Buenas a todos,
En este
post quisiera mostrarles una herramienta que me encontré hace poco por Internet, se trata de
Karma (https://github.com/decoxviii/karma), esta escrita en python3 y fue desarrollada por @decoxviii (https://twitter.com/decoxviii). Y aun que hay algunas otras alternativas como: pwndb (https://github.com/davidtavarez/pwndb) y pwndb_api (https://github.com/M3l0nPan/pwndb_api) esta es la que desde mi opinión esta mas completa.
Esta herramienta al parecer es una API del sitio: pwndb2am4tzkvold.onion que como pueden observar esta alojado en la 'deep web', dicho sitio contiene un base de datos con 1.4 billones de emails y sus
contraseñas. Son bastantes emails, por lo que es muy posible que puedan encontrar algún resultado jugoso!
InstalaciónA continuación mostrare como instalar la herramienta en Linux.
Es necesario instalar algunos paquetes, clonar el repositorio y instalar las librerías para python3.
sudo apt install tor python3 python3-pip
git clone https://github.com/decoxviii/karma.git ; cd karma
sudo -H pip3 install -r requirements.txt
Si todo ha salido bien, no deberíamos tener ningún error al ejecutar
python3 bin/karma.py --help
Una vez instalado todo lo necesario podemos comenzar a consultar algunos emails.
NOTA: Antes de utilizar la herramienta te aconsejaría verificar que el servicio de
tor este corriendo ya que, de no ser así la herramienta dará error, para iniciar el servicio de
tor ejecuta:
sudo service tor startPara buscar la contraseña de un email especifico ejecutamos (la opción -o | --output, nos permite guardar los resultados en formato json):
python3 bin/karma.py target [email protected] -o resultado-x-email
(https://i.imgur.com/BANkLco.png)
También es posible buscar por contraseña, es decir, buscar todos los emails con la contraseña 123456789:
python3 bin/karma.py search 13456789 --password
Hay otros métodos de búsqueda por ejemplo, buscar por local-part o por dominio.
# devuelve todos los emails con el local-part johndoe
python3 bin/karma.py search johndoe --local-part
# devuelve todos los emails con el dominio example.com
python3 bin/karma.py search example.com --domain
Tambien es posible crear una lista de emails y que la herramienta consulte uno por uno, por ejemplo: Creamos el archivo emails.txt con el siguiente contenido:
[email protected]
[email protected]
[email protected]
Y ejecutamos:
python3 bin/karma.py target emails.txt
He realizado algunas pruebas y he obtenido algunos resultados positivos, pero también algunas contraseñas son viejas. También estoy pesando en que es posible recolectar varias contraseñas y crear un diccionario, ya que todos los resultados se pueden guardar un formato json. Pero bueno espero y les sea de utilidad.
Saludos!!
Estoy intentando encontrar esta herramienta pero no la encuentro, ¿alguna idea? Es para un reto, tema didáctico...
Gracias amigo por el aporte de paso procedo a actualizar el repositorio me lo suministro @DtxdF (https://underc0de.org/foro/index.php?action=profile;u=71723)
Repositorio funcional a la fecha de hoy MAYO 06 DEL 2020
https://github.com/jdiazmx/karma