[Cracking] Mots de passe
Introduction
Cette page est dédiée au crackage de mots de passe avec des outils et des procédures.
Wordlists
Ci-dessous se trouve un liste de wordlists plus ou moins longue et plus ou moins efficace selon l'utilisation :
- Rockyou : https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt
- Wordlist de Stun de 1,5 Milliards de mots de passe : https://korben.info/une-liste-de-15-milliards-de-mots-de-passe.html
- Chemin des wordlists sur Kali Linux : /usr/share/wordlists/wfuzz/general/
- Wordlist Fuzzing : https://github.com/daviddias/node-dirbuster/blob/master/lists/directory-list-2.3-medium.txt
Psudohash
Cet outil permet de générer des mutations d'un mot de passe.
https://github.com/t3l3machus/psudohash
Cupp
Permet de générer des mots de passes pour cibler une personne ou une entité en établissant le profil de ce dernier.
Crunch
Permet de générer des mots de passe selon un patern et des propriétés comme une longueur spécifique ou l'utilisation de caractères spéciaux.
https://github.com/jim3ma/crunch
WFuzz
Outil de fuzzing de sous domaines mais ausside brute force de formulaires sur des pages web.
Exemple d'utilisation pour brute force un login sur une page web :
wfuzz -c -z file,<WORDLIST> --hs <MOT_ECHEC_PASS_PAGE> -d "<login>=<LOGIN>&<password>=FUZZ" <URL>