Menu

Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles

Ataques de reutilização de credenciais (“credential stuffing”)

Você informa um endereço de e-mail para o Cr3dOv3r, então ele faz dois trabalhos simples:

  • Procura por vazamentos (leaks) públicos que contenha tal e-mail, se houver, retorna com todos os detalhes disponíveis sobre o vazamento (utiliza API do haveibenpwned) e tenta obter as senhas de texto simples a partir dos vazamentos encontrados (usando @GhostProjectME);

  • Agora, você informa uma senha ou uma senha vazada, então ele tenta utilizar essas credenciais contra alguns sites conhecidos (ex: Facebook, Twitter, Google, etc) e informa se o login foi bem sucedido.

Alguns dos cenários que o Cr3dOv3r pode ser utilizado:

  • Verificar se o e-mail de destino consta em vazamentos e use a senha vazada para verificar os sites;

  • Verificar se as credenciais de destino encontradas são reutilizadas em outros sites ou serviços;

  • Verificar se a senha antiga que você obteve do vazamento ainda é usada em qualquer outro site.

Screenshots

cr3dov3r_01

.

cr3dov3r_02

.

cr3dov3r_03

Utilização

uso: Cr3d0v3r.py [-h] [-p] [-np] [-q] email

Argumentos posicionais:
  email       Email/username para checar

Argumentos opcionais:
  -h, --help  mostre esta mensagem de ajuda e saia
  -p          não verifique se há vazamentos ou senhas de texto simples
  -np         não verifique senhas de texto simples
  -q          modo silencioso (sem banner)

Instalação e Requisitos

Para pleno funcionamento da ferramenta, você deve ter:

  • Python 3.x ou 2.x (preferencialmente versão 3);
  • Sistemas Linux ou Windows;
  • Funcionou em algumas máquinas com MacOS e python3;
  • Os requisitos são mencionados nas próximas linhas.

Instalação em Windows

Após baixar o ZIP e descompactá-lo:

cd Cr3dOv3r-master
python -m pip install -r win_requirements.txt
python Cr3d0v3r.py -h

Instalação em Linux

git clone https://github.com/D4Vinci/Cr3dOv3r.git
cd Cr3dOv3r
python3 -m pip install -r requirements.txt
python3 Cr3d0v3r.py -h

Instalação para Docker

git clone https://github.com/D4Vinci/Cr3dOv3r.git
docker build -t cr3dov3r Cr3dOv3r/
docker run -it cr3dov3r "[email protected]"

Se você quiser adicionar um site à ferramenta, siga as instruções no wiki.

Confira também o artigo violações de senhas estão impulsionando o mercado de credential stuffing, publicado aqui mesmo no site.

Download Cr3dOv3r

Para efetuar o download do Cr3dOv3r, baixe direto por este link (413 kb) ou confira a página oficial do projeto no Github.

.

Disclaimer: Todas as informações aqui contidas são para fins didáticos e não para causar danos e prejuízos para alguém, usem sempre o conhecimento aqui compartilhado com ética e responsabilidade. Não nos responsabilizamos pela utilização indevida do conteúdo aqui exposto. Leia mais no aviso legal em nosso site.

.

Post Navigation

Treinamento online sobre proteção contra ataques DDoS

Análise da Lei Geral de Proteção de Dados (LGPD)

Postagens relacionadas:

como-funciona-o-https

Como funciona o HTTPS?

Capa-Post-PhoneSploit

Explorar dispositivos Android através de portas ADB abertas

cisco-krack

Cisco avisa que 69 de seus produtos foram afetados pela vulnerabilidade Krack

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Salvo disposição em contrário, todo o conteúdo deste site está disponível sob a licença Creative Commons BY-NC-SA 4.0.
Este site tem fins educacionais e informativos. Nenhum conteúdo aqui deve ser considerado como aconselhamento jurídico ou tecnológico.
As opiniões neste site/blog são exclusivamente minhas e não refletem as de meus empregadores, passados, presentes ou futuros.
Valorizamos sua privacidade. Consulte nossa Política de Privacidade e o Aviso Legal para obter mais informações.