В рамках тестирования на проникновение производится проверка криптостойкости парольной политики. Для этого часто применяется перебор по словарю, но для этого требуется иметь хороший словарь. Словари, найденные в интернете часто имеют проблемы с непечатными символами, неправильными переводами строк и т.д., что в итоге приводит к бесполезному перебору нерабочих паролей. Поэтому все подобные словари требуется нормализовать, чем мы и займемся в этой статье.
Удаляем из словаря все строки, которые содержат непечатаемые символы (а так же все пустые строки):
grep -v ^$'[^\40-\176]' входной_файл | sort -u > файл_результата
Описание:
-v – инверсия вывода. Выводим все, что не подходит под шаблон;
^$ – кроме пустых строк;
[^\40-\176] – все ASCII символы, которые можно набрать с клавиатуры без специальных комбинаций. С учетом флага -v используется символ ^ (кроме);
sort -u – выводим только уникальные строки (убираем повторы).
Преобразование из формата Windows (CRLF) в Linux формат (LF) (Удаляем все символы CR):
tr -d '\15' < входной_файл > файл_результата
Преобразование из формата Linux (LF) в Windows формат (CRLF) (Добавляем символы CR в конец строки):
awk '{print $0"\15"}' входной_файл > файл_результата
После нормализации словаря, его можно использовать в ПО для перебора паролей. Так же для составления сложных словарей можно воспользоваться утилитой CredCompilator, описанной в статье Генерация сложных имен для перебора учетных записей и паролей.
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктурыБыть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|