Hola hacker, los diccionarios son una parte muy importante a la hora de realizar un ataque de fuerza bruta, debemos tener en cuenta nuestro objetivo y, cuanto más sepamos de él, más posibilidades de éxito tendremos.
Nada como github para encontrar buen material, si por ejemplo buscamos diccionarios para wpa, podemos buscar:
site:github.com wpa wordlist
Esto nos dará unos cuantos resultados:
También podemos buscar contraseñas por defecto:
site:github.com default passwords
Si no, debemos recolectar toda aquella información de nuestro objetivo y ponerla en un fichero, e incluso combinar toda esa información.
Si estamos auditando la web personal de alguien tendremos muchas posibilidades de éxito si encontramos y concatenamos nombres y fechas conocidos para esa persona, pareja, hijos, mascota, cumpleaños, aniversarios, … aquí nos pueden ayudar herramientas como cewl o cupp, os sorprenderíais cuanta gente en el mundo tiene como PIN para desbloquear teléfonos o cuentas bancarias fechas importantes para esa persona, de modo que conocer nuestro objetivo es esencial, y después combinar esa información.
Ya hablamos de como crear diccionarios específicos usando estas herramientas para un objetivo en nuestro post: crea tu propio diccionario
Hoy os dejo un par de script en bash para combinar ficheros y para obtener números de DNI válidos, para bien o para mal, el DNI es utilizado como usuario en muchas plataformas.
Todo esto obviamente desde un punto de vista ético y legal; a los administradores web o de sistemas, ya sabéis, controlad el número de accesos permitido, y al resto del mundo, poned un doble factor de autenticación en aquello que os importe, y nada de contraseñas por defecto por favor.
Always Learning.
