6 de mayo de 2014

Fuerza bruta con Patator

Buscando una herramienta versátil, simple de usar y modular a la hora de ejecutar algo de fuerza bruta sobre algunos servicios, me encontré con esta excelente tool escrita en #Python llamada Patator.

Patator es la simpleza llevada a la consola de comandos, para buscar todas las combinaciones posibles en usuarios y contraseñas a la hora de intentar ingresar a un servicio, independientemente de las consideraciones que debemos tener y recomendada para el uso en un pentesting.

Esta diseñada de forma modular y permite despertar diferentes parámetros dependiendo del servicio que queremos auditar, de esta forma podemos encontrar los siguientes módulos disponibles:


  • ftp_login     : Brute-force FTP
  • ssh_login     : Brute-force SSH
  • telnet_login  : Brute-force Telnet
  • smtp_login    : Brute-force SMTP
  • smtp_vrfy     : Enumerate valid users using the SMTP VRFY command
  • smtp_rcpt     : Enumerate valid users using the SMTP RCPT TO command
  • finger_lookup : Enumerate valid users using Finger
  • http_fuzz     : Brute-force HTTP/HTTPS
  • pop_login     : Brute-force POP
  • pop_passd     : Brute-force poppassd (not POP3)
  • imap_login    : Brute-force IMAP
  • ldap_login    : Brute-force LDAP
  • smb_login     : Brute-force SMB
  • smb_lookupsid : Brute-force SMB SID-lookup
  • rlogin_login  : Brute-force rlogin
  • vmauthd_login : Brute-force VMware Authentication Daemon
  • mssql_login   : Brute-force MSSQL
  • oracle_login  : Brute-force Oracle
  • mysql_login   : Brute-force MySQL
  • mysql_query   : Brute-force MySQL queries
  • pgsql_login   : Brute-force PostgreSQL
  • vnc_login     : Brute-force VNC
  • dns_forward   : Brute-force DNS
  • dns_reverse   : Brute-force DNS (reverse lookup subnets)
  • snmp_login    : Brute-force SNMPv1/2 and SNMPv3
  • unzip_pass    : Brute-force the password of encrypted ZIP files
  • keystore_pass : Brute-force the password of Java keystore files
  • umbraco_crack : Crack Umbraco HMAC-SHA1 password hashes



Es más para demostrar un simple ejemplo de su uso, dentro de su pagina oficial muestra la carga de algunos módulos como por ejemplo ftp_login

$ patator.py ftp_login host=10.0.0.1 user=FILE0 password=qsdf 0=logins.txt -x ignore:mesg='Login incorrect.'

Simple, efectivo y rápido, son las premisas básicas de una excelente herramienta que no puede dejar de probar acompañado de un buen diccionario de usuarios y contraseñas.

Saludos!

Enlace | patator

Entradas populares