Bopscrk (Before Outset PaSsword CRacKing) es una herramienta para ayudar en todo el proceso previo de descifrar la contraseña. Por ahora, es capaz de generar listas de palabras inteligentes y poderosas.
Incluido en la distribución de pentesting BlackArch Linux y Rawsec’s Cybersecurity Inventory desde agosto de 2019.
- Creador de la lista de palabras del ataque dirigido: introduce información personal relacionada con el objetivo, combina cada palabra y transforma los resultados en posibles contraseñas. El módulo lyricpass permite buscar letras de canciones relacionadas con los artistas e incluirlas en las listas de palabras.
- Transformaciones personalizadas de mayúsculas y minúsculas: crea juegos de caracteres personalizados y transforma patrones a través de un simple archivo de configuración.
- Exclusión de listas de palabras: Excluir palabras de otra lista de palabras (para evitar contraseñas que ya has probado).
- Soporta el modo interactivo y la interfaz de comandos de una línea.
Requisitos
- Python 3 (La rama secundaria mantiene el soporte del legado Python 2.7)
- opcional – para usar el módulo
lyricpass
module:
pip install lib/lyricpass/requirements.txt
Uso
-h, --help show this help message and exit
-i, --interactive interactive mode, the script will ask you about target
-w words to combine comma-separated (non-interactive mode)
--min min length for the words to generate (default: 4)
--max max length for the words to generate (default: 32)
-c, --case enable case transformations
-l, --leet enable leet transformations
-n max amount of words to combine each time (default: 2)
-a , --artists artists to search song lyrics (comma-separated)
-x , --exclude exclude all the words included in other wordlists
(several wordlists should be comma-separated)
-o , --output output file to save the wordlist (default: tmp.txt)
Cómo Funciona
- Tienes que proporcionar algunas palabras que sirvan de base.
- La función lyricpass permite presentar a los artistas. La herramienta descargará todas las letras de sus canciones y cada línea se añadirá como una nueva palabra. Por defecto, los nombres de los artistas y una palabra formada por la inicial de la palabra en cada frase, se añadirán también.
- La herramienta generará todas las combinaciones posibles entre ellas.
- Para generar más combinaciones, añadirá algunos separadores comunes (por ejemplo, “-“, “_”, “.”), números y caracteres especiales utilizados frecuentemente en las contraseñas.
- Puedes utilizar leet y case transforms para aumentar sus posibilidades.
- Puede proporcionar listas de palabras que ya has probado contra el objetivo para excluir todas estas palabras de la lista de palabras resultante (
-x
).
Tips
- Los campos pueden dejarse vacíos.
- Las palabras deben ser escritas sin acentos, sólo caracteres normales.
- En el otros campos puedes escribir varias palabras separadas por comas. Ejemplo: 2C,Flipper.
- Utilizando el modo no interactivo, debes proporcionar años en el camino largo y corto (1970,70) para obtener el mismo resultado que el modo interactivo.
- Tienes que tener cuidado con el argumento -n. Si se establece un gran valor, podría resultar en listas de palabras demasiado grandes. Recomiendo valores entre 2 y 5.
- Para proporcionar varios artistas a través de la línea de comandos, debes proporcionarlo separado por comas y entre comillas. Ejemplo:
-a "john doe,john smith"
Lyricpass
Esta característica se basa en una versión modificada de una herramienta desarrollada originalmente por initstring. Los cambios se hacen para integrar la herramienta de entrada y salida con bopscrk.
Recuperará todas las letras de todas las canciones que pertenezcan a los artistas que usted proporcione. Por defecto, almacenará cada artista, cada frase encontrada con la sustitución de espacio, cada frase encontrada reducida a sus iniciales (que se transformarán más tarde si has activado la transformación de mayúsculas y minúsculas).
Uso Avanzado
Personalizar el comportamiento utilizando el archivo .cfg
En el archivo bopscrk.cfg puedes especificar tus propios caracteres y activar/desactivar opciones:
- extra_combinations (como
(john, doe) => 123john, john123, 123doe, doe123, john123doe doe123john
) están habilitados por defecto. Puedes deshabilitarlo en el archivo de configuración para obtener listas de palabras más enfocadas. - separators_chars: caracteres para usar en extra-combinaciones. Puede ser un solo carácter o una cadena de caracteres, por ejemplo:
!?-/&(
- separators_strings: strings para usar en extra-combinaciones. Puede ser un solo string o una lista de strings separados por espacio, por ejemplo:
123
34!@
- leet_charset: caracteres a sustituir y el correspondiente sustituto en las transformaciones leet, por ejemplo:
e:3 b:8 t:7 a:4
- recursive_leet: permite una llamada recursiva a la función leet_transforms() para obtener todas las transformaciones leet posibles (desactivadas por defecto). ADVERTENCIA: habilitada con parámetros –max enormes (por ejemplo: mayores de 18) podría tomar varios minutos. Puede ser true o false.
- remove_parenthesis:eliminar todos los paréntesis en las letras que se encuentran antes de cualquier transformación
- take_initials: producir palabras basadas en la inicial de cada palabra en frases líricas encontradas (si se activa con remove_parenthesis desactivado, puede producir palabras inútiles)
- artist_split_by_word: dividir los nombres de los artistas y añadir cada palabra como una nueva
- lyric_split_by_word: lo mismo con las letras encontradas
- artist_space_replacement: reemplazar los espacios en los nombres de los artistas con los caracteres/strings definidos en el charset
- lyric_space_replacement: lo mismo con las letras encontradas
- space_replacement_chars: caracteres para insertar en lugar de espacios dentro de un nombre de artista o una frase lírica. Puede ser un solo carácter o una cadena de caracteres, por ejemplo:
!?-/&(
- space_replacement_strings: strings para insertar en lugar de espacios dentro de un nombre de artista o una frase lírica. Puede ser una solo string o una lista de strings separadas por espacios, por ejemplo:
123
34!@
Aviso Legal
Esta herramienta está creada con el único propósito de la concienciación y la educación en materia de seguridad, no debe utilizarse contra sistemas que no tengan permiso para probar/atacar.
bopscrk (este enlace se abre en una nueva ventana) por r3nt0n (este enlace se abre en una nueva ventana)
Generate smart and powerful wordlists