#gameofhashes

Uma das atividades mais trabalhosas da minha pesquisa de senhas e hashes é, sem dúvida, coletar dumps de sites como o pastebin. Além da dificuldade natural de extrair informações – que surgem nos mais diversos formatos, variando desde saídas do sqlmap a senhas em texto claro e diferentes hashes no mesmo arquivo –, a organização e captura dos dados é um trabalho quase artesanal. 

Para economizar tempo, fiz um pequeno script que monitora alguns desses sites atrás de possíveis informações interessantes. Parcialmente inspirado no Dumpmon, ele faz o seguinte:

Monitora usuários que frequentemente postam dumps de hashes e senhas;

Monitora os trends do Pastebin;

Monitora atualizações gerais, usando a própria busca do Pastebin.

De forma geral o script funciona como um job agendado executando de hora em hora as funções acima e armazenando os dados que preciso. Pastes são guardados em arquivos de texto, enquanto paste IDs, usuários e outros dados ficam em uma base de dados.

Ainda assim senti a necessidade de ter mais um recurso para me ajudar a gerenciar um volume grande de pastes (separando conteúdo útil de dados desnecessários, marcando os pastes já tratados, etc). Resolvi então arriscar um pouco e criar uma interface web que me ajudasse na organização e no monitoramento do funcionamento do script. Eis aqui alguns screenshots:

A tela de pastes me mostra uma lista dos pastes obtidos. No canto superior esquerdo (1) posso ver quando ocorreu a última adição no banco, com a ideia de me ajudar a identificar rapidamente um paste interessante ou um problema de execução no script. Eu posso também adicionar um paste novo à lista (2); caso o usuário não exista, ele é automaticamente adicionado aos usuários monitorados e seus pastes são importados. Na lixeira (3), posso remover pastes que não são uteis para o trabalho. Apenas o arquivo é removido – o paste ID é mantido para evitar que um paste desnecessário seja novamente adicionado à lista. O botão de “Tratado” (4) talvez seja uma das funcionalidades mais simples da aplicação, apesar de útil: ele serve simplesmente para me ajudar a marcar um paste que já teve hashes e senhas extraídos e armazenados.

A tela de usuários é bem simples também. Além do mesmo menu, posso adicionar usuários (1) que serão monitorados e os pastes são automaticamente importados. Clicando no “X”, um usuário deixa de ser monitorado. Para usuários que não estão ativos, basta clicar no ícone do “olho” e ele passa novamente para a lista de monitorados.

A ideia é manter as coisas tão simples quanto possível, mas ainda estou trabalhando em algumas estatísticas para a página inicial.

Como não sou desenvolvedor em tempo integral - faço algumas poucas ferramentas ou scripts para atender alguma necessidade que eu tenho – aproveitei a oportunidade para aprender algumas coisas novas. Para desenvolver a parte web usei o micro framework Flask com Bootstrap e Flat UI para a interface. O Bootstrap é bem simples e há uma variedade grande de templates disponíveis gratuitamente. Quanto ao Flask, também não há muito mistério. A principal vantagem é poder investir o tempo maior na lógica da aplicação: as views recebem os requests e fazem o tratamento dos dados. As páginas são geradas no esquema de tempaltes usando Jinja2, o que facilita para quem não é um webdesigner habilidoso.

Há alguns dias dei uma rápida atualizada repositório password-utils, onde guardo coisas úteis para password cracking e alguns dos resultados dos meus experimentos sobre o tema. Além das três novas wordlists, finalmente disponibilizei o script string2rule.py.

Observei, nos dumps que analisei até então, que variações do nome de sistemas, aplicativos e domínios eram recorrentes na construção de senhas. Criei esse script para gerar regras do john que sigam esse comportamento, adicionando variantes da string passada antes e depois de uma palavra:

python string2rule.py daniel

  Basta copiar as regras para o arquivo john.conf e usá-las:

john --rule:<regra> --wordlist=<wordlist> <hashes>

Um exemplo das senhas que o john irá testar:

Para as regras usei os mapeamentos mais comuns que encontrei - por isso 'x' não é substituído por '><', por exemplo. Também não estão otimizadas (ainda).

Ainda estou procurando uma forma de gerar uma regra que coloque as strings modificadas no meio da palavra (ex.: codaD@ni3Llabs), mas a combinação dessas regras com a wordlists de nomes próprios já têm funcionado bem nos meus últimos testes.

EDIT: Agora as regras adicionam caracteres especiais entre a string gerada e a palavra da wordlist (ex.: daniel_codalabs e codalabs_daniel).

Co0L BSidesSP v7 - Game of Hashes: Quebrando, passando e libertando senhas

No dia 24 de Novembro tive o prazer de apresentar mais uma palestra na BSidesSP. Como da outra vez, me diverti muito e estive com uma plateia fantástica! Espero que todos tenham se divertido tanto quanto eu.

O pessoal do Garoa tem feito um excelente trabalho organizando o evento, que parece estar crescendo a cada edição. Recomendo fortemente que a comunidade participe mais ativamente desse tipo de iniciativa, seja ajudando a organizar ou apresentando trabalhos.

Na sétima edição (pré-Black Hat Regional Summit) falei um pouco sobre algo que venho pesquisado há aproximadamente seis meses: ataques off-line contra hashes gerados em sistemas brasileiros. A ideia central da pesquisa é testar a eficiência das diversas wordlists popularmente usadas, verificar o comportamento do usuário brasileiro na geração das senhas em diversos cenários e estabelecer uma forma de construir wordlists voltadas para o público do Brasil. A palestra apresenta os resultados parciais obtidos até o momento.

Sildes da palestra: https://speakerdeck.com/0xc0da/game-of-hashes-quebrando-passando-e-libertando-senhas

Repositório no GitHub com scripts, wordlists e regras para o John e o Hashcat: https://github.com/0xc0da/password-utils

É bom ficar de olho no repositório, pois ele será atualizado com frequência.

Obrigado a todos que compareceram. Espero revê-los em breve!