M4x
Green Team
- 20.05.2024
- 30
- 69
- Специализация
- Криптография
- Форензика
- Статус верификации
- ✓ Verified
Нам дали персональные данные цели, SHA-1 хеш пароля и скрипт, который этот пароль проверяет. Задача - восстановить пароль, собрав кастомный словарь на основе этой информации.
Для этого отлично подходит CUPP - питоновский инструмент, предназначенный для генерации персонализированных словарей. Он перебирает кучу вариантов: имя + год, имя + дата рождения, разные регистры, цифры, спецсимволы, leet-замены и все такое. Именно поэтому подобные инструменты часто применяются при атаках на пароли, основанные на личной информации.
Клонируем репозиторий и запускаем генератор:
Дальше просто скармливаем ему данные из userinfo.txt. На выходе получаем большой словарь - десятки тысяч вариантов с разными комбинациями. У меня получился файл alice.txt примерно на 40 000 строк.
Переименуем для удобства:
Теперь запускаем чекер:
Скрипт довольно быстро находит пароль:
Aj_15901990
Эта задачка - наглядный пример того, почему пароли на основе личных данных плохая идея. Инструменты вроде CUPP способны за считанные секунды сгенерировать многочисленные комбинации на основе известной информации о человеке, что делает такие пароли крайне уязвимыми. Автор задания в очередной раз напоминает простую истину: никогда не используйте имена, даты рождения и другие персональные данные при создании паролей.
Для этого отлично подходит CUPP - питоновский инструмент, предназначенный для генерации персонализированных словарей. Он перебирает кучу вариантов: имя + год, имя + дата рождения, разные регистры, цифры, спецсимволы, leet-замены и все такое. Именно поэтому подобные инструменты часто применяются при атаках на пароли, основанные на личной информации.
Клонируем репозиторий и запускаем генератор:
Bash:
git clone https://github.com/Mebus/cupp.git
cd cupp
python3 cupp.py -iДальше просто скармливаем ему данные из userinfo.txt. На выходе получаем большой словарь - десятки тысяч вариантов с разными комбинациями. У меня получился файл alice.txt примерно на 40 000 строк.
Переименуем для удобства:
Bash:
cp alice.txt passwords.txtТеперь запускаем чекер:
Bash:
python3 check_password.pyСкрипт довольно быстро находит пароль:
Aj_15901990
Эта задачка - наглядный пример того, почему пароли на основе личных данных плохая идея. Инструменты вроде CUPP способны за считанные секунды сгенерировать многочисленные комбинации на основе известной информации о человеке, что делает такие пароли крайне уязвимыми. Автор задания в очередной раз напоминает простую истину: никогда не используйте имена, даты рождения и другие персональные данные при создании паролей.
