Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Logiciel Hydra : avis


#1

Bonjour,

Je me demandais ce que vous pensiez du logiciel “Hydra” ?

merci d’avance,


#2

Bonjour,

Je connais pas, c’est quoi ?


#3

Salut !

HTC Hydra
C’est un logiciel permettant une attaque au dictionnaire ou par la force brute.
Il y a un tuto ici :
Tuto
Je voulais savoir si quelqu’un l’avait déjà testé et si il valait le coup…

Bien a toi,


#4

Ça me paraît bien simple…


#5

oui, trop simple à mon gout…
Mais je n’ai trouvé personne qui le critiquait en disant que c’était de l’arnaque. J’ai téléchargé le fichier, et apres une batterie de test, il ne semble pas être infecté…
Mais avant d’installer cygwin et tout le reste, je préférais avoir des avis de ce forum.

Bien a toi,


#6

Il est tout à fait normal de trouver peu d’informations/avis sur ce genre de “sujet” vu qu’il est de par sa nature “HORS LA LOI”.

Maintenant si c’est uniquement pour tester la solidité des mots de passe de ses propres machines et comptes utilisateurs, alors il existe des outils plus souples et tolérés par la loi du genre: Quarks PwDump ici: https://github.com/quarkslab/quarkspwdump

Voici un exemple de procédure d’utilisation de Quarks PwDump:

Pour extraire tous les comptes d’une machine Windows :

Il est nécessaire d’effectuer les opérations sur l’ordinateur concerné.

Entrez la commande suivante depuis une invite de commande avec des privilèges administrateurs:

QuarksPwDump.exe -dhdc -o C:hash.txt

Après quelques secondes votre fichier hash.txt est généré. Il contient la liste des comptes utilisateurs de votre ordinateur ainsi que les mots de passe cryptés.

Pour extraire tous les comptes d’un domaine Active Directory

Il est nécessaire d’effectuer les opérations depuis un contrôleur de domaine du domaine concerné.

Entrez la commande suivante depuis une invite de commande avec des privilèges administrateurs:

QuarksPwDump.exe -dhl -o C:hash.txt

Après quelques dizaines de secondes votre fichier hash.txt est généré. Il contient la liste des comptes utilisateurs de votre domaine ainsi que les mots de passe cryptés.

Sélectionner les comptes à décrypter

Cracker un mot de passe peut durer très très très longtemps, parfois plusieurs heures selon la complexité d’un mot de passe…

Je vous conseille donc d’éditer votre fichier hash.txt afin de ne conserver que les comptes que vous souhaitez réellement auditer.

Cracker un mot de passe :

Nous allons maintenant passer à l’étape cruciale, cracker un mot de passe Windows. Cette étape consiste à décrypter les mots de passe MD5 contenus dans le fichier généré hash.txt.

Pour cela ouvrez une ligne de commande et naviguez vers le répertoire contenant l’exécutable john-386.exe. Lancez ensuite la commande suivante:

john-386.exe hash.txt

Le décryptage va alors commencer. Armez vous de patience ! Si un utilisateur à un mot de passe à 4 caractères cela va durer quelques secondes à peine, par contre à titre d’exemple il me faut 4 heures pour décrypter un mot de passe de 12 caractères dont 2 caractères spéciaux avec un P4 2.66 Ghz.

Pour visualiser les mots de passe qui ont été trouvés pendant le traitement ouvrez une nouvelle invite de commande et lancez la commande:

john-386.exe --show hast.txt

Pour exporter le résultat dans un fichier password.txt tapez la commande suivante:

john-386.exe --show hash.txt >c:password.txt

Pour ceux et celles qui veulent s’aventurer plus loin sur le Net, je vous dis sans moi et bonne chance ! :wink:

PS:[quote=“gillesdc, post:5, topic:5414”]
J’ai téléchargé le fichier, et apres une batterie de test, il ne semble pas être infecté…
[/quote]

ATTENTION au code malveillant injecté dans l’exécutable qui reste indétectable par les antivirus !!! LoL! :grin:


#7

Bonjour,

Je déterre un peu le sujet mais oui Hydra est un très bon outil.
Je l’avais par exemple utilisé pour bruteforcer une authent XMPP (mon propre serveur pas de panique).
Ce qui est pratique c’est que ça évite de recoder les échanges client-serveurs d’authentification car c’est vite complexe à implémenter.