Como Gerar Listas de Senha com o CUPP

O que é CUPP?

Common User Password Profiler ou CUPP é uma ferramenta altamente potente capaz de criar uma lista de palavras geradas especificamente para uma pessoa. O CUPP é uma plataforma cruzada e escrita em Python. O CUPP faz perguntas sobre o alvo (nome, nome da esposa, nome do animal de estimação …) e, em seguida, cria uma senha com base nas palavras-chave que você digitou.

Mas como o CUPP funciona exatamente?

O CUPP parte do pressuposto de que, nós humanos, tendemos a apresentar sempre os mesmos padrões de comportamento quando se trata de senhas. Geralmente escolhemos senhas que são fáceis de lembrar, então nós levamos coisas pessoais para nossas senhas. Por exemplo, alguém pode se lembrar facilmente de uma senha que contém seu aniversário e o nome de sua esposa. Então, por exemplo, alguém que tem uma esposa chamada Lucy e nasceu em 05/07/1978, teria uma senha como “Lucy05071978”.

O CUPP usa esses “algoritmos” que estão ‘embutidos’ nos seres humanos e os explora para gerar uma lista de palavras muito mais eficaz que as tradicionais word-Lists.

Pessoalmente acho o CUPP muito eficaz quando se trata de quebrar uma senha de uma pessoa específica. Uma vez fiz uma experiência com 20 amigos para ver se suas senhas apareceriam na lista de palavras do CUPP, depois de passar algumas informações ao CUPP sobre eles, 16 dos 20 tiveram sua senha descoberta! Bem, chega de conversa, vamos á  pratica!

Inicie o Kali e faça um Git clone do CUPP

Nosso primeiro passo é, naturalmente, ativar o Kali, uma vez que tenhamos o Kali instalado e funcionando, precisamos fazer um diretório para armazenar nossos arquivos CUPP em nosso diretório pessoal. Então execulte esse comando:

Mkdir CUPP

Depois navegue até esse diretório

cd CUPP

Uma vez dentro do diretório CUPP, vá em frente e insira a seguinte linha no seu terminal:

Git clone https://github.com/Mebus/cupp.git

Se o git não funcionar, você provavelmente não tem ele instalado. Se for assim, execute este comando:

Apt-get update && apt-get install git

Se tudo ocorrer bem, você receberá uma resposta como esta:

Passo 2: O arquivo de configuração

Como muitas ferramentas de hacking, o CUPP também possui um arquivo de configuração. Vamos explorar e manipular suas opções.

Quando usamos o comando ls depois de instalar o CUPP, podemos ver que uma nova pasta chamada “cupp” é criada. Ao navegar nessa pasta, vemos os seguintes itens:

Cupp.py
cupp.cfg
docs que é um diretório
README.md

Vamos abrir a configuração com o bloco de notas

Leafpad cupp.cfg

Seremos saudados com a seguinte tela:

Como você pode ver, há muitas configurações, mas, por enquanto, queremos nos concentrar no modo “1337” e nas configurações especiais de caracteres.

Primeiro o que o modo 1337 faz é simplesmente passar por todas as senhas que o CUPP gerou, e substituir, por exemplo, A por um  4 nessa senha e adicionar a nova senha à lista de palavras. Este modo torna a sua lista de palavras maior, mas aumenta suas chances de sucesso. No entanto, queremos que seja igualmente a @ também. Para fazer isso, basta adicionar esta linha em “leet”.

A = @

Em seguida, os caracteres especiais. Esses caracteres também serão adicionados aleatoriamente no final das senhas geradas pelo CUPP. Não vou editar estes, mas se você quiser, você pode simplesmente adicionar um personagem a ele. As outras configurações são bastante auto-explicativas.

Wordlist para o Ataque Brute Force

Usando o CUPP

Agora, vamos finalmente começar a usar o CUPP. Inicie o CUPP no modo interativo invocando esse comando:

Python cupp.py -i

Aqui você precisará inserir toda a informação do seu alvo. Você pode obter essa informação enganando seu alvo. Mas, como exemplo, meu “alvo” será John Smith, ele é eletricista, nascido em 05/10/1987, e atende pelo apelido de “Tirrian”. Ele tem uma esposa chamada Barbara, mas não sabemos seu apelido. Nós sabemos que sua esposa nasceu em 14/07/1989. Ele também tem um filho chamado Alex, também não conhecemos seu apelido, mas sabemos que seu filho nasceu em 19/03/2005. Nós também sabemos que ele tem uma cachorrinha chamada Laika e ele possui uma empresa chamada ElectricFab. Além disso, sabemos que ele é um grande fã de futebol e torcedor do Real Madrid.

John tem que se lembrar de sua senha com facilidade, então ele definiu sua senha como ‘Barbara’, mas substituiu os a’s por @s para torná-la mais segura, ele também acrescentou o aniversário de sua esposa, que é 14/07, mas sem os traços. Então sua senha ficou assim:

B@rb@r@1407

Observe que esta senha contém pelo menos uma letra maiúscula, tem 8 caracteres, tem um número nele e tem um caractere especial, que são as normas mínimas para senhas na maioria dos sites.

(TAMBÉM, observe que JOHN SMITH NÃO É UMA PESSOA REAL! Bem, certo, talvez exista um John Smith, mas este está completamente na minha imaginação e não existe na vida real!)

Vamos ver se o CUPP consegue adivinhar. Insira as informações de John da seguinte forma:

Como podemos ver, o CUPP gerou um dicionário de 37 mil senhas possíveis de John, chamado John.txt. Vamos ver se podemos encontrar sua senha no arquivo de texto.

Passo 4: Procure o arquivo John.txt

Agora, simplesmente abra john.txt

Leafpad john.txt

Como posso me proteger?

Simplesmente não use uma senha associada a você. O que eu uso pessoalmente para fazer senhas difíceis são frases de “senha”. Elas dificilmente seram quebradas ou estaram em listas de senha, mas são muito fáceis de serem lembradas por você.

Primeiro, pegue uma sentença aleatória que você possa lembrar, por exemplo: “Minha namorada é dez vezes mais atraente que minha professora de Religião!” Pode ser traduzido para “Mna10XmaqmPr!”. Que é uma senha realmente boa ao meu ver.

Via: Null-byte

Comentários

Tão vazio aqui... deixe um comentário!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Barra lateral