{"id":360,"date":"2019-07-24T21:54:51","date_gmt":"2019-07-24T19:54:51","guid":{"rendered":"https:\/\/www.pinguytaz.net\/?p=360"},"modified":"2019-10-08T22:22:44","modified_gmt":"2019-10-08T20:22:44","slug":"enumeracion-usuarios-en-webs","status":"publish","type":"post","link":"https:\/\/www.pinguytaz.net\/index.php\/2019\/07\/24\/enumeracion-usuarios-en-webs\/","title":{"rendered":"Enumeraci\u00f3n usuarios en WEBs"},"content":{"rendered":"\n<p>Hoy presentamos una peque\u00f1a herramienta, mejor dicho peque\u00f1o script, para ayudarnos en nuestros analisis de pentesting.<\/p>\n\n\n\n<p>Dentro de las herramienta <em><strong>Python<\/strong><\/em> que tenemos publicadas en <em><a href=\"https:\/\/github.com\/pinguytaz\/MisPython\">GitHub<\/a><\/em> hemos publicado un nuevo Script \u00ab<a href=\"https:\/\/github.com\/pinguytaz\/MisPython\/blob\/master\/busca_Usuario.py\">busca_Usuario.py<\/a>\u00bb que nos permite realizar una enumeraci\u00f3n de usuarios de una WEB, por ejemplo en un wordpress. <\/p>\n\n\n\n<p>Este script surgi\u00f3 buscando las banderas de la <a href=\"https:\/\/www.vulnhub.com\/entry\/mr-robot-1,151\">CTF (Mr-Robot) <\/a>que ya publicaremos los resultados obtenidos y como  lograr las tres las tres banderas para ayudar a los que se hayan quedados atascados.<\/p>\n\n\n\n<p>Este Script realiza peticiones POST a una URL, pasando los usuarios que se encuentran en un fichero y una clave cualquiera, de forma que nos informara de los usuarios si la WEB que est\u00e1n registrados (cuando la web informa si es la clave o usuario incorrecto, ERROR de segurodad) para luego poder realizar un ataque de fuerza bruta dirigido.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>El uso es sencillo \u00ab<em>python busca_Usuario.py&nbsp;<a href=\"http:\/\/192.168.56.101\/wp-login.php\">http:\/\/192.168.56.101\/wp-login.php<\/a>&nbsp;\u00abInvalid username\u00bb log pwd usu.txt<\/em>\u00bb que es el lanzamiento a mi maquina Mr-Robot y me permitio ver los usuarios que luego use para localizar una de las banderas.<\/p>\n\n\n\n<p>Los par\u00e1metros como se pueden ver son:<\/p>\n\n\n\n<p>Primero es la URL que contiene el  formulario que solicita el usuario y clave.<\/p>\n\n\n\n<p>Segundo un String que aparece cuando el usuario no es valido.<\/p>\n\n\n\n<p>Tercero variable POST del usuario.<\/p>\n\n\n\n<p>Cuatro variable de la clave que se auto rellena.<\/p>\n\n\n\n<p>Quinto es opcional y es el fichero con usuarios, el fichero por defecto es <strong>DicUsu.txt<\/strong>.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Encontramos este SCRIPT en <a href=\"https:\/\/github.com\/pinguytaz\/MisPython\">https:\/\/github.com\/pinguytaz\/MisPython<\/a><\/p>\n\n\n\n<ul class=\"wp-block-gallery columns-0 is-cropped wp-block-gallery-1 is-layout-flex wp-block-gallery-is-layout-flex\"><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Hoy presentamos una peque\u00f1a herramienta, mejor dicho peque\u00f1o script, para ayudarnos en nuestros analisis de pentesting. Dentro de las herramienta Python que tenemos publicadas en GitHub hemos publicado un nuevo Script \u00abbusca_Usuario.py\u00bb que nos permite realizar una enumeraci\u00f3n de usuarios de una WEB, por ejemplo en un wordpress. Este script surgi\u00f3 buscando las banderas de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":454,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[83,85,16,73],"tags":[81,82],"class_list":["post-360","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-pentesting-hacking","category-python","category-seguridad","category-web","tag-mr-robot","tag-python"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=360"}],"version-history":[{"count":3,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/360\/revisions"}],"predecessor-version":[{"id":363,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/360\/revisions\/363"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/454"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}