在 OSINT 或取证调查过程中,有时您需要调查对象的电子邮件密码。在安全评估或渗透测试中,您可能希望检查是否可以获取目标组织中用户的密码。几乎每天都会发生另一起数据泄露事件,这些电子邮件地址和其他凭据会在暗网上出售和交换。如果你能获得这些证书,它可能会让你的工作变得容易得多。
在之前的教程中,我们演示了一些用于查找被破坏的电子邮件地址和密码的工具,包括h8mail。在本教程中,我们将了解查找泄露的电子邮件、密码和其他凭据的最佳工具,www.dehashed.com。
步骤 #1:打开浏览器并导航至www.dehashed.com
打开浏览器并转到www.dehashed.com 与 haveIbeenpwned.com 等许多其他网站一样dehashed从暗网上被黑客破坏的数据转储中收集电子邮件和凭据。与其他网站不同,dehashed 为您提供来自各种转储的特定电子邮件地址的所有凭据。
例如,作为对诈骗者 Instagram 帐户进行取证调查的一部分(合法的 IG 帐户被接管并用来骗取男人的钱),我找到了诈骗者使用的电子邮件地址a.rushubirwa@gmail。com(注意:这是骗子使用的帐号,但实际上属于另一个人,已被骗子接管)。从那里,我将电子邮件地址输入到dehashed.com中。
Dehashed 发现电子邮件地址出现在至少 3 个数据转储中。当我们点击其中一个转储时,dehashed 告诉我们需要订阅才能获取密码或密码哈希或其他信息。
Dehashed 相对便宜,如果你是一名调查员或渗透测试员,对于一些关键信息来说,它只是一个很小的成本。
现在我们已经订阅并登录了帐户,我们再次进行搜索。这次当我们点击其中一个转储时,散列密码就会显示出来。
从这里,我们可以尝试使用以下网站破解哈希;
https://crackstation.net/和https://hashes.com/en/decrypt/hash或使用 John the Ripper 或hashcat等哈希破解工具。
在某些情况下,数据转储包括其他关键信息。
在此转储中,显示了帐户名、用户名和 IP 地址。
这个来自Mathway的转储包括姓名、谷歌和FacebookID、电子邮件地址、salted哈希和 IP 地址。
第 2 步:尝试使用另一封电子邮件
现在让我们尝试另一个。这个属于同事 Mick Scott。如您所料,他的电子邮件地址是[email protected]。当我们将它输入 dehashed 时,它会返回许多结果。当我们点击 2014 年CouponMom.com数据转储的第一个结果时,我们可以看到他的密码以明文“redinuzi17”转储。
其他转储显示另一个密码“fender8”
在另一个转储中,他的密码被转储为哈希值。
当然,用户可能不再使用这些密码,但正如我们所知,人类倾向于使用旧密码的一个版本。这就是诸如crunch之类的工具在创建密码变体时非常有用的地方。
概括
无论您是在进行 OSINT 调查还是渗透测试,找到目标的凭据对于您的成功都至关重要。尽管有许多工具可用于从数据转储中获取泄露的凭据,但 dehashed.com可能是最好和最快的。虽然它不是免费的,但价格低廉,如果您是一名调查员或信息安全评估员/渗透测试员,它可能是一项很好的投资。
原文始发于微信公众号(调查实战教学):开源情报 (OSINT):我是如何找到骗子泄露的电子邮件地址、密码和其他凭据的