной информации

ГЕНЕРАТОР АЛФАВИТНО-ЦИФРОВЫХ СИМВОЛОВ

Далее используем команду

cewl https://sitename.ru --with-numbers

Эта команда покажет список слов, помимо содержащих символы алфавита, состоящие из цифр

-with-numbers флаг для отображения слов, содержащих цифры, а также простые буквы

¯_(ツ)_/¯ Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.