Catégories
Internet Linux

Piratage en ligne! HYDRA

 

Il m’as semblé bon de commencer un peu à faire des tutos utiles bien que le reste n’est pas totalement dénué de sens, disons que HACKOIBON…

Il est évident que de nos jours de simple mot de passe tel que MéDiTéRaNéE13005 est complétement inutile. On utilisera Hydra pour vérifier vos mots de passe. Un mot de passe fort se doit d’avoir des caractères spéciaux en plus de majuscules et de minuscules et de chiffres, de préférences des mots de passe ne voulant rien dire, si je peux donner un conseil pour retenir de tel mot de passe serait de vous trouver un moyen mnémotechnique.

Passons au vif du sujet;
-Késako Hydra?

Hydra est un logiciel de crack de mot de passe en ligne, il est capable d’utilisé des tas de protocoles ou bases de données tel que: telnet, ftp, http, https, irc, vnc, ssh, smtp, mysql imap et j’en passe.

A la différence de certain logiciels ayant besoin du hash de mot de passe afin de le cracker hors-ligne, hydra enverra ses requêtes directement sur le serveur ciblé.

-Ou le trouver?

Tout simplement dans

applications/attaques de mots de passe/les attaques en ligne/hydra-gtk.

Vous avez déjà lancé votre programme?!

Alors vous voyez le premier onglet Target? qui définis la cible pour les monolingues français ^^.

Dans la partie Target (cible) vous trouverez single Target et Target List, le premier vous demande de taper votre adresse IP cible ou son URL;

smtp.gmail.com

par exemple.

Cela pourrait être facebook.com ou tout autres adresse, attention a la compréhension d’une adresse URL!!!, le deuxième, Target List vous proposera en cliquant dessus de spécifier l’emplacement d’une liste au format *.TXT, *.LST si vous voulez attaquer plusieurs cibles en même temps.

La petite case Prefer IPV6, bien entendu vous servira à utiliser des adresses IPv6.

Ensuite le port et le protocole d’écoute à utiliser, alors si vous ne voulez pas recommencer je vous conseil d’apprendre les protocoles et les ports. (22 pour le SSH, 193 pour IRC, etc). Vous pouvez vous aidez avec NMAP pour être totalement sur de ce que vous faites. Ici si on se références à smtp.gmail.com évidement se sera le port 25 et le protocol smtp.

En bas vous avez quelques options, tel que le mode ssl si les sites l’utilises, le mode verbose pour avoir un retour détailler , le mode debug etc etc .

Le deuxième volet PASSWORDS;

Ici on vous propose en premier lieu username, si vous le connaissez, où, vous pourrez définir une liste, les deux cases à cocher sont pour la première, que votre liste revienne et repasse si échec il y as eu, et la deuxième si vous n’avez pas besoin de fournir un nom d’utilisateur.

La partie password est assez intéressante, donc vous pouvez, si par exemple vous aviez une liste d’utilisateurs et un mot de passe que vous connaissiez, le remplir dans le premier champ. Le password list où vous devrez déterminer le chemin de votre dictionnaire, sous Kali il y en existe déjà, mais peu recommandable sauf si votre victime est dénuée de sens et que le nom de son chien est son mot de passe. Sinon vous pouvez en trouver sur la toile, payant ou non, ou alors en créez un comme indiqué ici. La troisième option sert à générer votre mots de passe en fonction de vos besoins, je ne m’étendrai pas ici, mais cette option requiert un matériel assez puissant tout de même en termes de ressources.
La partie colon separated file est pour les fichiers séparer avec des points virgules. (chaque fichiers devrais revenir à la ligne logiquement pour être pris en compte, au cas ou ^^ )

La dernières parties consiste à utiliser l’identifiant comme mot de passe, un mot de passe vide ou inverser le mot de passe et l’identifiant. Je conseil de tous les cocher, n’oubliez pas que seul la bêtises des gens nous permet de tels choses …

Pour les deux onglets suivant tuning et specific, si vous ne savez pas se que vous faites arrêter vous simplement au tuning, je ne donnerais rien sur l’onglet spécific par ailleurs, et peu sur celui ci, il vous faut comprendre comment les choses fonctionnent un peu, disons que le nombres de threads est important pas dans sa grandeur, et que le timeout l’est également. En fonction de chaque attaque il faudra bien régler ses deux fonctions, il y as aussi le comportement à adopter en cas de succès/d’échecs, et le fait de passer par un proxy…

La dernières phase Start, si vous avez convenablement remplies chaque champs , tout devrais se passer convenablement, si une erreurs survint, revenez là ou l’erreur est situé et changé vaut valeur ou tout autres problèmes.

Notez par ailleurs que vous avez l’équivalent de vos commandes écrit en bas de votre fenêtre, un plus serait de lire le man.

By Platon-y