Cr3dOv3r es una herramienta basada en Python que lleva a cabo el trabajo preliminar como una herramienta de ataque de reutilización de contraseñas.
La idea y objetivo son simples, hacemos una prueba de credencial (usuario o correo electrónico, y contraseña) y luego verificamos si ha tenido éxito en inicios de sesión de 14 sitios web populares. Lo categorizaré como una herramienta de seguridad informática.
#Cr3dOv3r: A mi me descuidas dos minutos y ya comprobé si reutilizaste tu contraseña. Vía @EsGeeks ► https://t.co/hQMdgRHfRW pic.twitter.com/lQfWyxzeZv
— alexynior (@alexynior) July 29, 2018
1. ¿Qué es Cr3dOv3r?
Cr3dOv3r funciona bastante práctico. Le das un correo electrónico y luego hace dos trabajos simples (pero útiles):
- Busca filtraciones públicas para el correo electrónico y si hay alguna, regresa con todos los detalles disponibles sobre la fuga (Usando la API haveibeenpwned).
- Luego le das la contraseña antigua o filtrada de este correo electrónico y a continuación, comprueba estas credenciales en 14 sitios web conocidos (por ejemplo: Facebook, Twitter, Google…), y por último, te dice si el inicio de sesión ha tenido éxito.
Algunos de los escenarios Cr3dOv3r pueden ser usados para:
- Buscar una dirección de correo electrónico específica en busca de fugas y, a continuación, utilizar la contraseña filtrada para contrastarla con otros sitios web.
- Probar un correo electrónico y una contraseña antigua que encontraste en los sitios web.
- Tienes un correo electrónico y una contraseña, y quieres comprobar si utilizas la misma contraseña en otros sitios web.
2. Instalación
Para que la herramienta funcione de la mejor manera, debes tener:
- Python 3.x o 2.x (de preferencia 3).
- Sistema Linux o Windows.
- Instalación en Windows (Después de descargar el ZIP y descomprimirlo)
cd Cr3dOv3r-master
python -m pip install -r win_requirements.txt
python Cr3dOv3r.py -h
- Instalación en Linux:
git clone https://github.com/D4Vinci/Cr3dOv3r.git
cd Cr3dOv3r
python3 -m pip install -r requirements.txt
python3 Cr3dOv3r.py -h
- Instalación para docker:
git clone https://github.com/D4Vinci/Cr3dOv3r.git
docker build -t cr3dov3r Cr3dOv3r/
docker run -it cr3dov3r "ejemplo@gmail.com"
3. Uso y demostración
- Ejecutar Cr3dOv3r:
python Cr3dOv3r.py -h
- Demostración:
python Cr3d0v3r.py micorreo@gmail.com
- Resultado: verificación de reutilización de contraseñas:
Descargo de responsabilidad de demostración
Cr3dOv3r se creó para mostrar cómo los ataques de reutilización de credenciales se vuelven peligrosos y no es responsable del uso indebido o de fines ilegales. ¡Úselo solo para Pentest o con fines educativos! ¡Comparte este artículo con los demás!