===== Filtrando posibles credenciales (Usuario / Password) en tráfico de red o capturas PCAP =====
La única manera de obtener credenciales de volcados de datos es disponer de una buena lista de patrones que ayuden a encontrar lo que se está buscando. Estos son algunas herramientas que pueden facilitar dicho trabajo en entornos de red.
Se recomienda aumentar el listado de campos ("fields") con más nombres de variables, por ejemplo utilizando palabras en otros idiomas para intentar obtener mejores resultados.
Filtrando credenciales con tcpdump (http, ftp, smtp, imap, pop3). Se recomienda mirar cualquiera de los dos scripts expuestos a continuación para completar la lista de posibles variables.
tcpdump port http or port ftp or port smtp or port imap or port pop3 -l -A | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20
**Net-creds**: [[https://github.com/DanMcInerney/net-creds/]]\\
Esta herramienta pone la interfaz seleccionada en modo promiscuo e intenta obtener credenciales. También puede ser usado con ficheros pcap.
* URLs visited
* POST loads sent
* HTTP form logins/passwords
* HTTP basic auth logins/passwords
* HTTP searches
* FTP logins/passwords
* IRC logins/passwords
* POP logins/passwords
* IMAP logins/passwords
* Telnet logins/passwords
* SMTP logins/passwords
* SNMP community string
* NTLMv1/v2 all supported protocols like HTTP, SMB, LDAP, etc
* Kerberos
**PCredz**: [[https://github.com/lgandx/PCredz/]]\\
Prácticamente igual que Net-creds, de hecho este se basa en los filtros de PCredz.
* Credit card numbers
* POP
* SMTP
* IMAP
* SNMP community string
* FTP
* HTTP
* NTLMv1/v2 (DCE-RPC,SMBv1/2,LDAP, MSSQL, HTTP, etc)
* Kerberos (AS-REQ Pre-Auth etype 23) hashes.
Los hashes son mostrados en formato hashcat (Kerberos: -m 7500 , NTLMv1 -m 5500 , NTLMv2 -m 5600).
También guarda las credenciales obtenidas en un fichero CredentialDump-Session.log.
**Aplicar los mismos filtros que PCredz a volcados de memoria RAM.**
Ejemplo utilizando los mismos campos que con tcpdump.
egrep -A 5 -B 5 --color -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user ' --color=auto --line-buffered -B20 Volcado_RAM.img