# Introducción al _cracking_ de contraseñas usando sistemas en la nube
#### Por _Félix Brezo ([@febrezo](https://twitter.com/febrezo))_ y _Yaiza Rubio ([@yrubiosec](https://twitter.com/yrubiosec))_

<a rel="license" href="http://creativecommons.org/licenses/by-nc-sa/4.0/"><img alt="Licencia de Creative Commons" style="border-width:0" src="https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png" /></a>

Este cuaderno de Jupyter presenta una introducción al _cracking_ de contraseñas, tomando como referencia de trabajo notas y apuntes de los autores del documento combinados junto con el entorno de desarrollo preparado por el usuario de Github [mxrch](https://github.com/mxrch) para trabajar con Google Colab.
Desde este mismo cuaderno es posible utilizar las herramientas mencionadas para investigar y probar el funcionamiento de la computación GPU en el ámbito del _cracking_ de contraseñas.

Como tal, Google Colab es un servicio en la nube gratuito basado en cuadernos de Jupyter para el testeo y investigación con _machine-learning_ y otras tecnologías. 
Ofrece un entorno de ejecución optimizado para dicha tarea con acceso estable y robusto a _hardware_ especifíco como tarjetas GPU o dispositivos TGU. 
Como explica Google en una [batería de preguntas frecuentes sobre el servicio](https://research.google.com/colaboratory/faq.html#gpu-availability), los recursos disponibles varían con el tiempo en función de la demanda del servicio, pero sirven de base para tener una aproximación al servicio.


# 1 Antes de empezar

Como se ha comentado, el entorno está basado en Jupyter Notebooks.
Se trata de una herramienta que se utiliza principalmente para facilitar el desarrollo de iniciativas y proyectos de ciencia de datos basados en herramientas como Python.
Como principales características podemos señalar que se integra una interfaz interactiva en la que el código de la aplicación se puede editar y ejecutar por bloques, así como incluir texto explicativo o aclaratorio como este que estás leyendo.

## 1.1 Objetivos de este documento

<br />Este obra está bajo una <a rel="license" href="http://creativecommons.org/licenses/by-nc-sa/4.0/">licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional</a>.
La sección cuarta del mismo está basada en otro documento original de **mxrch** destinado al uso de la plataforma de Google Colab para procesos de _cracking_ cuyo contenido original se puede encontrar [aquí](https://colab.research.google.com/github/mxrch/penglab/blob/master/penglab.ipynb) o en el [repositorio de Github](https://github.com/mxrch/penglab) creado a tal fin.
De dicho proyecto se toma prestada la idea de instalar en este entorno las herramientas y procedimientos aquí expuestos, habiéndose incluido utilidades alternativas y desarrollado documentación complementaria con la que permitir introducir al lector en el ámbito del _cracking_ de contraseñas y el uso de recursos colaborativos en la nube. 

Del mismo modo, los comentarios y notas añadidas también pueden ayudar a experimentar por su cuenta a otros perfiles que prefieran trabajar en entornos virtuales bajo su control de cara a tener un contacto más fino con la tecnología que está utilizando. La decisión sobre qué plataforma usar queda a discreción del propio usuario final.


## 1.2 Características propias del entorno de trabajo en la nube

En Jupyter podemos identificar principalmente dos tipos de bloques: los bloques de texto y los bloques de código. Estos últimos se identifican fácilmente porque vienen sombreados en otro color y su cabecera presenta unos corchetes (`[ ]`) a su izquierda.
En los bloques de código que encontraremos a continuación podremos observar diferentes peculiaridades:

- **Comandos del sistema**. Se identifican por ser aquellas líneas que comienzan por el signo de cierre de exclamación (`!`) y permiten la ejecución de comandos contra el sistema subyacente. Por ejemplo, los que siguen son algunos comandos típicos que se pueden ejecutar:

```
!pwd
!ls -la
```

Por ejemplo, la salida de esta secuencia de comandos nada más cargar este cuaderno, sería la siguiente:

```
/content
total 16
drwxr-xr-x 1 root root 4096 May 29 18:19 .
drwxr-xr-x 1 root root 4096 Jun 10 09:09 ..
drwxr-xr-x 1 root root 4096 Jun  8 16:15 .config
drwxr-xr-x 1 root root 4096 May 29 18:19 sample_data
```

Puedes hacer pruebas en el siguiente bloque de código para explorar el sistema. Recuerda hacer clic en el botón de `Ejecutar` y presta atención a la salida.

In [0]:
# Inserta a continuación el comando que quieras ejecutar
!uname -a

Linux 906914deed43 4.19.104+ #1 SMP Wed Feb 19 05:26:34 PST 2020 x86_64 x86_64 x86_64 GNU/Linux


- **Código Python puro**. Se trata de aquellas líneas de código que no vienen precedidas por el carácter `!`. Dentro de estas, podremos diferenciar dos tipos: código estándar y los comentarios a este que vienen precedidos por una almohadilla (`#`). Todo lo que siga al carácter debe entenderse como aclaraciones facilitadas por el programador que se incluye en el código Python para aclarar a otros desarrolladores el sentido del código circundante. Como tal, los comentarios no tienen significado para el programa, solo para otros desarrolladores.



In [0]:
# Esto es un comentario previo a mostrar contenido
print("Hola desde un bloque de código usando código Python")
# Esto que sigue muestra un contenido… pero usando el comando del sistema operativo «printf»
!printf "Hola desde el mismo bloque de código pero utilizando una herramienta del sistema operativo"

Hola desde un bloque de código usando código Python
Hola desde el mismo bloque de código pero utilizando una herramienta del sistema operativo

## 1.3 Entornos de trabajo alternativos

Aunque este documento está concebido para funcionar como cuaderno de Jupyter, se incluye información en los anexos que también puede ser puesta en práctica en máquinas virtuales de [Kali Linux](https://kali.org). 
De hecho, aunque no es neceario, los autores recomiendan experimentar en dichos entornos para familiarizarse con algunas de las herramientas de _cracking_ aquí expuestas antes de lanzar los algoritmos en la nube.

La forma más sencilla de utilizar Kali Linux es a través de las máquinas virtuales generadas por Offensive Security para Kali Linux y que se pueden descargar desde [aquí](https://images.offensive-security.com/virtual-images/kali-linux-2020.2-vbox-amd64.ova).
Para la virtualización de la máquina, VirtualBox es una opción bastante estable teniendo en cuenta además que se trata de software libre.
Las diferentes opciones de descarga de la aplicación se pueden encontrar para cada sistema operativo [en este enlace](https://www.virtualbox.org/wiki/Downloads).

Una vez instalado VirtualBox en tu sistema y descargado el fichero `.ova`, podedmos importarlo desde:

```
Archivo > Importar servicio virtualizado…
```

En el asistente que aparecerá a continuación habrá que seleccionar el
citado fichero y seleccionar la ruta en la que queremos que se cree el disco virtual asociado a la máquina. 
Este proceso puede tardar un par de minutos.
Por defecto, las credenciales de acceso de esta máquina son usuario `kali` y  contraseña `kali`.


# 2 Definiciones

En esta sección se facilitan algunos conceptos básicos cuya comprensión se considera necesaria para entender los procesos de _cracking_ aquí descritos.

- **Autenticación**. Es el proceso por el cual un invididuo o sistema acredita ser quien dice ser. El mecanismo de autenticación más extendido hoy en día es el de usuario y contraseña, pero existen cada vez más alternativas para identificar a los usuarios a partir de sistemas biométricos. En esta categoría entrarían sistemas reconocimiento facila, de iris, de la huella dactilar o la voz).

- **Autenticación por multifactor**. Abreviado habitualmente MFA por sus siglas en inglés, se corresponde con un mecanismo que incluye elementos adicionales para la identificación del usuario. Tradicionalmente, se optaba por el envío de un PIN por un canal adicional (e. g., SMS aunque ya está en desuso) pero puede incluir el uso de otras aplicaciones como Google Authenticator. En ocasiones se suele hablar de 2FA como abreviatura de 2-Factor-Authentication siendo esta un sistema de autenticación que utiliza exactamente dos factores.

- **Autorización**. Es el proceso por el cual un sistema o red autoriza a un usuario autenticado a acceder a determinados recursos en la forma solicitada. Así, un usuario puede estar autenticado en un sistema (se confirma que es quien dice ser) pero puede no estar autorizado para ver o editar un recurso.

- **CPU**. La unidad central de procesamiento es el componente _hardware_ dentro de un ordenador que interpreta las instrucciones de un programa por medio de la realización de operaciones aritméticas (sumas, restas, multiplicaciones), lógicas (operaciones AND, OR, etc.) y operaciones de entrada/salida. Las CPU modernas son microprocesadores y cada  ordenador puede tener varias CPU.

- **_Cracking_ (_password_)**. Es el proceso que consistes en revelar las contraseñas obtenidas de datos almacenados o transmitidos por un sistema informático. Existen diferentes aproximaciones para afrontarlo, pasando por ataques de fuerza bruta, ataques de diccionario o combinaciones híbridas.

- **Criptografía asimétrica**. La criptografía asimétrica utiliza para cifrar cada extremo de la comunicación una clave diferente. La condición previa es que cada extremo genere un par de claves (pública y privada) cuya parte pública será compartida con el otro la parte pública de su clave de modo que Alice obtendrá la clave pública de Bob y viceversa. De esta manera, cuando Alice quiera enviar un mensaje cifrado a Bob, utilizará la clave pública de Bob para enviárselo y cuando Bob quiera enviar un mensaje a Alice hará lo propio con la clave pública de ella. Ambos mensajes solamente podrán ser descifrados con la parte privada de la clave pública correspondiente. 

  Una metáfora que se suele utilizar para explicar cómo funciona el sistema de claves es el concepto de llave y candado. Alice generaría una clave privada (la llave, que se quedaría ella) y una parte pública (un candado abierto). Cada vez que otra persona quiera enviar un paquete a Alice, tendrá que cerrar el mismo con el candado que sabe que le dio Alice. Al cerrarlo, solamente se podrá abrir con la llave correspondiente que custodia para sí Alice. 

  Este esquema criptográfico es significativamente más lento que la criptografía simétrica, pero se suele utilizar en combinación con ella de modo que lo que se suele cifrar es una clave temporal de longitud preacordada que es la que se utiliza para cifrar y descifrar el mensaje. De esta manera, la cantidad de información a cifrar por el esquema asimétrico se limita y se puede aprovechar la mayor velocidad del esquema simétrico.

- **Criptografía simétrica**.  La criptografía simétrica es aquella que utiliza la misma clave para cifrar que para descifrar, lo cual requiere que ambas partes de la comunicación compartan de antemano la clave a utilizar o el procedimiento para generarla. El principal problema al que tiene que enfrentarse la criptografía simétrica es precisamente a ese procedimiento dado que si el canal utilizado es comprometido la información sensible a proteger también puede haber sido comprometida. Este tipo de criptografía es el que se utiliza cuando se pone una contraseña a un fichero ofimático y es varios órdenes de magnitud más rápido que un esquema de criptografía asimétrica. 

- **Diccionario (ataque de)**. Parte de la premisa de que muchos usuarios somos vagos y olvidadizos y tendemos a utilizar palabras conocidas o que podrían estar en un diccionario, entendiendo como tal no el conjunto de términos de un idioma sino listados de palabras de nuestro día a día. Así, nos encontramos diccionarios de términos en español o inglés, pero también de personas famosas, localizaciones, canciones, películas o fechas.

- **Esteganografía**. Es la disciplina que trata el estudio de técnicas que permiten ocultar mensajes dentro de otros llamados portadores. Mientras la criptografía se encarga de hacer ininteligible el contenido de un mensaje, la esteganografía se encarga de ocultar el mero hecho de que se envía un mensaje.

- **Fuerza bruta (ataque de)**. Intenta averiguar la contraseña por un método mucho más violento: generando todas las posibles combinaciones de contraseñas. Un ataque de fuerza bruta típico puede intentar verificar si la contraseña es una letra en minúscula, mayúscula o un número. Cuando confirma que no es ninguna de esas, probará todas las combinaciones de dos caracteres; luego de tres caracteres y así sucesivamente. La longitud de las contraseñas es aquí un elemento de protección ya que incrementa el tiempo necesario para encontrarla por azar.

- **GPU**. En castellano unidad de procesamiento gráfico, se trata de un componente hardware con capacidad para realizar operaciones gráficas o en coma flotante destinado a aliviar la carga de procesamiento de la unidad central de procesamiento (CPU) aprovechando que cuenta con un más amplio número de unidades aritmético-lógicas (ALU) para realizar operaciones matemáticas. Se utiliza ampliamente en programas de renderización tridemensional, en videojuegos y en utilidades que requieren de elevados recursos de cálculo. Por ejemplo, para beneficiarnos de las capacidades de _cracking_ de Google Colab es importante que seleccionemos este elemento como acelerador _hardware_.

- **_Hash_ (función)**. Se trata de funciones matemáticas que permiten mapear una cantidad de datos arbitraria a valores de una longitud fija. Se trata de funciones matemáticas unidireccionales, i. e., si a unos datos concretos les aplicamos una función _hash_ obtendremos un resumen (a menudo también llamado simplemente _hash_) que deberá ser único. Para los mismos datos, la aplicación de una función _hash_ concreta dará siempre el mismo resultado. Sin embargo, para que la función se pueda considerar robusta, el cambio de un solo bit de información deberá generar una salida completamente diferente en lo que se conoce como efecto avalancha. 

  Las funciones _hash_ tienen otra propiedad que es muy importante: han de ser irreversibles. Es decir, dado un resumen criptográfico no debería ser posible obtener el original. Esta propiedad hace particularmente las funciones _hash_ para, por ejemplo, garantizar la integridad de un documento o de un texto sin almacenar el texto que lo conforma. Así, cuando se quiera comprobar si se está hablando de exactamente el mismo contenido, bastará con aplicar la función _hash_ sobre los datos y comparar el resultado.
  
  Además, se tiene que dar la circuncstancia de que no sea computacionalmente posible obtener dos entradas de datos que generen un mismo resumen criptográfico. Esta situación se conoce como colisión y la existencia de ellas suele ser uno de los primeros indicios de que la función _hash_ en cuestión ha de ser actualizada y modernizada. Algunas de las funciones _hash_ más reconocidas actualmente son MD5, SHA, RIPEMD-160 o WHIRLPOOL.

- **_Proxy_ (servidor)**. Se trata de un servidor que hace de intermediario en las peticiones que hace un sistema a otro. Se utilizan servidores _proxy_ para ocultar la localización real de la petición original o para filtrar determinado tipo de peticiones entre otras tareas.

- **_Shell_**. Es el intérprete de comandos con el que un usuario puede interactuar con el sistema operativo. Permiten al usuario comunicarse por medio de las diferentes herramientas instaladas y efectuar acciones de forma interactiva. También es posible incluir una lista de comandos consecutivamente conformando un _script_ ejecutable o planificar tareas. Un intérprete de comandos permite trabajar con varias sesiones e incluso con diferentes usuarios que pueden tener accesos separados a las distintas partes del sistema.

- **TPU**. En castellano unidad de procesamiento tensorial (del inglés, Tensor Processing Unit), es un circuito integrado de aplicación específica (ASIC) desarrollado por Google específicamente para acelerar los procesos de aprendizaje automático. En el caso del _cracking_ de contraseñas con Google Colab no utilizaremos dicha unidad de procesamiento sino GPU dado que no se trata de una operación de aprendizaje automático.

# 3 Utilidades

Una buena forma de interiorizar cómo funcionan las herramientas de _cracking_ es ponerlas en funcionamiento por nuestros propios medios.
Así nos daremos cuenta en primera persona de por qué es tan importante que utilicemos contraseñas de cierta longitud y de carácter aleatorio.
Por ello, en esta sección presentaremos las herramientas que utilizaremos más adelante y su principal cometido.

# 3.1 Diccionarios

En el proceso de _cracking_ de contraseñas hay dos aproximaciones principales: el ataque de diccionarios y el ataque por fueza bruta. Lo habitual es comenzar por un ataque de diccionario para intentar dar con palabras que son ampliamente utilizadas para ir evolucionando a un enfoque híbrido en el que se itera sobre esas palabras aplicando distintas modificaciones. En casos extremos, no queda otra más que realizar ataques de fuerza bruta, cuya complejidad se va incrementando exponencialmente conforme se incrementa el número de caracteres.

A continuación se muestran dos diccionarios de referencia de diferentes tamaños:

- [`rockyou`](https://download.weakpass.com/wordlists/90/rockyou.txt.gz) (133,44 MB). Un diccionario ligero pero bastante utilizado por ejemplo en retos de seguridad.
- [`hashesorg2019`](https://download.weakpass.com/wordlists/1851/hashesorg2019.gz) (12,79 GB). Significativamente más pesado (del orden de 100 veces) pero con un ratio de acierto elevado.

Si quieres optar por otras alternativas, [weakpass.com](https://weakpass.com) es una buena primera referencia, pero existen una gran cantidad de opciones buscando por `Password Wordlist` en un buscador generalista.

# 3.2 Herramientas

Aunque se pueden añadir otras herramientas de *cracking*, estas son las herramientas que se pueden instalar:

- **Crunch**. Se trata de una herramienta para la generación de diccionarios y listados de palabras _ad hoc_ en base a nuestros propios criterios de longitud de la palabra, tamaño o caracteres incluidos en el listado de palabras candidatas. 

- **John the Ripper**. Se trata de una de las herramientas de cracking de código abierto por excelencia y su código fuente es público en su [repositorio de Github](https://github.com/magnumripper/JohnTheRipper). Tiene una aproximación para el _cracking_ en dos fases: la extracción del resumen criptográfico del fichero o elemento a atacar por un lado y después el ataque en sí mismo. Mientras que el ataque es llevado a cabo por la propia herramienta, el proceso de extracción se realiza con alguno de los [muchos _plugins_ existentes](https://github.com/magnumripper/JohnTheRipper/tree/bleeding-jumbo/run) para distintos tipos de ficheros.

  El enfoque es muy interesante dado que permite que otros investigadores desarrollen _plugins_ para nuevos formatos sin comprometer la estabilidad de la herramienta. Así, existen utilidades para atacar ficheros ofimáticos, ficheros de contraseñas, monederos de criptomonedas o contraseñas del sistema entre otros muchos. 

- **Hashcat**. Se trata de una herramienta de recuperación de contraseñas de origen privativo hasta el año 2015, momento en el que [fue liberada](https://hashcat.net/hashcat/) como _software_ libre bajo licencia MIT. Soporta un gran número de algoritmo de _hashes_ como MD5, SHA1 o MYSQL y permite un alto grado de paralelización para optimizar los recursos de la máquina destinada a esta tarea.

- **Hydra**. Se trata de una herramienta publicada como _software_ libre distribuida [desde Github](https://github.com/vanhauser-thc/thc-hydra) que está destinada al _cracking_ de sistemas de autenticación dispuestos en red como FTP, SMB, POP3, IMAP, MongoDB, MySQL, Teamspeak o VNC entre otros muchos, utilizando para ello diccionarios o pura fuerza bruta. 
Entre las opciones que incluye permite definir los nombres de usuario y contraseña a probar, el tiempo de espera, el uso o no de un _proxy_ intermedio para enmascarar el origen de la petición o el nivel de paralelización utilizado entre peticiones. 
  Dado que el principal cometido de esta herramienta es realizar ataques en red, el cuello de botella no será tanto el cómputo de una operación sino la latencia ofrecida por la red y por el servicio receptor de la petición para resolverla. 
  Esto hace que el uso de esta herramienta no pueda explotar el potencial de la nube que ofrece Google Colab.

Huelga decir en este punto que el uso de todas estas herramientas queda circunscrito a situaciones y entornos amparados por la legislación vigente.
La utilización de este tipo de herramientas, que algunos autores como Jorge Bermúdez se atreven incluso a [definir como ciberarmas](https://www.youtube.com/watch?v=prwHOE65Sjk). 



# 4 Configuración del cuaderno de Google Colab

En esta sección se procederá a la configuración de la máquina de Google Colab para trabajar con las herramientas descritas en apartados anteriores. Su instalación se realiza mediante la configuración de determinados _flags_ que almacenarán el comportamiento que queremos llevar a cabo. En esta sección se aclarán cada una de las variables que se van a utilizar y se indicará cómo utilizarlas.


## 4.1 Preparación del entorno de ejecución

Para utilizar Google Colab hay que contar con una cuenta de Google, con lo que este es un requisito previo para empezar a trabajar. La preparación del entorno de trabajo también es importante si queremos explotar las capacidades GPU que ofrece Google Colab. Desde la opción `Entorno de ejecución`, hay que seleccionar `Cambiar entorno de ejecución` y seleccionar `GPU` como `Acelerador por hardware`.

## 4.2 Instalación de las herramientas en Google Colab

Esta sección es automática y no requiere de la interacción del usuario. En los bloques de código que siguen se procede a la instalación de las herramientas, si y solo si, los _flags_ de cada herramienta han sido seleccionados anteriormente. Sabiendo todo esto, solamente queda seleccionar en los siguientes bloques de código las herramientas elegidas para ser instaladas cambiando el `False` por  `True` (las mayúsculas son importantes).

### 4.2.1 Instalación de Crunch

En este caso, la instalación de Crunch también se realiza directamente utilizando el paquete de Debian asociado y el comando `apt-get`. 
Con un único comando podremos tener en nuestro entorno de _cracking_ en la nube la capacidad de creación de diccionarios ad hoc en base a nuestros propios criterios.

In [0]:
# Activar o desactivar la instalación de Crunch
crunch = True

# Ejecución de instalación si procede
if crunch:
    print("> Instalación de crunch...")
    !apt-get install crunch -y

### 4.2.2 Instalación de John the Ripper

En este caso, la instalación de John the Ripper se realiza utilizando directamente el paquete de Debian asociado y el comando `apt-get`. Aunque para instalar funcionalidades adicionales a las que vienen por defecto podemos usar las instrucciones que brinda [la propia aplicación](https://github.com/magnumripper/JohnTheRipper/blob/bleeding-jumbo/doc/INSTALL-UBUNTU), en nuestro caso es suficiente con este enfoque.

In [0]:
# Activar o desactivar la instalación de John
john = True

# Ejecución de instalación si procede
if john:
    print("> Instalación de john...")
    !apt-get install john -y

### 4.2.3 Instalación de Hashcat

Para Hashcat, primero se instalan las dependencias necesarias con el comando `apt-get` y después se utiliza el código fuente del proyecto disponible en Github para clonarlo, compilarlo e instalarlo. Ten en cuenta, que este proceso puede fallar si ya lo has instalado en una ejecución, pero no te asustes en ese caso, puedes ignorar el error.


In [0]:
# Activar o desactivar la instalación de Hashcat
hashcat = False

# Ejecución de instalación si procede
if hashcat:
    print("> Instalación de hashcat...")
    !apt install cmake build-essential -y
    !apt install checkinstall git -y
    !git clone https://github.com/hashcat/hashcat.git && cd hashcat && make -j 8 && make install

### 4.2.4 Instalación de Hydra

De forma similar a como ocurre con Hashcat, primero se instalan las dependencias necesarias con el comando `apt-get` y después se utiliza el código fuente del proyecto disponible en Github para clonarlo, compilarlo e instalarlo. 

In [0]:
# Activar o desactivar la instalación de Hydra
hydra = False

# Ejecución de instalación si procede
if hydra:
    print("> Instalación de hydra...")
    !apt install cmake build-essential -y
    !apt install checkinstall git -y
    !git clone https://github.com/vanhauser-thc/thc-hydra.git && cd thc-hydra && ./configure && make && make install

Como anteriormente, este proceso puede fallar si ya has instalado Hydra en una ejecución, pero no te asustes en ese caso, puedes ignorar el error.



## 4.3 Descarga de diccionarios

En el siguiente bloque de código se procede a definir la carpeta en la que se guardarán las listas de palabras a utilizar como diccionarios (concretamente, en la variable `wordlists_dir`). Además, también se acotan los dos listados preconfigurados que opcionalmente se podrán descargar: el de `rockyou` (133,44 MB) y el de `hashesorg2019` (12,79 GB).

In [0]:
# Diccionarios
wordlists_dir = "mis_listas"

rockyou = False
hashesorg2019 = False

Recuerda que esto no es necesario si vas a realizar directamente ataques de fuerza bruta o si ya cuentas con un diccionario alternativo, pero si hemos seleccionado alguno el propio cuaderno se encargará de descargar los diccionarios seleccionados. Échale un vistazo al código del siguiente bloque y verás que en realidad es bastante sencillo si sabes lo siguiente:

- **`mkdir`** es un comando del sistema (no de Python, por eso en el bloque de código va precedido de un signo de exclamación) para crear una nueva carpeta. El origen del comando viene del inglés, _**m**a**k**e **dir**ectory_. En este caso usará el nombre de la carpeta que hayamos decidido en el bloque anterior y hayamos guardado en la variable `wordlists_dir`. Para recuperar el valor que hayamos guardado en la variable `wordlists_dir` debemos precederlo con el símbolo del dólar (`$`).
- **`printf`** es un comando del sistema para visualizar en pantalla un mensaje.
- **`cd`** es un comando del sistema para **c**ambiar de **d**irectorio en el sistema y desplazarte por la estructura de carpetas.
- **`wget`** es un comando del sistema para descargar un archivo de una dirección URL.
- **`gunzip`** es un comando del sistema para descomprimir archivos en formato `.gz`, un formato de compresión similar a otros como `.zip` o `.rar`.

La ejecución de cada descarga se realizará, solamente, si las variables correspondientes están activadas a `True`. 

In [0]:
# Wordlists
import os

os.system("wordlists_dir={}".format(wordlists_dir))
!mkdir ./$wordlists_dir
if rockyou:
    !printf "[+] Downloading the Rockyou wordlist...\n"
    !cd $wordlists_dir && wget https://download.weakpass.com/wordlists/90/rockyou.txt.gz
    !printf "[+] Wordlist downloaded !\n[+] Extraction...\n"
    !cd $wordlists_dir && gunzip rockyou.txt.gz
    !printf "[+] Finished !\n[+] Location : $(pwd)/$wordlists_dir/$(ls wordlists | grep rockyou)"

if hashesorg2019:
    !printf "[+] Downloading the HashesOrg2019 wordlist...\n"
    !cd $wordlists_dir && wget https://download.weakpass.com/wordlists/1851/hashesorg2019.gz
    !printf "[+] Wordlist downloaded !\n[+] Extraction...\n"
    !cd $wordlists_dir && gunzip hashesorg2019.gz
    !printf "[+] Finished !\n[+] Location : $(pwd)/$wordlists_dir/$(ls wordlists | grep hashesorg2019)"

La ventaja de este enfoque es que si el analista quisiera añadir nuevos diccionarios u obtenerlos de otras fuentes, podría replicar esta estructura sin mucha dificultad.

## 4.4 Configuración de las herramientas de interacción

Selección del método de interacción

Este cuaderno permite diferentes mecanismos de interacción. En este apartado solo se tratará el proceso de configuración, no la conexión y el uso de los mismos que se explorará más adelante:

- **SSH**. Utiliza el servicio de [ngrok](https://ngrok.com/) para facilitar el acceso remoto por SSH. Es una plataforma estable pero, en palabras del autor original, requiere algo de tiempo para que se despliegue completamente. Para activar la instalación de este mecanismo de interacción bastará con configurar el valor de la variable `ssh` (y solo este) a `True`.

- **Shell de Python**. Utiliza la _shell_ de Python y suele funcionar bastante bien con hashes pequeños (por ejemplo, de pequeños retos o ejercicios simples), pero no tanto para grandes ejecuciones dado que no es un entorno interactivo y  solamente mostrará la salida cuando termine la ejecución. Para activar la instalación  este mecanismo de interacción bastará con configurar el valor de la variable  `python_shell` (y solo este) a `True`.

- **Shell de Bash**. Bash es el intérprete de comandos por excelencia en la mayoría de sistemas Unix. Creado en 1989, en este contexto es una buena opción para grandes hashes con la desventaja ded que el usuario no podrá ver el texto introducido. Para activar la instalación de esta herramienta bastará con configurar el valor la variable `bash_shell` (y solo este) a `True`.

También es posible no activar ningún mecanismo de interacción dejando que todos los valores estén en `False`. Esta configuración permitirá al analista la ejecución de comandos desde bloques de código dentro de este propio cuaderno en la sección correspondiente. Suele ser la opción más sencilla para quien no quiera tener que configurar herramientas adicionales además de la más rápida de desplegar precisamente por ese motivo.




In [0]:
# ¿Qué shell usarás? (o una o ninguna)
ssh = False 
python_shell = False 
bash_shell = False

# Una pequeña verificación de que cumpliste el requisito anterior
if (python_shell and bash_shell) or (bash_shell and ssh) or (ssh and python_shell) :
    print("Please make a choice as requested!")
    exit()

Aunque la ejecución realiza el bloque que sigue es también bastante transparente para nosotros, un vistazo rápido al código nos da pistas sobre las acciones que lleva a cabo.

1. En primer lugar, verifica si el modo `ssh` ha sido habilitado. En caso afirmativo, instala con `pip`, un gestor de paquetes de Python, la herramienta [`remocolab`](https://github.com/demotomohiro/remocolab.git) y levanta un servicio SSH para poder acceder a la máquina utilizando un cliente SSH.

2. En caso de que `ssh` no se haya habilitado, verificará si la opción elegida es  `python_shell`. En ese caso, preparará un entorno con un intérprete de Python que decora con diferentes elementos gráficos.

3. En caso de que `python_shell` tampoco se haya habilitado, verificará si la opción elegida es `bash_shell`. En esta situación, directamente lanzará el comando del sistema `/bin/bash` para permitir una ejecución interactiva de dicho intérprete.

4. Por último, si ninguna de las opciones fue elegida, la forma de interactuar con el cuaderno será a través de un bloque de código específico como veremos más adelante.

Por todo ello, el siguiente bloque no requiere de interacción alguna del usuario y se encarga de resolver las opciones de instalación llevadas a cabo por el usuario.

In [0]:
# Instalación del intérprete correspondiente
from termcolor import colored
import os

if ssh:
    print("> Preparando el servicio SSH...")
    !pip install git+https://github.com/demotomohiro/remocolab.git
    import remocolab
    remocolab.setupSSHD()
elif python_shell:
    os.system("touch /tmp/cmd && touch /tmp/status")

    template_cmd = "echo -n $(whoami)[$(hostname)[$(pwd) &> /tmp/status"
    os.system("bash -c '{}'".format(template_cmd))
    output = {"cmd": "", "status": ""}
    with open('/tmp/cmd', 'r') as f:
        output["cmd"] = f.read()
    with open('/tmp/status', 'r') as f:
        output["status"] = f.read()
    prefixes = output["status"].split("[")
    path = prefixes[2].replace('\n', '')
    prefix = colored(prefixes[0] + "@" + prefixes[1], "red") + ":" + colored(path, "cyan") + "$ "
    print("")

    while 1:
        print(prefix, end='')
        cmd = input()
        template_cmd = "cd {} && ".format(path) + "" + cmd + " &> /tmp/cmd ; echo $(whoami)[$(hostname)[$(pwd) &> /tmp/status"
        os.system("bash -c '{}'".format(template_cmd))
        output = {"cmd": "", "status": ""}
        with open('/tmp/cmd', 'r') as f:
            output["cmd"] = f.read()
        with open('/tmp/status', 'r') as f:
            output["status"] = f.read()
        prefixes = output["status"].split("[")
        path = prefixes[2].replace('\n', '')
        prefix = colored(prefixes[0] + "@" + prefixes[1], "red") + ":" + colored(path, "cyan") + "$ "
        print(output["cmd"])
elif bash_shell:
    !/bin/bash
else:
    print('\n🚨🚨🚨\n🎉 ¡El entorno se ha preparado para ser ejecutado desde un bloque de código!')

## 4.5 Ejecución de la instalación en el entorno _cloud_

Hasta ahora hemos configurado todas las opciones necesarias pero… ¿Qué falta? Falta lo más importante: ejecutar el contenido del cuaderno para que todos los comandos y opciones que hemos trabajado anteriormente se ejecuten ordenadamente y nos den lugar a un entorno bien configurado.

Esto no es difícil. Selecciona `Entorno de ejecución` en el menú superior y, ahí, `Ejecutar todas` o usa el atajo de teclado `Ctrl + F9`. Puedes seguir el proceso de instalación según vaya pasando el cuaderno por los diferentes bloques de código. ¡Presta atención a a las salidas!

En este punto, ya tendríamos que tener las diferentes herramientas instaladas. Por un lado, las herramientas de _cracking_ seleccionadas. Por otro, algún diccionario si así lo hubiéramos descargado. Por último, habríamos preparado también las herramientas del sistema correspondientes para empezar el proceso de _cracking_. 

Podemos usar el siguiente bloque de código para comprobarlo invocando la ayuda de las aplicaciones. Recuerda que las aplicaciones instaladas son aplicaciones del sistema, con lo que **los comandos del sistema subyacente tienen que ir siempre precedidos por un signo de exclamación**.


In [0]:
# Probando la instalación de las herramientas (comenta o descomenta las líneas según tu propia configuración)
!john --help
#!hashcat --help
#!hydra --help

Este cuaderno no tiene el objetivo de desglosar el funcionamiento de cada herramienta. Te recomendamos que revises documentación adicional presente en internet sobre las múltiples opciones de cada herramienta.

## 4.6 Interacción con la plataforma

Como se ha visto en puntos anteriores, existen diferentes formas de interactuar con la plataforma. A continuación, se detalla el proceso con las diferentes alternativas existentes, que deberán utilizarse en función de la herramienta de interacción seleccionada en apartados anteriores.




### A través de bloques de código

Si no queremos tener que configurar ningún elemento adicional, podemos hacerlo desde esta sección y directamente desde el navegador. Como hemos comentado anteriormente, este enfoque es el más sencillo pero requiere que conozcamos el funcionamiento de la herramienta instalada.

In [0]:
# Añade tus comandos del sistema aquí:
!john --help

# 5 Manuales de las herramientas utilizadas

Visto el entorno de ejecución anterior, en esta sección se realiza una pequeña introducción sobre el funcionamiento de las diferentes herramientas de _cracking_ comentadas en este documento. 
Todos los comandos introducidos en esta sección van precedidos por el carácter `$`. 
Este carácter se utiliza únicamente como indicador de que en esa línea empieza un comando del mismo por lo que **no forma parte** de la ejecución del mismo.

Recuerda que si lo que quieres ejecutar son comandos del sistema dentro de Google Colab, en el bloque de código que utilices para hacerlo deberás antecederlos **siempre** de un signo de exclamación.



## 5.1 Creación de diccionarios personalizados con Crunch

Una herramienta muy utilizada para la generación de diccionarios personalizados es la herramienta `crunch`. 
Esta herramienta, que ya viene instalada en sistemas Kali Linux pero que se puede instalar en sistemas basados en Debian con el comando que ya se ha visto anteriormente:

```
$ sudo apt install crunch -y
```

El uso de la herramienta es relativamente sencillo. 
Si escribimos el nombre de la misma, nos mostrará un mensaje de ayuda orientativo.

```
$ crunch
crunch version 3.6

Crunch can create a wordlist based on criteria you specify.  The output from crunch can be sent to the screen, file, or to another program.

Usage: crunch <min> <max> [options]
where min and max are numbers

Please refer to the man page for instructions and examples on how to use crunch.

```

Por ejemplo, si quisiéramos crear contraseñas de 2 a 3 caracteres de tamaño, tendríamos que ejecutar el comando como sigue:

```
$ crunch 2 3 -o mi_diccionario.txt
Crunch will now generate the following amount of data: 72332 bytes
0 MB
0 GB
0 TB
0 PB
Crunch will now generate the following number of lines: 18252 

crunch: 100% completed generating output
```

La opción `-o` nos generará un fichero con todas las combinaciones de entre dos y tres caracteres. 
El tamaño del fichero dependerá de las combinaciones de palabras generadas.
En este caso, con el comando `du -h mi_diccionario.txt` lo podríamos comprobar.

```
$ du -h mi_diccionario.txt
72K     mi_diccionario.txt
```

Como no tiene mucho sentido mostrar todas las contraseñas, vamos a mostrar las diez primeras con el comando `head` y las diez últimas con el comando `tail`.

```
$ head mi_diccionario.txt 
aa
ab
ac
ad
ae
af
ag
ah
ai
aj
$ tail mi_diccionario.txt 
zzq
zzr
zzs
zzt
zzu
zzv
zzw
zzx
zzy
zzz
```

En este caso, el diccionario generado se ha creado por defecto utilizando caracteres en minúsculas pero `crunch` nos deja también elegir los caracteres que nosotros queramos si se los indicamos justo después de la longitud máxima.
Ejecutaremos ahora todos los comandos seguidos.

```
$ crunch 2 3 0123456789abcdef -o otro.txt
Crunch will now generate the following amount of data: 17152 bytes
0 MB
0 GB
0 TB
0 PB
Crunch will now generate the following number of lines: 4352 

crunch: 100% completed generating output
$ du -h otro.txt 
20K     otro.txt
$ head otro.txt 
00
01
02
03
04
05
06
07
08
09
$ tail otro.txt 
ff6
ff7
ff8
ff9
ffa
ffb
ffc
ffd
ffe
fff
``` 

Para ficheros muy grandes, podemos también solicitar a `crunch` que nos genere varios ficheros de tamaños más reducidos que nos faciliten trabajar con ellos o repartir tareas entre distintos equipos por ejemplo.
Para ello, vamos a ejecutar el mismo ejemplo que antes pero solicitando contraseñas de 2 a 5 caracteres y trocecando los ficheros en bloques de 100 KB de tamaño.
Será necesario añadir dos opciones más: `-o START` para indicar que queremos generar ficheros de salida y `-b 100kb` (o la unidad que corresponda) para indicar el tamaño máximo de los ficheros generados.

```
$ crunch 1 5 -o START -b 100kb
...
$ ls -lh
total 2.4M
-rw-r--r-- 1 kali kali 98K Jun 10 19:05 a-aiek.txt
-rw-r--r-- 1 kali kali 98K Jun 10 19:05 aiel-bltq.txt
-rw-r--r-- 1 kali kali 98K Jun 10 19:05 bltr-cpiw.txt
...
-rw-r--r-- 1 kali kali 98K Jun 10 19:05 yfmh-zjbm.txt
-rw-r--r-- 1 kali kali 56K Jun 10 19:05 zjbn-zzzz.txt
```

También se puede limitar el número de resultados con la opción `-c NUM` en donde `NUM` equivaldría al número máximo de palabras a generar.

Otra de las opciones interesantes de `crunch` es la opción de generar diccionarios utilizando plantillas. 
Por ejemplo, en el supuesto de que quisiéramos generar palabras que tuvieran dos números, la palabra `HOLA` y un carácter especial, tenemos la posibilidad de utilizar comodines después de la opción `-t`.

- `@` para minúsculas
- `,` para mayúsculas
- `%` para números
- `^` para otros símbolos

```
$ crunch 7 7 -t %%HOLA^ -o diccionario_plantilla.txt
...
$ head diccionario_plantilla.txt
00HOLA!
00HOLA@
00HOLA#
00HOLA$
00HOLA%
00HOLA^
00HOLA&
00HOLA*
00HOLA(
00HOLA)
$ tail diccionario_plantilla.txt
99HOLA;
99HOLA"
99HOLA'
99HOLA<
99HOLA>
99HOLA,
99HOLA.
99HOLA?
99HOLA/
99HOLA 
```

Para una ayuda más exhaustiva y explorar las diferentes opciones como número máximo de líneas, tamaño de ficheros, etc., deberemos consultar la página del manual, al final del cual se incluyen distintos ejemplos de ejecución comentados que pueden dar una idea sobre otras capacidades.

```
$ man crunch
```






## 5.2 Introducción al _cracking_ de contraseñas con John the Ripper

John the Ripper es una de las herramientas de referencia en el _cracking_ de contraseñas. Es cierto que la forma de trabajar con ella y la gran cantidad de utilidades y opciones con las que cuentan hacen de ella una herramienta compleja, pero a la vez extremadamente versátil.

Sí que es conveniente en este punto hacer una advertencia a quienes trabajen con John the Ripper en entornos en la nube. Subir ficheros directamente al entorno colaborativo de Google puede tener implicaciones en materia de privacidad dado que de facto se está solicitando que la plataforma de Google hospede los ficheros a atacar. En su lugar, es conveniente trabajar en local la extracción de los _hashes_ o elementos relevantes de los ficheros siguiendo las instrucciones [oficiales](https://github.com/magnumripper/JohnTheRipper/blob/bleeding-jumbo/doc/INSTALL-UBUNTU) o directamente desde nuestra instalación de Kali Linux.

En el caso de Kali Linux, debido a un pequeño _bug_ hay que hacer una instalación adicional para que una de las herramientas que vamos a ver después (concretamente, `7z2john.pl`) funcione:

```
$ sudo apt install libcompress-raw-lzma-perl -y 
```

### 5.2.1 Entorno de laboratorio

Para este laboratorio lo primero que haremos será generar algunos ficheros cifrados en diferentes formatos: `7z`, `.odt`, `.xls` y `.pdf`. Emplearemos en cada uno diferentes contraseñas para que podamos ver cómo atacar cada una de ellas con los diferentes ataques. Es cierto que podríamos poner contraseñas más complejas, pero tardaríamos más tiempo en romperlas y el objetivo es aprender a resolverlo.

Lo primero que haremos será preparar nuestro carpeta de pruebas desde la `home` del usuario:

```
$ pwd
$ cd Documents
$ mkdir Test
$ cd Test
```

Los ficheros que se utilizarán para esta práctica se encuentran disponibles en un [repositorio de Github](https://github.com/i3visio/ejercicios-clases), pero es recomendable leer este apartado para entender los diferentes procesos de cifrado.

#### 5.2.1.1 Formato `7z`

El formato es un fichero de compresión bastante eficiente. Si quieres atacar ficheros `.zip` o `.rar` puedes utilizar también dos herramientas instalables en sistemas GNU/Linux, `fcrackzip` y `rarcrack`, que se instalan con `sudo apt install fcrackzip` y `sudo apt install rarcrack` respectivamente.

Para comprimir un fichero con .7z, primero necesitamos crear el documento que queremos cifrar. En este caso, descargaremos una foto del emblema hacker:

```
$ wget https://upload.wikimedia.org/wikipedia/commons/thumb/4/45/Glider.svg/1280px-Glider.svg.png
$ ls
1280px-Glider.svg.png
```

  Para practicar cómo comprimir y descomprimir desde la terminal procederemos a comprimir la fotografía en un nuevo fichero `comprimida.7z` indicando el nombre del programa, la `a` de **a**ñadir y el nombre del fichero que queremos añadir al fichero comprimido.

```
$ 7z a comprimida.7z 1280px-Glider.svg.png

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.utf8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Core(TM) i7-7700HQ CPU @ 2.80GHz (906E9),ASM,AES-NI)

Scanning the drive:
1 file, 22477 bytes (22 KiB)

Creating archive: comprimida.7z

Items to compress: 1

    
Files read from disk: 1
Archive size: 20205 bytes (20 KiB)
Everything is Ok
$ ls 
1280px-Glider.svg.png  comprimida.7z
```

  Si borramos la fotografía que hemos hecho, podemos comprobar si sabemos hacer la e**x**tracción de los archivos comprimidos. Primero borramos:

```
$ rm 1280px-Glider.svg.png
$ ls
comprimida.7z
```

  Y después descomprimimos:

```
$ 7z x comprimida.7z 

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.utf8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Core(TM) i7-7700HQ CPU @ 2.80GHz (906E9),ASM,AES-NI)

Scanning the drive for archives:
1 file, 20205 bytes (20 KiB)

Extracting archive: comprimida.7z
--
Path = comprimida.7z
Type = 7z
Physical Size = 20205
Headers Size = 146
Method = LZMA2:24k
Solid = -
Blocks = 1

Everything is Ok

Size:       22477
Compressed: 20205
$ ls
1280px-Glider.svg.png  comprimida.7z
```

  Este proceso lo hemos hecho directamente sin contraseña, con lo que no nos sirve. Pero generar el archivo comprimido con contraseña es muy sencillo: basta con añadir un `-p` al comando para que nos solicite la `password`. En este caso introduciremos una contraseña numérica sencilla: `2020`.

```
$ 7z a comprimida-01.7z 1280px-Glider.svg.png  -p

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.utf8,Utf16=on,HugeFiles=on,64 bits,2 CPUs Intel(R) Core(TM) i7-7700HQ CPU @ 2.80GHz (906E9),ASM,AES-NI)

Scanning the drive:
1 file, 22477 bytes (22 KiB)

Creating archive: comprimida-01.7z

Items to compress: 1


Enter password (will not be echoed):
Verify password (will not be echoed) :
    
Files read from disk: 1
Archive size: 20226 bytes (20 KiB)
Everything is Ok
```

La descompresión por su parte es idéntica. La única novedad es que nos solicitará la contraseña antes de hacerlo.

#### 5.2.1.2 Formato `ODT`

ODT es un formato de procesamiento de texto que forma parte del estándar ISO/IEC 26300:2006 de OpenDocument. Herramientas como Libreoffice guardan por defecto en este formato y permite en el propio diálogo de guardado hacerlo con una contraseña o incluso cifrándolo con GPG.

#### 5.2.1.3 Formatos de Microsoft Office

Los formatos ofimáticos más utilizados son los nativos de la _suite_ de Microsoft Office. Así, nos podemos encontrar con `doc` o `docx` para ficheros de texto, `xls` o `xlsx` para hojas de cálculo y `ppt` y `pptx` para presentaciones.

La adición de contraseña desde Office es sencilla si sabes donde encontrarla. Está disponible desde el menú `Archivo`, `Guardar como` y seleccionando `Más opciones` justo bajo la extensión. Nos aparecerá entonces un cuadro de diálogo adicional, donde tendremos que pinchar en `Herramientas` y `Opciones generales` para guardar el fichero ofimático con una contraseña.

#### 5.2.1.4 Formato PDF

El formato de impresión por excelencia es el formato PDF. Estandarizado en el [ISO 19005-1:2005](https://www.iso.org/standard/38920.html), el formato también admite contraseñas. Herramientas como Libreoffice o Microsoft Word permiten exportar sus archivos a archivos PDF con contraseña con facilidad desde el propio menú de exportación.

Por ejemplo, en Libreoffice Writer lo podremos hacer desde el menú de `Archivo`, seleccionando `Exportar a` y después `Exportar a PDF…`. En el diálogo que aparecerá podremos introducir una contraseña desde la opción `Establecer contraseñas…` en la pestaña de `Seguridad`.

En Microsoft Word es bastante similar. Desde el menú `Archivo`, seleccionamos `Exportar` y en el diálogo donde nos deja elegir la ruta donde queremos generar el fichero PDF pinchamos en `Opciones`. La última opción es la que nos dejará introducir la contraseña: `Cifrar el documento con una contraseña`.

# 5.2.2 Extracción de _hashes_ de los ficheros utilizados

Junto con John the Ripper se instalan una gran cantidad de pequeñas utilidades que permiten trabajar con distintos formatos de ficheros. 
Si estamos usando Kali Linux, estos ficheros se encuentran en la ruta `/usr/share/john`.
Podemos identificar manualmente los 94 ficheros que tienen la palabra `2john` con un único comando:

```
$ cd /usr/share/john
$ ls -la *2john*
1password2john.py      ansible2john.py     bks2john.py          DPAPImk2john.py    hccapx2john.py         keystore2john.py     lion2john.pl        multibit2john.py          pfx2john.py       radius2john.py      tezos2john.py
7z2john.pl             apex2john.py        blockchain2john.py   ecryptfs2john.py   htdigest2john.py       kirbi2john.py        lotus2john.py       neo2john.py               pgpdisk2john.py   sap2john.pl         truecrypt2john.py
adxcsouf2john.py       applenotes2john.py  ccache2john.py       ejabberd2john.py   ibmiscanner2john.py    known_hosts2john.py  luks2john.py        office2john.py            pgpsda2john.py    signal2john.py      vdi2john.pl
aem2john.py            aruba2john.py       cisco2john.pl        electrum2john.py   ikescan2john.py        krb2john.py          mac2john-alt.py     openbsd_softraid2john.py  pgpwde2john.py    sipdump2john.py     vmx2john.py
aix2john.pl            axcrypt2john.py     cracf2john.py        encfs2john.py      itunes_backup2john.pl  kwallet2john.py      mac2john.py         openssl2john.py           prosody2john.py   ssh2john.py
aix2john.py            bestcrypt2john.py   dashlane2john.py     enpass2john.py     iwork2john.py          lastpass2john.py     mcafee_epo2john.py  padlock2john.py           pse2john.py       sspr2john.py
andotp2john.py         bitcoin2john.py     deepsound2john.py    ethereum2john.py   kdcdump2john.py        ldif2john.pl         monero2john.py      pcap2john.py              ps_token2john.py  staroffice2john.py
androidbackup2john.py  bitshares2john.py   diskcryptor2john.py  filezilla2john.py  keychain2john.py       libreoffice2john.py  money2john.py       pdf2john.pl               pwsafe2john.py    strip2john.py
androidfde2john.py     bitwarden2john.py   dmg2john.py          geli2john.py       keyring2john.py        lion2john-alt.pl     mozilla2john.py     pem2john.py               radius2john.pl    telegram2john.py
```

Si hemos optado por la instalación de John the Ripper manual, estos ficheros se encuentran en la carpeta `run` dentro del proyecto. 
De hecho, en la versión más reciente del mismo, la rama `bleeding-jumbo`, podemos encontrar algunos ficheros más actualizados.

El objetivo entonces es extraer los elementos relevantes de los ficheros para adaptarlos al formato que necesita John the Ripper.
Asumiendo que tenemos los ficheros en `/home/kali/Documents/Test`, vamos a ejecutar los correspondientes ficheros como sigue (recuerda que el tabulador te ayuda a completar las rutas):

```
$ cd /home/kali/Documents/
$ git clone https://github.com/i3visio/ejercicios-clases
$ cd ejercicios-clases
$ cd Cracking
$ /usr/share/john/7z2john.pl comprimida-01.7z >> para_john.txt
$ /usr/share/john/libreoffice2john.py documento-02.odt  >> para_john.txt
$ /usr/share/john/office2john.py tabla-03.xlsx  >> para_john.txt
$ /usr/share/john/pdf2john.pl imprimir-04.pdf >> para_john.txt
```

Se visualizamos el contenido del fichero `para_john.txt` nos encontraremos con una estructura particular extraída de cada uno de los ficheros a analizar:

```
$ cat para_john.txt 
comprimida-01.7z:$7z$2$19$0$$8$d6d98d6d7fc324900000000000000000$997376967$20064$20059$5f935f365571369a1fc672abad802de6643d2f82a47561f99a410e0b1770523e2b75406334729b6fa80deb61ec457364ad9274e34ceeeffce115f6860d5231d0bbcbcb8a...82ba3d1fb1e1e1c6f047e36c2c937c298d549ccaec17de6cfed98b18877a4d4d6c5a54678e6003a492de094586ef8ae447cd408d185bb9063b77b0129d4cb2d1bc32df49ab69917c482396ef04d1818a98e99c22e1e415b5ba0acecf6ea741d19ff436715e82791cbfaaf10664fbad24e4d0a1a81a727e01465047a8c$22477$05
documento-02.odt:$odf$*1*1*100000*32*c4869e785b6ebeb35a57c42543441cab0bbc54aa33935a92a2d89efb19332540*16*43a97c733f4b67bc96db4f35cc0177a7*16*3ac86fe7fcde419bc5c7ef398b2b4316*0*f86cf96b4a02b075edfaf95c5d8f2674cae66a01fb29a4f41607bbd11050d16d5f8df40d504de0df4e53398b8f53439f9b6f5517bc06f5f044461477c693437718bfbd9087cd3d25855bd1cfaca435aa16c8ee316a524abd16fcfb784d8e2898e3e4a8c2e41f1c437f753aed597cc225a4e79acf1d897475c690d2d1edf925cbdbb94a81e69b2f6161e877b0ed1cb56652e82f69dc73d7e6e19bb5f02e9047da41a46afcd965cd17c142144278b...95555b6dd486e097bf05db723d82fca54b003a8ab692701868a0223e2a87c4e8c57c49c340a0ae4016f5f0b9249cb464d962cc6e9e1ddc0ffb9215244a90adf431988f1ed19300353ae5686e67ffeb895df4ac378f079118ad607c9ecbb0ec135f49c902cfb1efe786f734947c4bd728ebc14a62539d28d:::::documento-02.odt
tabla-03.xlsx:$office$*2007*20*128*16*d04c5dd05f1898c5c744b4e8c832efa0*66c6c810d2ce12caf4797765b56bd8be*bcfb99de47366c499c87e3069d756635ab05a749
imprimir-04.pdf:$pdf$2*3*128*-1028*1*16*031d4b899f0405b021346b064c599789*32*88dbe68de296c8363fc4aca52871658a00000000000000000000000000000000*32*cf63530168d4ccebcadbcef4247bc6bab19be9afab5af44cb00e54ebdcabb203
```

### 5.2.3 Ataques de diccionario

En la isntalación por defecto de Kali Linux, esta utilidad solo está disponible como usuario administrador, con lo que habrá que loguearse como tal:

```
$ sudo su
[sudo] password for kali: 
root@kali:/home/kali/Documents/ejercicios-clases/Cracking# john -h
...
```

En este caso, la ejecución de un ataque de diccionario es sencilla, dado que cuenta con una opción `--wordlist=` en la que podremos indicar la ruta hasta el fichero del diccionario a utilizar. Si lo hacemos directamente, John nos mostrará un mensaje en el que nos advertirá de que ha encontrado en el mismo fichero distintos tipos de formatos. Por defecto, y salvo que se indique lo contrario explícitamente con `--format=`, se quedará con todas las entradas del primer tipo de fichero.

```
$ john --wordlist=../../Wordlists/rockyou.txt para_john.txt 
Warning: only loading hashes of type "7z", but also saw type "ODF"
Use the "--format=ODF" option to force loading hashes of that type instead
Warning: only loading hashes of type "7z", but also saw type "Office"
Use the "--format=Office" option to force loading hashes of that type instead
Warning: only loading hashes of type "7z", but also saw type "PDF"
Use the "--format=PDF" option to force loading hashes of that type instead
Using default input encoding: UTF-8
Loaded 1 password hash (7z, 7-Zip [SHA256 256/256 AVX2 8x AES])
Cost 1 (iteration count) is 524288 for all loaded hashes
Cost 2 (padding size) is 5 for all loaded hashes
Cost 3 (compression type) is 2 for all loaded hashes
Will run 2 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
0g 0:00:00:53 0.01% (ETA: 2020-06-20 01:48) 0g/s 27.99p/s 27.99c/s 27.99C/s bhaby..emotional
Session aborted
```

Si presionamos `q` o `Ctrl + C`, pararemos la ejecución, pero podremos retomarla más tarde. Cada tipo de fichero se resolverá a una velocidad diferente en función de su estructura. Podemos pedirle a John que haga un test para evaluar el número de cálculos por segundo que puede hacer. Este proceso tardará un poco pero es bueno tenerlo en mente para poder hacer una primera estimación de cuánto tardará con el equipo actual

```
$ john -test
```

En cualquier caso, para este primer ejercicio de diccionarios atacaremos el archivo Excel indicando el formato `Office+ .

```
$ john --wordlist=../../Wordlists/rockyou.txt para_john.txt  --format=Office
```

¿Puedes dar con la contraseña?


### 5.2.4 Ataques de fuerza bruta

Los ataques de fuerza bruta son también fáciles de configurar con John. En su entorno reciben el nombre de `incremental` y requieren que se le facilite a continuación el listado de caracteres a testear.
Por ejemplo, si queremos atacar el fichero comprimido en `.7z` empleando solo dígitos como contraseñas, podremos hacerlo como sigue:

```
$ john --incremental:digits para_john.txt --format=7z
Warning: only loading hashes of type "7z", but also saw type "ODF"
Use the "--format=ODF" option to force loading hashes of that type instead
Warning: only loading hashes of type "7z", but also saw type "Office"
Use the "--format=Office" option to force loading hashes of that type instead
Warning: only loading hashes of type "7z", but also saw type "PDF"
Use the "--format=PDF" option to force loading hashes of that type instead
Using default input encoding: UTF-8
Loaded 1 password hash (7z, 7-Zip [SHA256 256/256 AVX2 8x AES])
Cost 1 (iteration count) is 524288 for all loaded hashes
Cost 2 (padding size) is 5 for all loaded hashes
Cost 3 (compression type) is 2 for all loaded hashes
Will run 2 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
0g 0:00:00:35  0g/s 80.93p/s 80.93c/s 80.93C/s 011207..013186
0g 0:00:00:57  0g/s 83.91p/s 83.91c/s 83.91C/s 033258..080486
XXXX             (comprimida-01.7z)
1g 0:00:01:02 DONE (2020-06-12 20:44) 0.01610g/s 83.98p/s 83.98c/s 83.98C/s 213530..123458
Use the "--show" option to display all of the cracked passwords reliably
Session completed
```

Aunque dejamos oculta la contraseña, el lector se habrá dado cuenta de que la contraseña es de solo cuatro dígitos y que, si presiona cualquier tecla durante la ejecución las contraseñas que figuran son de hasta seis dígitos. No, tranquilidad, John no se ha saltado esa combinación. Como se explica en [su documentación](https://www.openwall.com/john/doc/MODES.shtml) el orden en que se prueban las combinaciones no es de menor a mayor número de caracteres, sino que John se optimiza para intentar dar con contraseñas más probables primero.

Aunque hemos usado anteriormente el de John viene con algunos modos _incrementales_ ya precargados que prueban hasta un máximo de trece caracteres. Estos modos (además de `lm_ascii` que se utiliza sobre _hashes_ LM de sistemas Windows antiguos) son:

- `ascii`: todos los caracteres ASCII imprimibles (95).
- `alpha`: todas las letras mayúsculas y minúsculas más los números (62).
- `lowernum`. solamente letras minúsculas y dígitos (36).
- `uppernum`. solamente letras mayúsculas y dígitos (36).
- `lowerspace`: solamente letras minúsculas y el espacio (27).
- `upperspace`: solamente letras mayúsculas y el espacio (27).
- `lower`: solamente letras minúsculas (26).
- `upper`: solamente letras mayúsculas (26).
- `digits`: solamente dígitos (10).

Se pueden añadir nuevos modos incrementales modificando el fichero `john.conf` que se encuentra en la ruta `/usr/share/john/john.conf`. En ese mismo fichero, si se busca por ejemplo el lugar en el que aparece `Alnum` nos encontraremos con un archivo de configuración como el que sigue.

```
…
[Incremental:Alnum]
File = $JOHN/alnum.chr
MinLen = 1
MaxLen = 13
CharCount = 62
…
```

Si, por ejemplo, quisiéramos crearnos un modo nuevo llamado `mi_ataque` para _crackear_ contraseñas de exactamente 10 caracteres numéricos en minúscula y obviar aquellas superiores e inferiores en tamaño, podríamos hacerlo añadiendo una nueva configuración como sigue.

```
…
[Incremental:mi_ataque]
File = $JOHN/lowernum.chr
MinLen = 10
MaxLen = 10
CharCount = 36
…
```

Hay más información sobre el uso de este archivo en la [documentación oficial](https://www.openwall.com/john/doc/CONFIG.shtml).


## 5.3. Introducción al _cracking_ de _hashes_ con Hashcat

En esta sección se detalla el proceso de _cracking_ de _hashes_ utilizando la herramienta Hashcat. Hashcat, como John the Ripper, viene instalado por defecto en sistemas operativos como Kali Linux por lo que puede ser un buen ejercicio realizar esas pruebas en un entorno local para interactuar con la interfaz sin necesidad del navegador. 

Recuerda que para ejecutar los comandos en Google Colab deberás preceder siempre estos por un signo de admiración (`!`).


### 5.3.1 Preparación del entorno de pruebas

Para este pequeño manual vamos a generar los hashes correspondientes a distintas contraseñas candidatas. 
El punto de partida en este caso va a ser generar un fichero de _hashes_ que contenga una muestra de _hashes_ asociados a palabras de paso conocidas. 
Esto se puede hacer aplicando `md5sum` sobre diferentes palabras para obtener el resultado del mismo.

Hay en este punto dos cuestiones importantes sobre los comandos facilitados. Por un lado, la opción `-n` que elimina el carácter del salto de línea que añade automáticamente el comando `echo` siempre que visualiza algo. Si no lo hiciéramos, el resultado del _hash_  que estaríamos calculando sería el correspondiente a la palabra con el salto de línea. Véamoslo con una prueba:

```
$ echo "Password" | md5sum
$ echo -n "Password" | md5sum
```

Para que el fichero de destino quede limpio, solamente tendríamos que eliminar aquellos caracteres que no nos serán útiles en el proceso de _cracking_ añadiendo `tr -d " -"`. 

```
$ echo "Password" | md5sum
$ echo "Password" | md5sum | tr -d " -"
```

Con los caracteres `>>`, redireccionaremos la salida a un fichero añadiéndolo al final. Si lo ponemos todo en su conjunto, se nos generaría una lista de comandos como esta. Lo importante es que tengamos en cada línea del fichero un _hash_ de los que querremos atacar.

```
$ echo -n "Password" | md5sum | tr -d " -" >> md5_hashes-05.txt 
$ echo -n "2020" | md5sum | tr -d " -" >> md5_hashes-05.txt 
$ echo -n "HOLA" | md5sum | tr -d " -" >> md5_hashes-05.txt 
$ echo -n "SECRETO" | md5sum | tr -d " -" >> md5_hashes-05.txt 
$ echo -n "Test1234" | md5sum | tr -d " -" >> md5_hashes-05.txt 
$ echo -n "P455w0rd" | md5sum | tr -d " -" >> md5_hashes-05.txt 
$ cat md5_hashes-05.txt 
dc647eb65e6711e155375218212b3964
7b7a53e239400a13bd6be6c91c4f6c4e
c6f00988430dbc8e83a7bc7ab5256346
44c7be48226ebad5dca8216674cad62b
2c9341ca4cf3d87b9e4eb905d6a3ec45
37136d5a39c859c5cc3feb59ec0e47e1
```

En un entorno real, podríamos extraer estas _passwords_ hasheadas de otros ficheros y añadirlas manualmente al fichero en cuestión. En nuestro caso, también se puede descargar el fichero desde el [repositorio de ejercicios](https://raw.githubusercontent.com/i3visio/ejercicios-clases/master/Cracking/md5_hashes-05.txt).

Para iniciar el proceso, bastará con configurar Hashcat para el _cracking_ de las contraseñas en función del fichero que queramos analizar, el tipo de _hashes_ que nos encontremos y el diccionario que queramos utilizar.  Podemos ver un detalle mucho más exhaustivo de la ayuda insertando `hashcat --help`. 

``` 
$ hashcat --help
```


### 5.3.2 _Crackeando_ los _hashes_ por medio de un ataque de diccioanrio

En base a la información facilitada por la ayuda de la herramienta, podremos configurar un ataque de diccionario como sigue:
- `-m 0` especifica el tipo de _hash_ a atacat (en nuestro caso usaremos el valor `0 ` porque es el que la ayuda especifica para atacar _hashes_ MD5 aunque hay muchos otros como se verá más adelante).
- `-a 0` especifica que vamos a realizar un ataque de diccionario
- `-o resultados.txt` especifica el fichero de salida donde se guardarán los resultaods
- `hashes_objetivo.txt` es el fichero con los _hashes_ que queremos probar y que hemos generado en el paso anterior
- `/home/kali/Documents/Wordlists/rockyou.txt` es la **ruta completa** al fichero del diccionario.

```
$ hashcat -m 0 -a 0 -o resultados.txt md5_hashes-05.txt /home/kali/Documents/Wordlists/rockyou.txt
```

En el caso de que no tengamos una tarjeta gráfica configurada, Hashcat nos indicará que no la ha podido encontrar con un mensaje como este:

```
 hashcat (v5.1.0) starting...

* Device #1: Not a native Intel OpenCL runtime. Expect massive speed loss.
             You can use --force to override, but do not report related errors.
No devices found/left.
```

Si añadimos `--force` al comando lo ejecutará igualmente y podremos ver al terminar en el fichero `resultados.txt` aquellos _hashes_ cuyo texto original sí ha conseguido encontrar en el diccionario.

```
$ cat resultados.txt
dc647eb65e6711e155375218212b3964:Password
44c7be48226ebad5dca8216674cad62b:SECRET
7b7a53e239400a13bd6be6c91c4f6c4e:2020
2c9341ca4cf3d87b9e4eb905d6a3ec45:Test1234
c6f00988430dbc8e83a7bc7ab5256346:HOLA

```

### 5.3.3 _Crackeando_ los _hashes_ por medio de ataques de fuerza bruta

Hashcat ofrece también la opción de realizar otro tipo de ataques contra un fichero de _hashes_. En la propia ayuda se especifican las opciones que tenemos:

```
- [ Attack Modes ] -

  # | Mode
 ===+======
  0 | Straight
  1 | Combination
  3 | Brute-force
  6 | Hybrid Wordlist + Mask
  7 | Hybrid Mask + Wordlist
```

Por lo tanto, para un ataque de fuerza bruta estándar deberemos modificar el `-a 0` por  `-a 3`.

```
$ hashcat -m 0 -a 3 md5_hashes-05.txt --force
```

En este punto, se pueden configurar también la longitud mínima y máxima de los elementos a testear. Esto se puede hacer con dos opciones muy concretas:

```
     --increment-min            | Num  | Start mask incrementing at X                         | --increment-min=4
     --increment-max            | Num  | Stop mask incrementing at X                          | --increment-max=8
```

Por ejemplo, para probar todas las posibles combinaciones de dos a cuatro caracteres, bastaría con indicar el _flag_ `-i` y acotar los mínimos y máximos explícitamente:

```
$ hashcat -m 0 -a 3 md5_hashes-05.txt --force -i --increment-min=2 --increment-max=4
```

Otro de los elementos potentes de Hashcat son las máscaras. Las máscaras sirven para acotar los caracteres posibles que podamos encontrar en cada posición. Por ejemplo, si queremos probar contraseñas de cinco letras y un año para generar palabras candidatas como `yaiza2000` o `felix1987`, podríamos especificarlo con Hashcat teniendo en cuenta los conjuntos de caracteres existentes por defecto y otros que nos podemos generar.

```
  ? | Charset
 ===+=========
  l | abcdefghijklmnopqrstuvwxyz
  u | ABCDEFGHIJKLMNOPQRSTUVWXYZ
  d | 0123456789
  h | 0123456789abcdef
  H | 0123456789ABCDEF
  s |  !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
  a | ?l?u?d?s
  b | 0x00 - 0xff
```

Así, para el ejemplo anterior podríamos probar

```
$ hashcat -m 0 -a 3 md5_hashes-05.txt ?l?l?l?l?l?d?d?d?d --force 
...
[s]tatus [p]ause [b]ypass [c]heckpoint [q]uit => s

Session..........: hashcat
Status...........: Running
Hash.Type........: MD5
Hash.Target......: md5_hashes-05.txt
Time.Started.....: Fri Jun 12 21:51:44 2020 (2 secs)
Time.Estimated...: Fri Jun 12 23:09:19 2020 (1 hour, 17 mins)
Guess.Mask.......: ?l?l?l?l?l?d?d?d?d [9]
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........: 25522.3 kH/s (8.82ms) @ Accel:512 Loops:256 Thr:1 Vec:8
Recovered........: 5/6 (83.33%) Digests, 0/1 (0.00%) Salts
Progress.........: 41238528/118813760000 (0.03%)
Rejected.........: 0/41238528 (0.00%)
Restore.Point....: 2048/6760000 (0.03%)
Restore.Sub.#1...: Salt:0 Amplifier:5120-5376 Iteration:0-256
Candidates.#1....: uzrfi3123 -> vxanl4345
...
```

Si  nos fijamos al pulsar la letra `s` para ver el estado vemos que las contraseñas que se están generando satisfacen esa condición: `uzrfi3123 -> vxanl4345`. Con ello estamos reduciendo significativamente el número de combinaciones a probar. 

También sería posible, por ejemplo, considerar que la primera letra es mayúscula para intentar atinar con contraseñas del tipo  `Yaiza2000` o `Felix1987`.

```
$ hashcat -m 0 -a 3 md5_hashes-05.txt ?u?l?l?l?l?d?d?d?d --force 
...

Session..........: hashcat
Status...........: Running
Hash.Type........: MD5
Hash.Target......: md5_hashes-05.txt
Time.Started.....: Fri Jun 12 21:54:19 2020 (2 secs)
Time.Estimated...: Fri Jun 12 23:08:18 2020 (1 hour, 13 mins)
Guess.Mask.......: ?u?l?l?l?l?d?d?d?d [9]
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........: 26762.9 kH/s (8.72ms) @ Accel:512 Loops:256 Thr:1 Vec:8
Recovered........: 5/6 (83.33%) Digests, 0/1 (0.00%) Salts
Progress.........: 60284928/118813760000 (0.05%)
Rejected.........: 0/60284928 (0.00%)
Restore.Point....: 3072/6760000 (0.05%)
Restore.Sub.#1...: Salt:0 Amplifier:6144-6400 Iteration:0-256
Candidates.#1....: Pebtn7789 -> Atlya4345
```

Pero todavía no podemos estar satisfechos dado que tiene toda la pinta de que estamos malgastando esfuerzos con años del tipo `7789` o `4345` como vemos en los ejemplos anteriores. Podemos forzar que explícitamente las dos primeras cifras del año sean `19` para acotarlo aún más:

```
$ hashcat -m 0 -a 3 md5_hashes-05.txt ?u?l?l?l?l19?d?d --force 

Session..........: hashcat
Status...........: Running
Hash.Type........: MD5
Hash.Target......: md5_hashes-05.txt
Time.Started.....: Fri Jun 12 21:55:20 2020 (1 sec)
Time.Estimated...: Fri Jun 12 21:56:18 2020 (57 secs)
Guess.Mask.......: ?u?l?l?l?l19?d?d [9]
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........: 20416.1 kH/s (9.59ms) @ Accel:512 Loops:256 Thr:1 Vec:8
Recovered........: 5/6 (83.33%) Digests, 0/1 (0.00%) Salts
Progress.........: 17039360/1188137600 (1.43%)
Rejected.........: 0/17039360 (0.00%)
Restore.Point....: 0/67600 (0.00%)
Restore.Sub.#1...: Salt:0 Amplifier:16640-16896 Iteration:0-256
Candidates.#1....: Mtxer1999 -> Yqvkt1989
```


## 5.4 Introducción al _cracking_ de servicios conectados con Hydra

Hydra es una herramienta destinada al _cracking_ de contraseñas de sistemas disponibles a través de la red.
Aunque cuenta con la posibilidad de atacar una gran cantidad de protocolos, para este ejemplo utilizaremos un entorno sencillo por HTTP que nos permita explorar las capacidades de la herramienta.
El laboratorio se ejecutará integramente en un entorno virtualizado Kali Linux.



### 5.4.1 Preparación del laboratorio

Para este ejemplo vamos a levantar un pequeño servicio con autenticación que nos solicitará unas credenciales para ver el contenido del mismo: un paquete de Python conocido como `sauth`.
Para instalarlo desde nuestro Kali Linux primero tendremos que instalar el gestor de paquetes `pip3`, que es la herramienta que nos permitirá instalarlo:

```
$ sudo apt install python3-pip -y
```

Tras terminar la instalación, ahora podemos proceder a instalar el paquete correspondiente para el usuario actual:

```
$ pip3 install sauth --user
```

Una vez instalado, ya podremos levantar nuestro servidor de pruebas desde la carpeta que queramos.
Con un comando en el que indicar el nombre de usuario y la contraseña será suficiente:

```
$ python3 -m sauth admin 123
Serving "/home/kali/Documents/Auxiliar" directory on http://0.0.0.0:8333
```

Este comando levantará por defecto un servicio en nuestra máquina local en el puerto `8333` como bien dice su salida. 
Si accedemos a dicho servicio desde el navegador, podremos acceder al contenido de la carpeta desde la que lo hayamos lanzado y ver los archivos correspondientes.
Eso sí, para ello antes habrá que introducir el usuario `admin` y la contraseña `123`.

Con cada acceso que hagamos desde el navegador veremos en la pestaña el registro de la conexión y algunos detalles sobre la misma, con el código `401` para solicitudes no autenticadas y el `200` para aquellas realizadas con éxito.

```
$ python3 -m sauth admin 123
Serving "/home/kali/Documents/Auxiliar" directory on http://0.0.0.0:8333
send header
127.0.0.1 - - [11/Jun/2020 10:11:52] "GET / HTTP/1.1" 401 -
send header
127.0.0.1 - - [11/Jun/2020 10:11:52] "GET / HTTP/1.1" 401 -
127.0.0.1 - - [11/Jun/2020 10:11:57] "GET / HTTP/1.1" 200 -
```

### 5.4.2 Uso básico de Hydra

Con el servicio de ejemplo del punto anterior, dejaremos esa terminal activa y levantada y abriremos una nueva pestaña sobre la que empezar a trabajar.
Hydra tiene un gran número de opciones a resaltar pero un ataque básico necesita básicamente cuatro elementos:

- Un nombre de usuario (lo indicaremos con `-l`) o un fichero con un listado de ellos (lo indicaremos con `-L`)
- Una password (la indicaremos con `-p`) o un fichero con un listado de ellas (lo indicaremos con `-P`)
- La dirección URL y el puerto del recurso a atacar (e. g., `localhost:8000`)
- El tipo de servicio que se va a atacar en función de la naturaleza del mismo: `ftp`, `http-get`, `http-post`, `https-get`, `https-post`, `msyql`, `rdp`, etc.

Así, en el supuesto de que quisiéramos atacar  el servicio HTTP que hemos desplegado anteriormente tendríamos y que conociéramos el usuario (supongamos que lo sabemos: `admin`) y que tengamos una lista de palabras en nuestro diccionario para probar como ya tenemos en el diccionario de `rockyou.txt`, lanzar Hydra es sencillo.
En este caso se ha introducido el servicio como del tipo `http-get` porque la petición realizada es de tipo `GET` y no es un formulario al uso como ocurre, por ejemplo, en muchos portales de autenticación. 
Estos formularios se pueden identificar si nos fijamos en el código fuente de la página y se suelen reconocer por aparecer entre las etiquetas `<form>` y `</form>` y enviar una petición `POST`.


```
$ hydra -l admin -P Wordlists/rockyou.txt 127.0.0.1:8333 http-get
Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2020-06-11 08:37:24
[WARNING] You must supply the web page as an additional option or via -m, default path set to /
[DATA] max 16 tasks per 1 server, overall 16 tasks, 14344398 login tries (l:1/p:14344398), ~896525 tries per task
[DATA] attacking http-get://127.0.0.1:8333/
[8333][http-get] host: 127.0.0.1   login: admin   password: 123
1 of 1 target successfully completed, 1 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2020-06-11 08:37:53
```

Podemos comprobar cómo se ha llevado con éxito un ataque paralelizado con 16 hilos que ha permitido identificar una contraseña correcta en los apenas 30 segundos en que se han comprobado más de 3500 palabras.
Para otras configuraciones más avanzadas, podemos contar con la ayuda de `hydra` en la que se facilitan el listado completo de protocolos que soporta así como otros ejemplos interesantes.

```
$ hydra -h 
Hydra v9.0 (c) 2019 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Syntax: hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e nsr] [-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-W TIME] [-f] [-s PORT] [-x MIN:MAX:CHARSET] [-c TIME] [-ISOuvVd46] [service://server[:PORT][/OPT]]
…
Supported services: adam6500 asterisk cisco cisco-enable cvs firebird ftp[s] http[s]-{head|get|post} http[s]-{get|post}-form http-proxy http-proxy-urlenum icq imap[s] irc ldap2[s] ldap3[-{cram|digest}md5][s] memcached mongodb mssql mysql nntp oracle-listener oracle-sid pcanywhere pcnfs pop3[s] postgres radmin2 rdp redis rexec rlogin rpcap rsh rtsp s7-300 sip smb smtp[s] smtp-enum snmp socks5 ssh sshkey svn teamspeak telnet[s] vmauthd vnc xmpp
…           
Examples:
  hydra -l user -P passlist.txt ftp://192.168.0.1
  hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN
  hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
  hydra -l admin -p password ftp://[192.168.0.0/24]/                                                                               
  hydra -L logins.txt -P pws.txt -M targets.txt ssh  
…
```

La herramienta también cuenta con una pequeña interfaz gráfica para gestionar todas sus opciones desde un entorno de ventanas. 
Esta solamente está disponible en GNU/Linux y se puede arrancar desde la terminal invocándola con el comando `xhydra`.



### 5.4.3 Maximizando las posibilidades de éxito

En el caso detallado en el apartado anterior, el ataque tuvo éxito en apenas 30 segundos en los que se probaron más de 3500 contraseñas candidatas. 
Por este motivo, hay que considerar este ataque como especialmente agresivo y, por tanto, susceptible de . 

Para protegerse frente a este tipo de ataques, las plataformas que admiten autenticación pueden implementar diferentes técnicas defensivas.
Por un lado, bloquear las cuentas que experimentan un número determinado de intentos de autenticación fallidos protegería a los usuarios y limitaría las posibilidades de éxito contra una cuenta concreta de forma significativa.
Sin embargo, esta situación no evitaría, por ejemplo, un ataque realizado contra todos los usuarios de una empresa si solamente se intenta una contraseña contra cada uno de ellos.
De esta manera, un atacante evitaría que se bloquearan cuentas concretas.
Por este motivo, es necesario poner también en cuarentena las conexiones fallidas que proceden de una misma dirección.

Este último ataque, por ejemplo, es muy sencillo de implementar si conocemos el esquema de los nombres de usuario de una compañía.
Por ejemplo, en entornos corporativos los nombres de usuario suelen seguir un mismo patrón como dos letras seguidas de 4 números o técnicas similares. 
Herramientas como `crunch` nos pueden ayudar en esta tarea generando los nombres de usuario candidatos por nosotros. Si tenemos una contraseña que queremos probar contra todos los usuarios del sistema, podríamos ponerlo en práctica como sigue:

In [0]:
$ hydra -L users.txt -p password 127.0.0.1:8333 http-get

### 5.4.4 El enmascaramiento de la identidad

Otro de los elementos interesantes de Hydra es la facilidad con la que se puede proteger el anonimato del atacante.
La herramienta incluye una opción para ser lanzada a través de servidores _proxy_ utilizando únicamente una de las dos variables de entorno que recoge la propia ayuda de la aplicación:

```
$ hydra -h
…
Use HYDRA_PROXY_HTTP or HYDRA_PROXY environment variables for a proxy setup.                        
E.g. % export HYDRA_PROXY=socks5://l:p@127.0.0.1:9150 (or: socks4:// connect://)                    
     % export HYDRA_PROXY=connect_and_socks_proxylist.txt  (up to 64 entries)                       
     % export HYDRA_PROXY_HTTP=http://login:pass@proxy:8080                                         
     % export HYDRA_PROXY_HTTP=proxylist.txt  (up to 64 entries)                                    
…
```

Esto es particularmente útil en ataques contra sistemas en los que se puede intuir que exista un bloqueo de direcciones IP que intenten llevar a cabo ataques de fuerza bruta.
Además, la posibilidad de conectarse con un _proxy_ SOCKS permitiría a Hydra utilizar también el desplegado por la aplicación Tor para aprovechar la capa de anonimato adicional que ofrece dicha red.

# 6 Consideraciones finales

En este cuaderno se han presentado diferentes herramientas que se utilizan para el _cracking_ de contraseñas, poniéndolo en el contexto de su ejecución la plataforma de Google Colab para explotar ĺa capacidad de cómputo que ofrecen tarjetas GPU puestas a disposición de los investigadores por parte de Google.
El objetivo del mismo es sentar una base sólida sobre el funcionamiento de estas herramientas y presentar las capacidades que estas pueden tener en el marco de un _pentesting_ o de un análisis forenses en el que se da con una evidencia que se nos presenta cifrada.

Así, de estas páginas se pueden extraer algunas conclusiones en materia de prevención. Desde el punto de vista del usuario, nos recuerda la importancia de utilizar contraseñas aleatorias no susceptibles de estar presentes en diccionarios conocidos. 

El empleo de caracteres aleatorios y el hecho de intentar evitar repetir contraseñas nos recuerda la importancia del uso de gestores de contraseñas robustos que nos permitan recordar las que empleamos en cada servicio. Pese a ello, no podemos perder de vista que las bases de datos de contraseñas que creemos _ad hoc_, como ficheros individuales que son, tienen que estar muy bien protegidas. Tendremos que aprender una contraseña larga y robusta, pero no podemos ceder a esa obligación si de verdad queremos proteger la confidencialidad de todas aquellas contraseñas que tengamos en nuestra base de datos, más aún, cuando existen herramientas destinadas para atacar estos ficheros que están a nuestra disposición.

Tampoco podemos permitirnos olvidar las protecciones a nivel de red cuando repose sobre nuestros hombros la responsabilidad de gestionar un entorno corporativo. La identificación temprana de intentos de acceso fallidos es un buen punto de partida que podremos mitigar en parte si prestamos atención al origen de las peticiones de cara a señalar y categorizar estos intentos masivos de acceso.

Como se ha visto, el _cracking_ de contraseñas como tal no es un concepto complejo. Se basa en un concepto tan sencillo como la automatización del proceso de descifrado para tener acceso a los datos o en un método de prueba y error donde los únicos límites los pone la capacidad de cómputo del sistema y el ancho de banda de la red. Es precisamente por el grado de accesibilidad a las herramientas que tenemos hoy en día por el que debemos permanecer alerta. _Passwords_ distintas por cada servicio, largas, variadas y con elementos aleatorios. No es la panacea porque siguen existiendo situaciones de riesgo en las que un tercero consiga engañarnos para introducir la contraseña donde no lo es (e. g., en un ataque de _phishing_ más o menos dirigido), pero es una realidad que debemos tener siempre presente. 

_Nunc minerva, postea palas_.



# Referencias

«John the Ripper - usage examples». Accedido 10 de junio de 2020. https://www.openwall.com/john/doc/EXAMPLES.shtml.

Bermúdez, Jorge. «Armas y municiones digitales: los artículos 197 ter y 264 ter del Código Penal». Presentado en CONPilar, Zaragoza (España), 2017. https://www.youtube.com/watch?v=prwHOE65Sjk.