Metadatos y contraseñas con CeWL

cewl metadatos y contraseñas

Mucho se habla últimamente sobre los metadatos, sus ventajas y sus peligros.
Que los archivos generen metadatos está genial, ya que sin ellos por ejemplo no podríamos organizar mp3 (por artista, género, etc), documentos ofimáticos (por fecha, autor, última modificación, etc), imágenes (fecha, tamaño, ubicación, etc), pero (siempre tiene que haber un pero 😐) cuando esos archivos los hacemos públicos, los subimos o compartimos a internet, podemos tener un problema.



Hoy vamos a ver como analizando los metadatos de toda una página web podemos sacar patrones incluso hasta para averiguar contraseñas por fuerza bruta, tarea algo lenta, pero la cual veremos reducido en su tiempo si somos capaces de conseguir un diccionario con las palabras más usadas de un sitio en cuestión.

Qué es CeWL

CeWL es una herramienta escrita en ruby la cual se encarga de rastrear un sitio web, analizar sus metadatos, analizar las palabras más comunes y repetidas e intentar crear un diccionario bajo unos patrones y con todas las coincidencias para poder sacar claves o contraseñas por fuerza bruta.
Esta herramienta la usaremos siempre para comprobar que nuestras credenciales están bien formuladas o en el caso que seas el administrador de sistemas (el informático) de tu empresa puedas comprobar que las credenciales de los trabajadores van seguras.
Si usas Kali esta herramienta la tendrás ya instalada por defecto pero por suerte está en casi la mayoría de los repositorios por lo tanto para instalarla tan sólo tendrás que poner (los que estáis en Debian) lo siguiente en el terminal:
sudo apt install cewl
Una vez instalada comprobaremos que todo va bien, que tenemos ruby bien instalado y se nos han instalado y configurado todas las dependencias correctamente poniendo lo siguiente
cewl -h
Nos aparecerá la ayuda ya con todas las opciones para usar la herramienta, aunque la más básica para sacar únicamente metadatos es esta:
cewl -a example.com
Tenemos que recordar que este tipo de practica sólo se debe de usar dentro de un entorno controlado o como prueba de concepto ya que al menos el averiguar contraseñas está totalmente prohibido.

Recordar que estamos abiertos a todo tipo de correcciones.

Para más info puedes consultarnos en nuestro email info@rekat.es o a través de nuestra página web https://rekat.es


Saludos! 👾

 
 

Comentarios

Entradas populares de este blog

Fotografía forense con Fotoforensics

Acediendo a nuestra web con ProFTPD

Instalación de Faraday IDE