Scribd
Cargar
87 vistas10 páginas

Técnicas de Hacking Ético: Passwords

Este documento describe diferentes técnicas para auditar contraseñas como password guessing, password cracking y pass the hash. Explica herramientas como Hydra, Hashcat y Ophcrack que pueden usarse para adivinar o romper contraseñas de forma ética durante una auditoría de seguridad. También discute la importancia de usar contraseñas seguras de más de 10 caracteres con letras, números y símbolos.

Cargado por

jose mejia
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
87 vistas10 páginas

Técnicas de Hacking Ético: Passwords

Este documento describe diferentes técnicas para auditar contraseñas como password guessing, password cracking y pass the hash. Explica herramientas como Hydra, Hashcat y Ophcrack que pueden usarse para adivinar o romper contraseñas de forma ética durante una auditoría de seguridad. También discute la importancia de usar contraseñas seguras de más de 10 caracteres con letras, números y símbolos.

Cargado por

jose mejia
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

A L

N
O E)
I
S H
F E P
R O ( C
P I CO
D O T
A G É
C
I IN
T F
I K
R A C
CE E H
D
TUTOR: FRANCISCO SANZ
CERTIFICADO PROFESIONAL DE HACKING ÉTICO

7.º Passwords
CERTIFICADO PROFESIONAL DE HACKING ÉTICO
Después de un proceso de explotación y post-explotación, debemos seguir con el análisis de las
contraseñas encontradas, ya sea a través de hashdump de meterpreter o de cualquier otro método. Es
imprescindible saber el nivel de calidad y fortaleza de las contraseñas, que en muchísimas ocasiones,
dejan mucho que desear, haciendo muy sencillo el trabajo al atacante.

Cualquier contraseña, ya sea de acceso a nuestro equipo, a un login o a una bbdd, debe tener unas reglas
determinadas para dificultar su identificación. Así, una contraseña de más de 10 dígitos con minúsculas,
mayúsculas, números y caracteres, es muchísimo mas segura que una simple contraseña de cuatro
números.

cphe1692CPHE!!..
1234
CERTIFICADO PROFESIONAL DE HACKING ÉTICO

El proceso de auditoria de este tipo, puede verse como una actividad complementaria a los
proceso de análisis de vulnerabilidades y Explotación, aunque dependiendo de la técnica de
auditoria utilizada, también puede verse como una actividad que hace parte de la fase de
Post- Explotación.
Tipos de ataques:

 Password Guessing
 Password Cracking
 Password Cracking al estilo Rainbow Tables
 Pass The Hash
CERTIFICADO PROFESIONAL DE HACKING ÉTICO
Password Guessing:
La traducción literal sería “adivinando contraseñas”. Consiste en tratar de adivinar las
credenciales de acceso (Usuario y Password) de un usuario.
La prueba en sí, puede ser física (con acceso al equipo), local (en la misma red), remota
(de forma externa)…

Password Guessing podría estar clasificada como una tarea más de la fase de análisis de
vulnerabilidades o de enumeración (que en nuestro caso lo recogemos todo en la
reelección de información), ya que en sí es una vulnerabilidad el tener usuarios y
contraseñas débiles.
CERTIFICADO PROFESIONAL DE HACKING ÉTICO
Hay que tener en cuenta lo siguiente…
1º La cantidad de intentos de adivinar el password, puede crear un bloqueo en la cuenta
de usuario e incluso una denegación de servicio.

2º Imprescindible reconocer posibles usuarios en la fase de recolección de información y


posteriormente crear diccionarios específicos de cada objetivo. Existen herramientas
automatizadas que nos pueden ayudar a realizar esto como Cewl o Crunch, entre otros.
3º Nunca olvidarnos de los típicos usuarios y contraseñas por defecto. Muchas veces, no
se cambian o se usan los de “siempre” para facilitar el NO olvido de los mismos.
CERTIFICADO PROFESIONAL DE HACKING ÉTICO
4º Podemos usar la ingeniaría social para conseguir contraseñas. Existen empresas de pentesting, que
contratan a actores, para realizar esta pruebas.

5º Podemos usar sniffers de trafico de red (vimos el ejemplo en temas anteriores).

6º Podemos usar Malware (keyloggers, control remoto de la pantalla del objetivo)

No debemos confundir adivinar el password a romperlo o crackearlo. Es MUY distinto.


CERTIFICADO PROFESIONAL DE HACKING ÉTICO
Las herramientas que existen para el password guessing son varias…nosotros usaremos las siguientes:

Ophcrack (tablas rainbow)


Hashcat (muy rápido y offline)
Hydra (on line)
Metasploit Módulos Auxiliares (on y off line)

Existen muchas otras, pero nos centraremos en estas.


CERTIFICADO PROFESIONAL DE HACKING ÉTICO

P.O.C
. Hydra y Hashcat
CERTIFICADO PROFESIONAL DE HACKING ÉTICO
Herramientas para realizar Password Cracking:

Son muchas las herramientas usadas para realizar Password Cracking, dentro de las cuales se destaca el uso
, potencia y flexibilidad de la siguientes:

crackstation.net

También podría gustarte