Los nombres de usuario y los valores de contraseña son los métodos más utilizados para fines de autenticación en casi todas las aplicaciones web o cualquier tipo de aplicación. Cuando las credenciales proporcionadas en este tipo coinciden con los valores almacenados en el servidor, solo el usuario se autentica en el servicio especificado. El uso de nombres de usuario y contraseñas débiles puede dar lugar a varias amenazas cibernéticas impactantes, como el descifrado de contraseñas, la fuerza bruta y la apropiación de cuentas. La herramienta CUPP es un script automatizado escrito en lenguaje python que interactúa con el usuario y responde algunas preguntas fundamentales sobre la víctima, como el nombre, el nombre de la empresa, el nombre del socio, etc. Después de analizar estas respuestas, la herramienta CUPP genera algunos posibles nombres de usuario y contraseña. que los atacantes pueden usar para varios ataques como descifrado de contraseñas y fuerza bruta.
Nota : asegúrese de tener Python instalado en su sistema, ya que esta es una herramienta basada en Python. Haga clic para instalar: Pasos de instalación de Python en Linux
Características de la herramienta CUPP
- La herramienta CUPP es una herramienta automatizada.
- La herramienta CUPP está diseñada en el lenguaje python.
- La herramienta CUPP es de código abierto y de uso gratuito.
- La herramienta CUPP admite preguntas interactivas y genera resultados.
- La herramienta CUPP descarga enormes listas de palabras del repositorio.
- La herramienta CUPP admite el modo Leet.
¿Cómo funciona la herramienta CUPP?
El funcionamiento de la herramienta CUPP es bastante simple. Ayudaría si ejecutara el script de python usando el siguiente comando.
python3 cupp.py
Después de ejecutar el script, debe elegir la etiqueta adecuada para la bandera o crear las listas de palabras. Por ejemplo, si ha seleccionado la etiqueta -i, la herramienta CUPP interactúa con usted y le hace algunas preguntas comunes sobre su dominio o persona objetivo. Debe responder esas preguntas, y si no está muy familiarizado o no sabe la respuesta, puede omitir la pregunta sobre cómo presionar el botón Intro en el teclado. Después de proporcionar todas las soluciones, su trabajo está hecho; ahora, la herramienta CUPP analizará la entrada y diseñará palabras únicas o contraseñas. Después de analizar las respuestas, la herramienta CUPP genera un archivo de texto que contiene la frase que los atacantes pueden usar para fuerza bruta o usar como lista de palabras de nombre de usuario o contraseña para realizar ataques de descifrado de contraseñas contra esa víctima.
Modo Leet en CUPP
El modo Leet es el método o la técnica que se utiliza para proteger las credenciales confidenciales que se utilizan con fines de autenticación. El modo Leet permite a los usuarios sustituir o reemplazar los caracteres con caracteres numéricos o especiales de apariencia similar. Esta Sustitución hace que la confidencialidad de las credenciales sea más fuerte que la credencial común. Por ejemplo,
A: 4, @ B: 8, |8 C: ©, ¢ D: |), |}
En los ejemplos anteriores, tenemos posibles valores de caracteres numéricos y únicos para los caracteres A, B, C, D. El modo Leet fortalece los valores de Contraseña o Nombre de usuario. La herramienta CUPP admite este modo pequeño. Entonces podemos diseñar las listas de palabras según las instrucciones del modo Leet dadas a los personajes.
Para usar este modo Leet en la herramienta CUPP, necesitamos cambiar los caracteres en cupp.cfg. En la siguiente captura de pantalla, hemos mostrado el contenido del archivo cupp.cfg.
Puede ver que algunos caracteres se reemplazan con valores numéricos o caracteres especiales. Entonces podemos cambiar esto y dar el asunto según nuestra elección. Usaremos este modo como ejemplo en la sección » Trabajar con la herramienta CUPP en Kali Linux «.
Instalación de la herramienta CUPP en el sistema operativo Kali Linux
Paso 1 : Verifique si el entorno de Python está establecido o no, use el siguiente comando.
python3
Paso 2 : Abra su terminal Kali Linux y muévase a Escritorio usando el siguiente comando.
cd Desktop
Paso 3 : ahora está en el escritorio, cree un nuevo directorio llamado CUPP usando el siguiente comando. En este directorio completaremos la instalación de la herramienta CUPP.
mkdir CUPP
Paso 4 : Ahora cambie al directorio CUPP usando el siguiente comando.
cd CUPP
Paso 5 : Ahora tienes que instalar la herramienta. Tienes que clonar la herramienta desde Github.
git clone https://github.com/Mebus/cupp.git
Paso 6 : La herramienta se ha descargado con éxito en el directorio de CUPP. Ahora enumere el contenido de la herramienta usando el siguiente comando.
ls
Paso 7 : Puede observar que se creó un nuevo directorio de la herramienta CUPP que se generó mientras estábamos instalando la herramienta. Ahora muévete a ese directorio usando el siguiente comando:
cd cupp
Paso 8 : Una vez más, para descubrir el contenido de la herramienta, use el siguiente comando.
ls
Paso 9 : ahora que hemos terminado con nuestra instalación, use el siguiente comando para ver el índice de ayuda (da una mejor comprensión de la herramienta) de la herramienta.
python3 cupp.py -h
Trabajar con la herramienta CUPP en el sistema operativo Kali Linux
Ejemplo 1 : Preguntas interactivas para la creación de perfiles de contraseña de usuario
python3 cupp.py -i
1. En este ejemplo, crearemos listas de palabras de contraseñas a partir de información básica conocida sobre nuestra víctima. (-i) i la etiqueta utilizada para Preguntas interactivas para la creación de listas de palabras con contraseña.
2. En la captura de pantalla a continuación, puede ver que proporcioné algunas respuestas a la pregunta sobre mi víctima, como Nombre, Nombre de la mascota, Compañía, etc. Usando esta información, la lista de contraseñas se crea con 5933 palabras únicas, y estas palabras son almacenado en el archivo de texto, que se puede utilizar para otras fases.
3. En la siguiente captura de pantalla, mostramos el archivo de texto creado que consta de 5933 palabras únicas.
Ejemplo 2 : Descarga enormes listas de palabras del repositorio
python3 cupp.py -l
1. En este ejemplo, descargaremos listas de palabras creadas previamente para el repositorio. Hay varias opciones que consisten en sus propios datos de lista de palabras.
2. En la siguiente captura de pantalla, hemos seleccionado la opción 16 (Hindi). Esta lista de palabras consta de nombres de personas que normalmente se usan en la India o en el idioma hindi.
3. En la siguiente captura de pantalla, puede ver los nombres de las personas que se usan comúnmente en el idioma hindi.
Ejemplo 3 : analizar nombres de usuario y contraseñas predeterminados directamente desde Alecto DB
python3 cupp.py -a
1. En este ejemplo, estamos descargando algunos nombres de usuario y contraseñas comunes de la base de datos de Alecto que se utilizan para inicios de sesión administrativos.
2. En la siguiente captura de pantalla, tenemos la lista de palabras de contraseñas que se usan comúnmente en las autenticaciones administrativas.
3. En la siguiente captura de pantalla, tenemos la lista de nombres de usuario que se usan comúnmente en las autenticaciones administrativas.
Ejemplo 4 : Mostrar la versión de este programa
python3 cupp.py -v
En este ejemplo, simplemente estamos imprimiendo la versión más reciente o actual de la herramienta CUPP. La etiqueta (-v) se usa para imprimir la versión.
Ejemplo 5 : modo silencioso (no imprimir banner)
python3 cupp.py -q
En este ejemplo, estamos ocultando el texto ASCII para el texto del banner. La etiqueta (-q) se usa para ocultar el banner.
Ejemplo 6 : Modo Leet
Make Changes in the cupp.cfg file
1. En este ejemplo, realizaremos una demostración del modo Leet. En la siguiente captura de pantalla, tenemos el archivo cupp.cfg sin cambios que cambiaremos.
2. En la siguiente captura de pantalla, tenemos que cambiar el valor de a=4 a a=@.
3. En la siguiente captura de pantalla, hemos ejecutado el script cupp.py y proporcionaremos el nombre del objetivo. Así que hemos proporcionado el nombre del objetivo como Gaurav Gandal que contiene el carácter a.
4. En la siguiente captura de pantalla, puede ver que la interfaz de la herramienta solicita la confirmación del modo leet, por lo que le hemos proporcionado Y (Sí).
5. En la siguiente captura de pantalla, puede ver que un carácter se sustituye por el carácter ‘@’ y todas las palabras se guardan en el archivo de texto.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA