Cr3dOv3r – Credential Reuse Attack Tool v Kali Linuxe


V tomto návode preskúmame výkonný nástroj s názvom Cr3dOv3r, ktorý sa používa na vykonávanie útokov na opätovné použitie poverení. Cr3dOv3r je špeciálne navrhnutý pre Kali Linux, populárnu linuxovú distribúciu široko používanú na penetračné testovanie a účely etického hackovania. V tomto článku sa ponoríme do funkcií a použitia Cr3dOv3r a poskytneme podrobné pokyny spolu s útržkami kódu a ich vysvetleniami. Na konci tohto tutoriálu budete dobre rozumieť tomu, ako využiť Cr3dOv3r na identifikáciu potenciálnych zraniteľností pri opätovnom použití poverení a na zvýšenie bezpečnosti vašich systémov.

Inštalácia a nastavenie Cr3dOv3r

Na začiatok si prejdeme procesom inštalácie a nastavenia Cr3dOv3r na vašom počítači Kali Linux. Zvážte nižšie uvedené kroky pre to isté -

Krok 1 − Otvorte terminál v Kali Linuxe. Môžete to urobiť kliknutím na ikonu terminálu umiestnenú na paneli úloh alebo pomocou klávesovej skratky Ctrl+Alt+T.

Krok 2  Po otvorení terminálu musíme naklonovať úložisko Cr3dOv3r z GitHubu. Na klonovanie úložiska použite nasledujúci príkaz 

git clone https://github.com/D4Vinci/Cr3dOv3r.git

Krok 3  Po dokončení procesu klonovania prejdite do adresára Cr3dOv3r pomocou nasledujúceho príkazu 

cd Cr3dOv3r

Krok 4  Teraz musíme nainštalovať požadované závislosti pre Cr3dOv3r. To je možné vykonať spustením inštalačného skriptu. Vykonajte nasledujúci príkaz 

bash setup.sh

Vo vyššie uvedených úryvkoch kódu sme vykonali potrebné kroky na inštaláciu a nastavenie Cr3dOv3r v systéme Kali Linux. Začali sme klonovaním úložiska Cr3dOv3r z GitHubu pomocou príkazu `git clone`. Potom sme prešli do klonovaného adresára s `cd`. Nakoniec sme spustili inštalačný skript `setup.sh` na inštaláciu závislostí vyžadovaných Cr3dOv3r.

Základné použitie Cr3dOv3r

Teraz, keď máme Cr3dOv3r nainštalovaný a nastavený, poďme preskúmať jeho základné použitie a pochopiť, ako funguje. Zvážte nižšie uvedené kroky na používanie Cr3dOv3r:

Krok 1  Spustite Cr3dOv3r spustením nasledujúceho príkazu vo svojom termináli 

python3 Cr3dOv3r.py

Krok 2  Cr3dOv3r vyžaduje e-mail alebo používateľské meno na začatie útoku na opätovné použitie poverení. Zadajte cieľový e-mail alebo meno používateľa ako argument príkazového riadka. Ak chcete napríklad skontrolovať, či bol e-mail „example@gmail.com“ použitý s rovnakým heslom inde, použite nasledujúci príkaz −

python3 Cr3dOv3r.py -email example@gmail.com

Vo vyššie uvedených úryvkoch kódu sme začali spustením Cr3dOv3r pomocou skriptu `Cr3dOv3r.py` s Pythonom 3. Toto inicializuje nástroj a pripraví ho na útok na opätovné použitie poverení. Potom sme poskytli cieľový e-mail alebo používateľské meno ako argument príkazového riadka pomocou možnosti `-email`. Cr3dOv3r tak zameria svoje vyhľadávanie na zadaný e-mail alebo používateľské meno a skontroluje, či bol opätovne použitý s rovnakým heslom na iných platformách.

Pokročilé funkcie Cr3dOv3r

Cr3dOv3r ponúka niekoľko pokročilých funkcií, ktoré môžu zvýšiť jeho efektivitu pri identifikácii zraniteľností pri opätovnom použití poverení. Poďme preskúmať niektoré z týchto funkcií −

Krok 1  Použite príznak „--pwned“ na kontrolu, či e-mail alebo používateľské meno neboli odhalené pri akomkoľvek porušení ochrany údajov. Môžete to urobiť spustením nasledujúceho príkazu 

python3 Cr3dOv3r.py -email example@gmail.com --pwned

Krok 2 − Na zobrazenie dostupných možností a ich popisov môžete použiť príznak `-h` alebo `--help`. Toto poskytuje úplný zoznam možností spolu s ich vysvetleniami. Ak chcete zobraziť ponuku pomocníka, spustite nasledujúci príkaz 

python3 Cr3dOv3r.py -h

Vo vyššie uvedených úryvkoch kódu sme demonštrovali dve pokročilé funkcie Cr3dOv3r. Príznak „--pwned“ umožňuje Cr3dOv3r skontrolovať, či zadaný e-mail alebo používateľské meno neboli prelomené pri akomkoľvek známom porušení údajov. Pomáha to pri identifikácii, či boli poverenia odhalené, čo môže predstavovať významné bezpečnostné riziko. Okrem toho pomocou príznaku `-h` alebo `--help` môžete vstúpiť do ponuky pomocníka a získať podrobné informácie o dostupných možnostiach a ich účeloch.

Analýza a interpretácia výstupu

Pochopenie výstupu generovaného Cr3dOv3r je kľúčové pre získanie zmysluplných poznatkov a identifikáciu potenciálnych zraniteľností pri opätovnom použití poverení. Pozrime sa na rôzne zložky výstupu −

[+] Searching for public leaks for example@gmail.com...
---------------------------------
[-] Leaked in 3 website(s) found!
[1] LinkedIn.com
   - Found: yes
   - Leaked Fields: ['email', 'password']
[2] MySpace.com
   - Found: no
[3] Adobe.com
   - Found: yes
   - Leaked Fields: ['email', 'password']

Vyššie uvedený výstup kódu ilustruje výsledok skenovania Cr3dOv3r pre e-mail „example@gmail.com“. Cr3dOv3r objavil úniky na troch webových stránkach. Napríklad zistil, že e-mail „example@gmail.com“ unikol na LinkedIn.com a Adobe.com, pričom obe platformy odhalili polia pre e-mail a heslo. Na MySpace.com sa však nenašiel žiadny únik e-mailu. Tieto informácie sú kľúčové pre identifikáciu potenciálnych zraniteľností pri opätovnom použití poverení a prijatie vhodných opatrení na ich zmiernenie.

Záver

V tomto návode sme preskúmali Cr3dOv3r, výkonný nástroj na útok na opätovné použitie poverení navrhnutý pre Kali Linux. Pokryli sme proces inštalácie a nastavenia, základné použitie, pokročilé funkcie a interpretáciu výstupu generovaného Cr3dOv3r. Efektívnym využitím Cr3dOv3r môžu profesionáli v oblasti bezpečnosti a etickí hackeri identifikovať prípady opätovného použitia poverení, čo im umožní riešiť potenciálne zraniteľné miesta a zvýšiť celkovú bezpečnosť ich systémov. Je dôležité postupovať opatrne a používať nástroje ako Cr3dOv3r zodpovedne, dodržiavať etické pokyny a právne hranice. Pred vykonaním hodnotenia bezpečnosti alebo penetračného testovania sa vždy uistite, že máte správne oprávnenie. So znalosťami získanými z tohto tutoriálu ste dobre vybavení na efektívne využívanie Cr3dOv3r a posilnenie bezpečnosti vašich systémov.

Poznámka − Je dôležité, aby ste nástroje ako Cr3dOv3r používali zodpovedne a so správnou autorizáciou. Pri vykonávaní bezpečnostných hodnotení alebo akejkoľvek forme penetračného testovania sa vždy uistite, že máte potrebné povolenia a dodržiavate právne a etické pokyny.