Cómo encontrar direcciones email hackeadas

El robo de datos se ha vuelto muy común recientemente. Muchos de los sitios web más populares son propensos a esta clase de ataques y los vectores de ataque crecen en la medida en que los hackers recurren al uso de herramientas de código abierto. Por ejemplo, existe una herramienta llamada h8mail usada para verificar direcciones de correos atacadas.

Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, h8mail es una herramienta útil en la fase inicial de pruebas de penetración en un sistema.

H8mail es una herramienta de código abierto usada para buscar correos electrónicos y contraseñas. Esta herramienta encuentra direcciones email atacadas a través de diferentes sitios. Utiliza correos electrónicos que han sido víctimas de violación de datos. Para esta demostración, se ha ejecutado esta herramienta en Kali Linux 2018.4.

Antes de instalar la herramienta, debe instalar nodejs y actualizar python en Kali Linux. Esta herramienta solamente funciona con python3.

  • Para instalar python escriba sudo apt-get update
  • Luego escriba sudo apt-get install python3
  • Para comprobar la versión de python, escriba python –version
  • Luego escriba sudo apt-get install nodejs
  • Después de instalar todos los requisitos previos clone h8mail
  • Para la clonación, escriba git clone https://github.com/khast3x/h8mail.git
  • Escriba cd h8mail
  • Escriba pip install -r requirements.txt
root@kali:/home/iicybersecurity/Downloads/h8mail# pip install -r requirements.txt
Requirement already satisfied: requests in /usr/lib/python2.7/dist-packages (from -r requirements.txt (line 1)) (2.18.4)
Collecting python-cli-ui (from -r requirements.txt (line 2))
Downloading https://files.pythonhosted.org/packages/71/76/4772ff1c2c982c3e5cd75f5e01ae575adb979afc3473d267915de39813f4/python-cli-ui-0.7.4.tar.gz
Complete output from command python setup.py egg_info:
Error: Please upgrade to Python3
Command "python setup.py egg_info" failed with error code 1 in /tmp/pip-install-oC2WCX/python-cli-ui/
  • Mientras instala pip si muestra el error anterior, significa que debe actualizar pip en sus distribuciones de Linux
  • Para esto, escriba sudo apt-get update python3-pip
root@kali:/home/iicybersecurity/Downloads/h8mail# sudo apt-get install python3-pip
Reading package lists… Done
Building dependency tree
Reading state information… Done
python3-pip is already the newest version (18.1-4).
The following packages were automatically installed and are no longer required:
golang-1.10 golang-1.10-doc golang-1.10-go golang-1.10-src golang-src
Use 'apt autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 1554 not upgraded.
  • Después de actualizar pip, escriba pip install -r requirements.txt
root@kali:/home/iicybersecurity/Downloads/h8mail# pip3 install -r requirements.txt
Requirement already satisfied: requests in /usr/lib/python3/dist-packages (from -r requirements.txt (line 1)) (2.18.4)
Collecting python-cli-ui (from -r requirements.txt (line 2))
Downloading https://files.pythonhosted.org/packages/fc/32/e63370450c69ccc06aefb8e55926011a7eeb3824787fed8d3d12149b4e09/python_cli_ui-0.7.4-py3-none-any.whl
Collecting cfscrape (from -r requirements.txt (line 3))
Downloading https://files.pythonhosted.org/packages/ee/5e/6f36d5305b4c5abe793a7a057003f342300e9b853384a11fee8dc58e6816/cfscrape-1.9.5.tar.gz
Collecting unidecode (from python-cli-ui->-r requirements.txt (line 2))
Downloading https://files.pythonhosted.org/packages/31/39/53096f9217b057cb049fe872b7fc7ce799a1a89b76cf917d9639e7a558b5/Unidecode-1.0.23-py2.py3-none-any.whl (237kB)
100% |████████████████████████████████| 245kB 576kB/s
Requirement already satisfied: tabulate in /usr/lib/python3/dist-packages (from python-cli-ui->-r requirements.txt (line 2)) (0.8.2)
Requirement already satisfied: colorama in /usr/lib/python3/dist-packages (from python-cli-ui->-r requirements.txt (line 2)) (0.3.7)
Building wheels for collected packages: cfscrape
Running setup.py bdist_wheel for cfscrape … done
Stored in directory: /root/.cache/pip/wheels/4b/7d/70/32db6ba6ac95be8d24d5563436fc4ffe52f271adb2da153531
Successfully built cfscrape
Installing collected packages: unidecode, python-cli-ui, cfscrape
Successfully installed cfscrape-1.9.5 python-cli-ui-0.7.4 unidecode-1.0.23
  • Luego escriba python3 h8mail.py –help
root@kali:/home/iicybersecurity/Downloads/h8mail# python3 h8mail.py --help
usage: h8mail.py [-h] -t TARGET_EMAILS [-c CONFIG_FILE] [-o OUTPUT_FILE]
[-bc BC_PATH] [-v] [-l] [-k CLI_APIKEYS]


Email information and password finding tool

optional arguments:
-h, --help show this help message and exit
-t TARGET_EMAILS, --targets TARGET_EMAILS
Either single email, or file (one email per line).
REGEXP
-c CONFIG_FILE, --config CONFIG_FILE
Configuration file for API keys
-o OUTPUT_FILE, --output OUTPUT_FILE
File to write output
-bc BC_PATH, --breachcomp BC_PATH
Path to the breachcompilation Torrent.

https://ghostbin.com/paste/2cbdn
-v, --verbose Show debug information
-l, --local Run local actions only
-k CLI_APIKEYS, --apikey CLI_APIKEYS
Pass config options. Format is "K:V,K:V"
  • Las consultas anteriores se utilizan para recopilar contraseñas y contraseñas de correo electrónico con robo de datos

H8mail usa distintas API para buscar direcciones email

  • HaveIBeenPwned (https://haveibeenpwned.com/): este sitio web verifica si la dirección del correo electrónico ha sido comprometida o no. Este sitio web recopila una gran cantidad de volcados de bases de datos que contienen información sobre todos los miles de millones de cuentas filtradas
  • Shodan (https://www.shodan.io/): Shodan es un motor de búsqueda que hace ping a todas las direcciones IP disponibles que están utilizando Internet actualmente
  • Hunter.io (https://hunter.io/): Hunter es una fuente de h8mail. Hunter se utiliza para encontrar y verificar la dirección de correo electrónico profesional. Para utilizar estos servicios, debe pagar parte de la cuota de hunter.io
  • Weleakinfo (https://weleakinfo.com/api/public): Weleakinfo es otro motor de búsqueda de bases de datos atacadas
  • Snusbase (https://snusbase.com/): Snusbase es un motor de búsqueda de base de datos que recopila datos de sitios que han sido hackeados y proporcionar esos datos a sus usuarios. Para utilizar estos servicios, debe pagar una cuota de snusbase

Encontrar direcciones email hackeadas

  • Escriba python3 h8mail.py -t puti@reddcoin2.com
  • -t se utiliza para introducir la dirección de correo electrónico de destino
root@kali:/home/iicybersecurity/Downloads/h8mail# python3 h8mail.py -t puti@reddcoin2.com

.. .. ;;
| .
. | | .. | ; h8mail.py ; | !| |||! | ;-----------; !| |_! Heartfelt Email OSINT
.||| |. Use responsibly etc
| .| |. | ;____________
;
| !! | | !! | ; github.com/khast3x ;
!! !! ;--------------------;

Targets

=> puti@reddcoin2.com

Lookup Status

Result puti@reddcoin2.com

=> not breached
Target hostname: reddcoin2.com

✓ Done
  • La consulta anterior muestra que el correo electrónico analizado no se encuentra en ninguna de las bases de datos mencionadas anteriormente
  • Muestra que HIBP (HaveIBeenPwned) no pudo encontrar la dirección de correo electrónico en ninguna base de datos. Ni su contraseña está disponible en la base de datos HIBP

Identificar masivamente cuentas de correo electrónico para testing

  • Para obtener direcciones de correo masivo puede usar TheHarvester, una herramienta popular para encontrar direcciones de correo o detalles de los empleados de una compañía
root@kali:/home/iicybersecurity/Downloads# theharvester -d testsites.com -b pgp


Warning: Pycurl is not compiled against Openssl. Wfuzz might not work correctly when fuzzing SSL sites. Check Wfuzz's documentation for more information.


*
| || |_ _ /\ /__ _ _ _ | |_ _ __ *
| | '_ \ / _ \ / // / ` | '\ \ / / _ \/ | / _ \ '__| *
| || | | | / / / (| | | \ V / /__ \ || / | *
__|| ||___| \/ // _,|| _/ ___||/__|_| *
*
TheHarvester Ver. 2.7.2 *
Coded by Christian Martorella *
Edge-Security Research *
cmartorella@edge-security.com *


[-] Starting harvesting process for domain: testsites.com

[-] Searching in PGP key server..

Harvesting results

[+] Emails found:
mariot.chauvin@testsites.com
lauren.emms@testsites.com
danny.daly@testsites.com
amy.hughes@testsites.com
jon.norman@testsites.com
tom.forbes@testsites.com
niko.kommenda@testsites.com
sam.jones@testsites.com
regis.kuckaertz@testsites.com
hannah.devlin@testsites.com
joseph.smith@testsites.com
calum.campbell@testsites.com
jacob.riggs@testsites.com
michael.barton@testsites.com
akash.askoolum@testsites.com
peter.colley.freelance@testsites.com
nicolas.long@testsites.com
alex.hern@testsites.com
thomas.bonnin@testsites.com
richard.tynan@testsites.com
mat.heywood@testsites.com
nathaniel.bennett@testsites.com
sally.goble@testsites.com
jennifer.sivapalan@testsites.com
michael.safi@testsites.com
justin.pinner@testsites.com
jonathan.soul@testsites.com
jasper.jackson@testsites.com
oliver.holmes@testsites.com
hilary.osborne@testsites.com
rupert.bates@testsites.com
caelainn.barr@testsites.com
christopher.lloyd@testsites.com
susie.coleman@testsites.com
chris.whitworth@testsites.com
andi.elsner@testsites.com
calla.wahlquist@testsites.com
paul.farrell@testsites.com
james.gorrie@testsites.com
simon.bowers@testsites.com
  • La anterior es la lista de las direcciones email que se pueden usar en el escaneo si las direcciones de correo electrónico anteriores han sido atacadas o no
  • Guardar la lista anterior. Escriba nano emaillist.txt
  • Luego copie y pegue las direcciones de correo electrónico completas. Luego guarde la lista
  • Escriba python3 h8mail.py -t /home/iicybersecurity/Downloads/testsites.txt -bc/Downloads/breachcompilation/-k“snusbase_url:https://snusbase.com ,snusbase_token: 5sxxxxxxxxxxxxxxxxxxxBuXQ”
  • -t se utiliza para introducir los objetivos
  • -bc se utiliza para dar ruta a los objetivos hackeados
  • -k se usa para ingresar la clave de la API snusbase
root@kali:/home/iicybersecurity/Downloads/h8mail# python3 h8mail.py -t /home/iicybersecurity/Downloads/testsites.txt -bc /Downloads/breachcompilation/ -k "snusbase_url: https://snusbase.com ,snusbase_token: 5sxxxxxxxxxxxxxxxxxxxBuXQ"

.. .. ;;
| .
. | | .. | ; h8mail.py ; | !| |||! | ;-----------; !| |_! Heartfelt Email OSINT
.||| |. Use responsibly etc
| .| |. | ;____________
;
| !! | | !! | ; github.com/khast3x ;
!! !! ;--------------------;

Targets
mariot.chauvin@testsites.com
lauren.emms@testsites.com
danny.daly@testsites.com
amy.hughes@testsites.com
jon.norman@testsites.com
tom.forbes@testsites.com
niko.kommenda@testsites.com
sam.jones@testsites.com
regis.kuckaertz@testsites.com
hannah.devlin@testsites.com
joseph.smith@testsites.com
calum.campbell@testsites.com
jacob.riggs@testsites.com
michael.barton@testsites.com
akash.askoolum@testsites.com
peter.colley.freelance@testsites.com
nicolas.long@testsites.com
alex.hern@testsites.com
thomas.bonnin@testsites.com
richard.tynan@testsites.com
mat.heywood@testsites.com
nathaniel.bennett@testsites.com
sally.goble@testsites.com
jennifer.sivapalan@testsites.com
michael.safi@testsites.com
justin.pinner@testsites.com
jonathan.soul@testsites.com
jasper.jackson@testsites.com
oliver.holmes@testsites.com
hilary.osborne@testsites.com
rupert.bates@testsites.com
caelainn.barr@testsites.com
christopher.lloyd@testsites.com
susie.coleman@testsites.com
chris.whitworth@testsites.com
andi.elsner@testsites.com
calla.wahlquist@testsites.com
paul.farrell@testsites.com
james.gorrie@testsites.com
simon.bowers@testsites.commariot.chauvin@testsites.com
lauren.emms@testsites.com
danny.daly@testsites.com
amy.hughes@testsites.com
jon.norman@testsites.com
tom.forbes@testsites.com
niko.kommenda@testsites.com
sam.jones@testsites.com
regis.kuckaertz@testsites.com
hannah.devlin@testsites.com
joseph.smith@testsites.com
calum.campbell@testsites.com
jacob.riggs@testsites.com
michael.barton@testsites.com
akash.askoolum@testsites.com
peter.colley.freelance@testsites.com
nicolas.long@testsites.com
alex.hern@testsites.com
thomas.bonnin@testsites.com
richard.tynan@testsites.com
mat.heywood@testsites.com
nathaniel.bennett@testsites.com
sally.goble@testsites.com
jennifer.sivapalan@testsites.com
michael.safi@testsites.com
justin.pinner@testsites.com
jonathan.soul@testsites.com
jasper.jackson@testsites.com
oliver.holmes@testsites.com
hilary.osborne@testsites.com
rupert.bates@testsites.com
caelainn.barr@testsites.com
christopher.lloyd@testsites.com
susie.coleman@testsites.com
chris.whitworth@testsites.com
andi.elsner@testsites.com
calla.wahlquist@testsites.com
paul.farrell@testsites.com
james.gorrie@testsites.com
simon.bowers@testsites.com

=========== SNIPPED =================
  • La consulta anterior muestra que las direcciones de correo electrónico anteriores no han estado en la base de datos de HIBP
  • Si ve un error de snusbase, significa que tiene que comprar sus servicios para buscar en su base de datos

Usar consulta simple

  • Escriba python3 h8mail.py -t targets.txt -c config.ini -o pwned_targets.csv
  • -t se utiliza para seleccionar el archivo de destino. Tienes que crear el archivo target.txt
  • -c se utiliza para seleccionar el archivo de configuración donde se han introducido las API
  • -o se usa donde los datos se guardarán en formato .csv
root@kali:/home/iicybersecurity/Downloads/h8mail#  
python3 h8mail.py -t targets.txt -c config.ini -o pwned_targets.csv
tuckerkaren2000@yahoo.com
tuckersadie@yahoo.com
tucko100@yahoo.com
tucktunes@yahoo.com
tucsonclint2008@yahoo.com
tucu.ionut@yahoo.com

Lookup Status
======== SNIPPED ===============
  • Si las direcciones de correo electrónico han sido hackeadas
  • Esta información puede ser utilizada en otras actividades de hacking