pwnedOrNot v1.1.7 – Herramienta OSINT para buscar contraseñas para direcciones de correo electrónico comprometidas
(https://hackingteamtheworld.files.wordpress.com/2019/04/ebcab-pwnedornot_1.png?w=300)
pwnedOrNot usa la API v2 de haveibeenpwned para probar las cuentas de correo electrónico e intenta encontrar la contraseña en los volcados de Pastebin .
Las características que han sido publicadas ofrecen una gran cantidad de información sobre el correo electrónico comprometido, este script muestra cierta información útil:
Nombre de incumplimiento
Nombre de dominio
Fecha de incumplimiento
Estado de fabricación
Estado de verificación
Estado de jubilación
Estado de spam
Y con toda esta información pwnedOrNot puede encontrar fácilmente contraseñas para correos electrónicos comprometidos si el volcado es accesible y contiene la contraseña
Probado en
Kali Linux 18.2
Ubuntu 18.04
Kali Nethunter
Termux
InstalaciónUbuntu / Kali Linux / Nethunter / Termux
chmod 777 install.sh
./install.sh
(https://hackingteamtheworld.files.wordpress.com/2019/04/9fcb6-pwnedornot_6.png?w=740)
Usopython3 pwnedornot.py -h
usage: pwnedornot.py [-h] [-e EMAIL] [-f FILE] [-d DOMAIN] [-n] [-l]
[-c CHECK]
optional arguments:
-h, --help show this help message and exit
-e EMAIL, --email EMAIL Email Address You Want to Test
-f FILE, --file FILE Load a File with Multiple Email Addresses
-d DOMAIN, --domain DOMAIN Filter Results by Domain Name
-n, --nodumps Only Check Breach Info and Skip Password Dumps
-l, --list Get List of all pwned Domains
-c CHECK, --check CHECK Check if your Domain is pwned
# Examples
# Check Single Email
python3 pwnedornot.py -e <email>
#OR
python3 pwnedornot.py --email <email>
# Check Multiple Emails from File
python3 pwnedornot.py -f <file name>
# OR
python3 pwnedornot.py --file <file name>
# Filter Result for a Domain Name [Ex : adobe.com]
python3 pwnedornot.py -e <email> -d <domain name>
#OR
python3 pwnedornot.py -f <file name> --domain <domain name>
# Get only Breach Info, Skip Password Dumps
python3 pwnedornot.py -e <email> -n
#OR
python3 pwnedornot.py -f <file name> --nodumps
# Get List of all Breached Domains
python3 pwnedornot.py -l
#OR
python3 pwnedornot.py --list
# Check if a Domain is Pwned
python3 pwnedornot.py -c <domain name>
#OR
python3 pwnedornot.py --check <domain name>
(https://hackingteamtheworld.files.wordpress.com/2019/04/6cb6e-pwnedornot_7.png?w=740)
ManifestaciónDescargar pwnedOrNot: https://github.com/thewhiteh4t/pwnedOrNot (https://github.com/thewhiteh4t/pwnedOrNot)
Referencia: https://hackingteamtheworld.wordpress.com/2019/04/15/pwnedornot-v1-1-7-herramienta-osint-para-buscar-contrasenas-para-direcciones-de-correo-electronico-comprometidas/?fbclid=IwAR2K44SLwLfKaY5mRRXQsX5kjTX7A4_Uk5I-OX5WNcZuH50ghdMkjH4xYzo (https://hackingteamtheworld.wordpress.com/2019/04/15/pwnedornot-v1-1-7-herramienta-osint-para-buscar-contrasenas-para-direcciones-de-correo-electronico-comprometidas/?fbclid=IwAR2K44SLwLfKaY5mRRXQsX5kjTX7A4_Uk5I-OX5WNcZuH50ghdMkjH4xYzo)
Ahora creo que necesita una KEY para acceder a la API. Estuve probando la herramienta para un reto OSINT y me decía eso....
Tienes que pagar por la api key.
estoy probando con karma...pero no encuentro la manera de descargarla...
cuesta 3.5 USD y no tengo dinero jajaja
intento instalar OSINT tal como se indica aqui sin hacer nada previamente en kali linux y me da el error no such directory,pueden ayudarme cual es la forma correcta de instalacion disculpen mi ignorancia
Hola
@topgun1964 (https://underc0de.org/foro/index.php?action=profile;u=78359)En la terminal corre lo siguiente
git clone https://github.com/thewhiteh4t/pwnedOrNot.git
cd pwnedOrNot
pip3 install requests
Uso basico
python3 pwnedornot.py -e <email>
Informacion mas detallada en el repositorio https://github.com/thewhiteh4t/pwnedOrNot/blob/master/README.md (https://github.com/thewhiteh4t/pwnedOrNot/blob/master/README.md).
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
intento instalar OSINT tal como se indica aqui
El nombre de la herramienta es
pwnedOrNot.
(OSINT) es el tipo de herramienta:
La inteligencia de codigo abierto
(OSINT) es inteligencia producida a partir de informacion disponible publicamente que se recopila.
se instala la herramienta me dice que la key found pero lanza el siguiente error
An Unknown Error Occurred
{ "statusCode": 401, "message": "Access denied due to improperly formed hibp-api-key." }
a que se debe este error 401
Hola @topgun1964 (https://underc0de.org/foro/index.php?action=profile;u=78359) ;D
También puedes pasarte por el siguiente artículo del mismo foro, es una herramienta un tanto parecida:
Repositorio (fork): github.com/jdiazmx/karma
Artículo: underc0de.org/foro/hacking/t38961
Y también podrías ver la herramienta que hizo el compañero @animanegra (https://underc0de.org/foro/index.php?action=profile;u=64559) :
LeakChecker: underc0de.org/foro/seguridad/leakchecker-verifica-si-tus-credenciales-han-sido-filtradas-a-traves-del-movil/
~ DtxdF
ok compañero pero yo quiero saber como resolver el error 401 que me da OSINT si pueden ayudarme
El mismo mensaje te dice:
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
An Unknown Error Occurred
{ "statusCode": 401, "message": "Access denied due to improperly formed hibp-api-key." }
La
api-key que que realiza la peticion no es valida y por lo tanto no se autoriza la peticion al servidor.
Y en la web https://haveibeenpwned.com/API/Key (https://haveibeenpwned.com/API/Key), especifica que para obetener una
api-key valida debes pargar el monto de
US$3.50 mensual, asi que si no quieres pagar esa cantidad puedes verificar las herramientas que te sugiere
@DtxdF (https://underc0de.org/foro/index.php?action=profile;u=71723).
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
También puedes pasarte por el siguiente artículo del mismo foro, es una herramienta un tanto parecida:
Repositorio (fork): github.com/jdiazmx/karma
Artículo: underc0de.org/foro/hacking/t38961
Y también podrías ver la herramienta que hizo el compañero @animanegra (https://underc0de.org/foro/index.php?action=profile;u=64559) :
LeakChecker: underc0de.org/foro/seguridad/leakchecker-verifica-si-tus-credenciales-han-sido-filtradas-a-traves-del-movil/
Saludos.
ok haber entonces cual es el procedimiento a seguir he abierto la web donde pide 3,5 dolares,lo que no me queda claro es que la api key no se encuentra en el servidor para convertirla en valida hay que ir a la web de pago de 3,5 dolares,pero como lo tengo que hacer y que tengo que introducir en la web de pago de 3,5 dolares?
Si de verdad quieres usar esa herramienta solo tienes que ir a la web https://haveibeenpwned.com/API/Key (https://haveibeenpwned.com/API/Key)
Ingresas tu correo, luego te pide que confirmes el correo e informacion de pago. Luego te da la hibp-api-key la cual guardaras en un archivo llamado key.txt el cual deberas colocar en la misma carpeta de pwnedOrNot. Despues usas el script tal y como se muestra en el README.md del proyecto https://github.com/thewhiteh4t/pwnedOrNot/blob/master/README.md (https://github.com/thewhiteh4t/pwnedOrNot/blob/master/README.md).
Lee la documentacion del servicio https://haveibeenpwned.com/API/v3#Authorisation (https://haveibeenpwned.com/API/v3#Authorisation)
ok gracias ahora me ha quedado claro
;D ;D ;D ;D ;D ;D ;D
Genial es maravilloso!!! 8)