Table des matières
Introduction
Kalilinux est une distribution Linux basée sur Debian qui est devenue populaire auprès des utilisateurs de sécurité informatique. Cette distribution inclut de nombreux outils pour les tests de pénétration, la surveillance réseau et la reconnaissance d’intrusion. Dans cet article, nous allons explorer l’utilisation de Kalilinux pour faire du brute force.
Qu’est-ce que le brute force?
Le brute force, ou force brute en français, est une méthode utilisée pour craquer les mots de passe en essayant toutes les combinaisons possibles jusqu’à ce que la combinaison correcte soit trouvée. Cette méthode peut être utilisée pour craquer les mots de passe d’un compte utilisateur, d’une application ou d’un système.
Pourquoi utiliser Kalilinux pour le brute force?
Kalilinux inclut de nombreux outils pour la sécurité informatique, notamment des outils pour le brute force. Ces outils peuvent être utilisés pour craquer les mots de passe d’un compte utilisateur, d’une application ou d’un système. En outre, Kalilinux est basé sur Debian, ce qui signifie qu’il est stable et fiable.
Comment utiliser Kalilinux pour le brute force
Il existe de nombreux outils disponibles dans Kalilinux pour faire du brute force, mais nous allons explorer l’utilisation de John the Ripper, qui est l’un des outils les plus populaires pour le brute force de mots de passe.
John the ripper
- Tout d’abord, vous devez télécharger et installer Kalilinux sur votre ordinateur.
- Ensuite, ouvrez un terminal et tapez la commande suivante pour installer John the Ripper:
sudo apt-get install john
- Une fois John the Ripper installé, vous pouvez utiliser la commande suivante pour lancer un test de brute force sur un fichier de mots de passe:
john nom_du_fichier.txt
- Il est important de noter que lorsque vous effectuez un test de brute force, vous devez utiliser une liste de mots de passe potentiels pour tester. Vous pouvez trouver des listes de mots de passe sur internet ou en créer une vous-même.
Dictionnaires
Voici quelques exemples de dictionnaires de mots de passe populaires avec leur lien de téléchargement :
- RockYou: https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt
- SecLists: https://github.com/danielmiessler/SecLists
- cirt: https://cirt.net/passwords
- Crackstation: https://crackstation.net/buy-crackstation-wordlist-password-cracking-dictionary.htm
Exemples
Voici quelques exemples d’utilisation de John the Ripper pour cracker des mots de passe :
Crack d’un fichier hash unix
Si vous avez un fichier contenant des mots de passe hashés pour un système Unix, vous pouvez utiliser John the Ripper pour cracker ces mots de passe. Par exemple, la commande suivante utiliserait un dictionnaire pour cracker un fichier de mots de passe hashés nommé « passwd »:
john --wordlist=dictionnaire.txt passwd
Crack d’un fichier hash windows
Pour cracker des mots de passe hashés pour un système Windows, vous pouvez utiliser John the Ripper en combinaison avec le plugin « NT » pour cracker des fichiers de mots de passe hashés SAM. Par exemple, la commande suivante utiliserait un dictionnaire pour cracker un fichier de mots de passe hashés SAM:
john --format=nt --wordlist=dictionnaire.txt sam
Crack d’un fichier hash avec une règle
Il est possible de combiner les méthodes de force brute et de dictionnaire en utilisant des règles pour générer des variantes de mots de passe. Par exemple, la commande suivante utiliserait une règle pour générer des variantes de mots de passe à partir d’un dictionnaire:
john --rules --wordlist=dictionnaire.txt passwdBruteForce.py
BruteForce.py est un script Python qui peut être utilisé pour effectuer des tests de brute force sur des services réseau tels que SSH, FTP, Telnet, etc. Ce script utilise un dictionnaire de mots de passe pour tester les combinaisons jusqu’à ce qu’il trouve la combinaison correcte. Il peut être utilisé pour tester la sécurité d’un système en utilisant des mots de passe connus pour être faibles, ou pour essayer de craquer les mots de passe d’un compte utilisateur ou d’un système.
Pourquoi utiliser BruteForce.py?
BruteForce.py est un script Python qui est facile à utiliser et qui permet de tester la sécurité d’un système en utilisant des mots de passe connus pour être faibles. Il peut également être utilisé pour essayer de craquer les mots de passe d’un compte utilisateur ou d’un système. Ce script est souvent utilisé par les professionnels de la sécurité informatique pour tester la sécurité de leurs propres systèmes ou pour aider les clients à renforcer leur sécurité.
Comment utiliser BruteForce.py
- Tout d’abord, vous devez télécharger BruteForce.py à partir d’un dépôt GitHub ou d’un autre emplacement en ligne.
- Ensuite, vous devez installer Python 3 sur votre ordinateur si ce n’est pas déjà fait.
- Ouvrez un terminal et rendez-vous dans le répertoire où se trouve le script.
- Utilisez la commande suivante pour lancer le script en spécifiant l’adresse IP ou le nom d’hôte du service, le nom d’utilisateur et le fichier de dictionnaire de mots de passe:
python3 BruteForce.py -H adresse_IP_ou_nom_d_hôte -u nom_d_utilisateur -F dictionnaire.txt
Le script va alors tester tous les mots de passe contenus dans le fichier de dictionnaire jusqu’à ce qu’il trouve la combinaison correcte.
Il est important de souligner que les services de messagerie tels que Outlook mettent en place des mesures de sécurité pour protéger les comptes de leurs utilisateurs contre les attaques de brute force, tels que des limites de tentatives de connexion, des verrous de compte temporaires et des méthodes de vérification de l’identité en deux étapes. Il est donc très peu probable que l’utilisation de BruteForce.py soit efficace pour craquer les mots de passe de ces comptes.
