KALI LINUX : HAIL HYDRA ! (Obtenir le mot de passe d'un email)

Zallic

  1. Zallic

    Zallic Administrateur

    Messages:
    23 041
    J'aime reçus:
    107 864
    Points:
    13 043
    upload_2017-10-18_17-42-2.png

    KALI LINUX :
    HAIL HYDRA !


    Hydra c'est bien sûr une organisation ennemie jurée de Captain America, mais c'est aussi un redoutable logiciel qui peut cracker du mot de passe en ligne sur une cinquantaine de protocoles ou bases de données : Telnet, FTP, HTTP, HTTPS, IRC, VNC, SSH SMTP, MySQL, XMPP, IMAP, etc. Pour cela, il nous faudra compter sur un dictionnaire de mots de passe et d'un peu de chance...

    Nous vous mettons souvent en garde sur l'importance du choix de vos mots de passe et ce n'est pas pour rien ! Avec très peu de connaissances en informatique, un pirate à la petite semaine pourrait faire de votre vie un enfer (usurpation d'identité, défaçage de votre site, vol de données, etc.) Car on utilise des mots de passe tellement souvent sur Internet que certains utilisateurs font l'erreur de choisir le même partout. C'est bien sûr une chose à éviter, car il suffit qu'un seul de vos comptes se fasse pirater pour que les autres ne tombent comme des dominos. De même, n'utilisez pas de mots de passe permettant de deviner les autres (kiki75, kikiPaname, TheKiKidu75, etc.) ou faciles à deviner.

    NE VOUS CROYEZ PAS À L'ABRI !

    Car avec les réseaux sociaux il est facile de connaître des éléments sur vous : date de naissance de vos enfants, séries, sports ou parti politique préférés, etc. Si vous pensez que MélenchonPSG9698 est solide, vous avez tort... Mais ce qui nous intéresse ici c'est la méthode par dictionnaire puisqu' Hydra l'utilise principalement. Ne prenez donc jamais un
    mot de passe qui veuille dire quelque chose, même avec une alternance et des chiffres à la fin. Par exemple SoNgOkU92 ou BELmondo76 sont peu sûrs. Alternez capitales, minuscules, chiffres et caractères spéciaux. Rgerl^Silj562Nugtù vous semble alambiqué ? Certes, mais il est sûr selon le site https://howsecureismypassword.net : testez les vôtres ! Il sera bien sûr difficile de mémoriser ces types de mots de passe, mais au lieu de Les écrire sur un Post-It (attention aux cambriolages !), faites confiance à un porte-feuille comme Xecret ou Enpass : la plupart du temps, vous n'aurez même pas à les retaper !
    Hydra fonctionne en ligne. Alors que nous devions auparavant avoir un hash en main pour tenter de cracker le mot de passe correspondant, ce n'est pas le cas ici. Hydra va directement envoyer des requêtes vers un serveur cible. Voyons comment se présente xHydra, son interface graphique...

    XHYDRA DANS KALI LINUX

    upload_2017-10-18_17-9-30.png

    Vous pouvez installer, utiliser Kali Linus depuis un Live CD. une virtualisation ou même un Raspberry Pi.
    xHydra est l'interface graphique du logiciel Hydra et vous la trouverez dans le menu :
    Applications > Attaques de Mots de Passe > Les Attaques en Ligne > hydra-gtk.

    BONUS : DES VERSIONS POUR TOUT LE MONDE !


    Si vous n'avez pas envie d'installer ou d'utiliser Kali Linux, il existe aussi une version Windows appelée THC-Hydra que vous trouverez ici : www.thc.org/thc-hydra.
    Attention, votre navigateur et votre antivirus ne vont pas aimer...
    Sinon, vous pouvez aussi tenter de l'installer sur un appareil Android rooté.
    Attention, la manipulation est un peu complexe : https://goo.gl/bKJyGu.​

    ONGLET TARGET (CIBLE)

    upload_2017-10-18_17-18-24.png

    1- Dans ce champ vous devrez taper l'adresse IP ou l'URL de la cible. Si vous avez plusieurs cibles, vous pouvez en faire une liste au format Te ou LST et spécifier l'emplacement ici. La case en dessous permet d'utiliser des adresses IPv6

    2- Ici vous devez spécifier le protocole et le port d'écoute. Chaque protocole a un ou plusieurs ports d'écoute habituels (21 pour le FTP, 22 pour le SSH, 193 pour IRC, etc.) Pour être sûr que vous ne donnez pas des coups d'épée dans l'eau, vous pouvez scanner Les ports d'une cible avec le logiciel Nmap, inclus aussi dans Kali.

    3- Utilisation du protocole SSL pour les serveurs qui l'utilisent plus d'autres options permettant d'avoir des détails sur les tentatives, un mode Debug, etc.

    ONGLET PASSWORD

    upload_2017-10-18_17-20-47.png

    1- Nom d'utilisateur de la cible, comme pour le précédents onglet, vous pouvez dresser La liste des Username potentiels... Cochez la première case si vous désirez que ta liste revienne sur elle même en cas d'échec et cochez la deuxième si vous n'avez pas besoin de nom d'utilisateur.

    2- Si vous avez votre mot de passe mais que vous cherchez votre Identifiant, entrez le sésame dans le premier champ. Si vous avez l'identifiant mais pas le mot de passe, vous pouvez spécifier une liste de mots de passe que l'on appelle dictionnaire au format TXT ou LST. Les dictionnaires de bonne qualité sont rares ou payants. Vous pourrez trouver quelques exemples ici dans plusieurs Langues (wordlists): http://www.openwall.com/mirrors. Vous pouvez aussi essayer le générateur de mots Crisis https://goo.gl/iwr90e . Generate sert à ta méthode brute force mais reste très anecdotique dans cette Interface. Préférez la version ligne de commande pour cette option.

    3- Pour les fichiers avec des données séparées par des points virgules (les fichiers doivent normalement revenir à la ligne à chaque mot pour être pris en compte.

    4- Cases à cocher pour essayer d'utiliser l'identifiant comme mot de passe, un mot de passe vide ou inverser le mot de passe et l'identifiant. Cochez les trois car il ne faut jamais sous-estimer la bêtise des gens...

    ONGLETS TUNING & SPECIFIC

    Les deux onglets suivants permettent moult autres réglages ou paramétrages : nombre de threads, comportement à adopter en cas de succès (continuer sur d'autres tâches ou s'arrêter), utilisation d'un proxy, etc.

    upload_2017-10-18_17-31-45.png

    ONGLET START

    Bien sûr, le dernier onglet va démarrer le processus. Cliquez sur Start en bas lorsque vous êtes sûr de vos réglages. Notez que le logiciel va mémoriser les résultats ou les échecs et si un bug se manifeste, vous n'aurez pas à tout refaire. Notez que tout en bas, vous verrez l'équivalent de vos paramétrages et de vos actions en ligne de commandes. Vous pourrez donc à terme comprendre comment fonctionne la syntaxe d'Hydra.

    upload_2017-10-18_17-34-6.png


    ATTENTION :

    La démonstration à pour but de tester vos mots de passe ou de persuader un ami à prendre au sérieux la notion de sécurité informatique (avec son autorisation bien sûr). Dans le cas contraire, vous pourriez tomber sous le coup de l'article 323-1 du code pénal lequel dispose que «Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000€ d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 € d'amende.»

    LEXIQUE :

    KALI LINUX
    Anciennement Backtrack, Kali Linux est une distribution spécialisée dans l'audit réseau, le pentesting et plus généralement le hacking. Parmi les outils inclus, vous trouverez des logiciels pour cracker des mots de passe, des logiciels de rétro-engineering, des modules pour pénétrer des réseaux sans fil, mais aussi le langage Arduino ou CHIRP (radioamateur). Une vraie mine d'or pour les hackers débutants ou confirmés.

    PENTESTING
    Mot valise réunissant «penetration» et «testing». Il s'agit de tester les forces et faiblesses d'un ordinateur, d'un réseau, d'un site ou d'une base de données avec des logiciels spécialisés. Bien sûr, ces derniers peuvent être utilisés à des fins moins nobles.​
     
  2. kurzawa

    kurzawa

    Messages:
    7
    J'aime reçus:
    0
    Points:
    21
    salut sidradi, beau tuto!
    tu utilises souvent kali?
     
    ●●●Outils
  3. Nicogeek2

    Nicogeek2

    Messages:
    136
    J'aime reçus:
    1
    Points:
    1 338
    Merci pour ton tutoriel tu gère
     
    ●●●Outils
  4. ppk19

    ppk19

    Messages:
    47
    J'aime reçus:
    0
    Points:
    31
    bravo,vraiment un super tuto bien explicite
     
    ●●●Outils
  5. Lucas29

    Lucas29

    Messages:
    169
    J'aime reçus:
    1
    Points:
    588
    merci pour se petit tuto c tjr super sympa continu comme sa mec merci
     
    ●●●Outils
  6. Angel033600

    Angel033600

    Messages:
    24
    J'aime reçus:
    0
    Points:
    531
    Merci Beaucoup pour ce tutoriel Mec :)
     
    ●●●Outils
  7. aminovitch13

    aminovitch13

    Messages:
    240
    J'aime reçus:
    1
    Points:
    86
    merci beaucoup pour ce tuto,c très intéressant
     
    ●●●Outils
  8. Kaziurezzz

    Kaziurezzz

    Messages:
    59
    J'aime reçus:
    3
    Points:
    56
    Pour obtenir Kali linux il faut obligatoirement changer de OS ou on peut contourner ?
     
    ●●●Outils
  9. ta7ya13rjel

    ta7ya13rjel

    Messages:
    93
    J'aime reçus:
    4
    Points:
    1 308
    salut sidradi, beau tuto!
    je lutilise sur usb pour quelque test exploit ext... vraiment bien ^^
     
    ●●●Outils
  10. Aiglejojo

    Aiglejojo

    Messages:
    77
    J'aime reçus:
    4
    Points:
    58
    Je pense que je vais tester sa demain rip mes potentd xD
     
    ●●●Outils
  11. walid2010

    walid2010

    Messages:
    262
    J'aime reçus:
    3
    Points:
    1 388
    un très bon tuto , très bien conçu. Merci
     
    ●●●Outils
  12. fiansonard

    fiansonard

    Messages:
    28
    J'aime reçus:
    5
    Points:
    23
    super, merci beaucoup gros tu gères
     
    ●●●Outils
  13. MarleyCooper

    MarleyCooper

    Messages:
    165
    J'aime reçus:
    5
    Points:
    88
    Merci pour ce magnifique tuto mec
     
    ●●●Outils
  14. lenzo62

    lenzo62

    Messages:
    98
    J'aime reçus:
    5
    Points:
    1 338
    Merci du logiciel c'est fort email
     
    ●●●Outils
  15. Scelerats59

    Scelerats59

    Messages:
    55
    J'aime reçus:
    1
    Points:
    33
    Merci c'est pile se que je chercher sa me rend un grd service
     
    ●●●Outils
  16. asgardou

    asgardou

    Messages:
    24
    J'aime reçus:
    0
    Points:
    21
    merci c'est tres gentil ce petit tuto
     
    ●●●Outils
  17. nohapnofap666

    nohapnofap666

    Messages:
    488
    J'aime reçus:
    1
    Points:
    1 448
    Merci beaucoup pour ce tutorial, ça fait plaisir !
     
    ●●●Outils
  18. Mehdi99

    Mehdi99

    Messages:
    16
    J'aime reçus:
    0
    Points:
    21
    Merci c'est pile se que je chercher sa me rend un grd service
     
    ●●●Outils
  19. 0verdose

    0verdose

    Messages:
    531
    J'aime reçus:
    4
    Points:
    1 448
    j'avais deja vu ce logiciel sur une vidéo mais javais pas bien compris comment cela marchait merci pour le tuto du coup :)
     
    ●●●Outils
  20. darcklight

    darcklight

    Messages:
    6
    J'aime reçus:
    0
    Points:
    21
    bon travail esperon que tu metta un video pour etre plus claire
     
    ●●●Outils