CeWL – generator spersonalizowanych haseł słownikowych…

Już raz na blogu opisaliśmy narzędzie Kali Linux o nazwie crunch do generowania słowników do ataków brute-force. Dzisiaj pora na inny dosyć ciekawie działający program od Digit Ninja. Aplikacja CeWL, czyli Custom Word List generator zasługuje na uwagę, ze względu na jej działanie.

Generator potrafi tworzyć słowniki na podstawie wyrażeń znalezionych na podanej w parametrze stronie internetowej. Użytkownik może zdefiniować głębokość poszukiwań w witrynie, minimalną liczbę znaków z których ma się składać hasło. Dodatkowo aplikacja jako narzędzie typu crawler/spider potrafi również zbierać adresy e-mail znalezione w sieci.

Jak przystało na aplikacje tego typu, umożliwia również zdefiniowania serwera proxy lub logowania się za pomocą mechanizmu HTTP Authentication.

Parametry programu Custom Word List generator

Wydaje nam się, że nie ma sensu opisywać wszystkich parametrów programu, ponieważ oceniamy poziom wymaganego angielskiego na poziomie troglotyta przedszkolak. Poniżej zamieszczamy dla leniwych spis argumentów narzędzia Custom Word List generator.

Przykładowe użycie programu CeWL

Poniżej przedstawiamy przykładowe użycie programu hakerskiego CeWL. Program jest napisany w języku Ruby i już zainstalowany w najnowszej na chwile obecną wersji Kali Linux 2016.1.

Parametry programu cewl (output file, depth, max letter i URL).
cewl -w log -m 3 -d 1 http://ADRES/ – użycie generatora haseł i słowników brute-force za pomocą programu CeWL w Kali Linux.

W powyższym poleceniu poszczególne parametry oznaczają:

  • w log to plik wynikowy z hasłami słownika,
  • -m 3 to minimalna długość słowa które ma zostać dodane do słownika,
  • -d 1 głębokość penetracji poszukiwań (rekursywne wchodzenie w znalezione adresy URL).

Wygenerowany słownik przez narzędzie CeWL

Poniżej znajduje się przykładowo wygenerowany słownik. Możesz go poddać dalszej obróbce innymi narzędziami takimi jak np: pw-inspector, lub prostym autorskim skryptem w Pythonie dodającym odpowiednie przedrostki lub przyrostki do słów.

Słownik do testów penetracyjnych Kali Linux (CeWL)
Utworzony spersonalizowany słownik za pomocą crawlera Custom Word List generator w Kali Linux.

Podsumowanie o generatorach haseł słownikowych

Jeśli nie miałeś jeszcze okazji poczytać o generatorze haseł o nazwie crunch to zapraszamy do naszego innego wpisu na ten temat:

Generowanie słownika w Kali Linux | Crunch

Jak widzisz nie musisz korzystać tylko z dołączonych domyślnych słowników z hasłami z folderu /usr/share/wordlists w Kali Linux. Tego typu generatory jak CeWL, crunch, pw-inspector umożliwią Tobie spersonalizowanie haseł pod dany test penetracyjny. Większość audytorów tworzy autorskie słowniki haseł pod dany test bezpieczeństwa.

Nie ma sensu sprawdzania wielkiego wektora haseł, bo Twoim celem nie jest złamanie super silnych haseł tylko stwierdzenie czy dany system operacyjny, usługa lub serwer jest bezpieczny. Jeśli chcesz być na bieżąco, zaglądaj i zlajkuj obowiązkowo naszego Facebooka #HakerEduPL. Powodzenia w edukacji! 🙂

11 thoughts to “CeWL – generator spersonalizowanych haseł słownikowych…”

  1. Czy odpisujecie na maile? Wydaje mi się, że zadałem sensowe pytania i nie doczekałem się odpowiedzi (zresztą temat który poruszyłem, mógłby być inspiracją dla wpisu w przyszłości). Nie chcę poganiać, ale byłbym wdzięczny za jakąkolwiek informację zwrotną. Pozdrowienia.

      1. Dziękuję za odpowiedź. Wysłałem maila za pomocą formularza kontaktowego z adresu, który jest związany z tym komentarzem. Może wiadomość trafiła do spamu? Przed chwilą napisałem nową wiadomość i znów wysłałem za pomocą formularza. Mam nadzieję, że teraz dojdzie.

  2. Cześć, masz gdzieś temat o sprawdzaniu lokalizacji po IP? Ostatnio program do tego mi się popsuł bo za każdym razem pokazuje mi mój własny adres i resetuje sie za kazdym razem gdy wpiszę nowy.

    1. Co oznacza lokalizacja IP? Chcesz informacje na temat danego adresu IP? Takie informacje sa publiczne. Wystarczy w wyszukiwarce Google poszukać pod frazą “whois ip”.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *