27 mayo, 2022

Enumeración usuarios en WEBs

Hoy presentamos una pequeña herramienta, mejor dicho pequeño script, para ayudarnos en nuestros analisis de pentesting.

Dentro de las herramienta Python que tenemos publicadas en GitHub hemos publicado un nuevo Script «busca_Usuario.py» que nos permite realizar una enumeración de usuarios de una WEB, por ejemplo en un wordpress.

Este script surgió buscando las banderas de la CTF (Mr-Robot) que ya publicaremos los resultados obtenidos y como lograr las tres las tres banderas para ayudar a los que se hayan quedados atascados.

Este Script realiza peticiones POST a una URL, pasando los usuarios que se encuentran en un fichero y una clave cualquiera, de forma que nos informara de los usuarios si la WEB que están registrados (cuando la web informa si es la clave o usuario incorrecto, ERROR de segurodad) para luego poder realizar un ataque de fuerza bruta dirigido.

El uso es sencillo «python busca_Usuario.py http://192.168.56.101/wp-login.php «Invalid username» log pwd usu.txt» que es el lanzamiento a mi maquina Mr-Robot y me permitio ver los usuarios que luego use para localizar una de las banderas.

Los parámetros como se pueden ver son:

Primero es la URL que contiene el formulario que solicita el usuario y clave.

Segundo un String que aparece cuando el usuario no es valido.

Tercero variable POST del usuario.

Cuatro variable de la clave que se auto rellena.

Quinto es opcional y es el fichero con usuarios, el fichero por defecto es DicUsu.txt.

Encontramos este SCRIPT en https://github.com/pinguytaz/MisPython

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: Javier.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a Hostinger.es que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad