John The Ripper - Crackage de mots de passe

Grégory1899 · 04-08-2021 14:36:14

Bonjour,

Mes talents en informatique sont assez limités et je me penche aujourd'hui sur le logiciel "John the Ripper" qui figure dans les depots de Debian.

Fervent admirateur de la série "Mr Robot", qui, évidemment, vulgarise probablement l'informatique, j'avais découvert ce logiciel lorsque le héros cracke un mot de passe grâce à lui.
Il attend un petit moment avant que le mot de passe soit trouvé. Je me suis renseigné et ai donc compris qu'il y avait 3 modes de fonctionnement.
Le mode single qui est le mode par défaut qui utilise les informations de login des utilisateurs (nom, prénom, login, commentaires etc ..).
Le mode dictionnaire (wordlist) et le mode incrémental (force-brute) qui essaye toutes les combinaisons de caractères dans une plage donnée et à partir d'un jeu de caractères définis. Ce mode est très long, surtout si le mot de passe est correctement construit.
Il s'agit du mode utilisé dans la série.

Bref, ma question va peut être surprendre, mais elle est de savoir si on peut utiliser John The Ripper pour cracker le mot de passe d'une boîte mail par exemple. Sachant que le mot de passe de cette boîte mail n'a jamais été enregistré (ni même été utilisé) sur la machine sur laquelle on exécute le logiciel. Est-ce possible ? Et alors comment procéder ?
En fait, ma question est relativement simple : comment cracker un mot de passe de boîte mail ?
Quel logiciel est alors indispensable ?

J'ai aussi entendu parler de Hashcat, Wfuzz, etc...

anonyme · 04-08-2021 23:47:09

Bonjour,

Que ce soit John, hashcat ou autres, ces logiciels permettent de tester des "candidats" mots de passe auxquels seront appliqués une fonction de hashage identique à celle utilisée pour leur stockage sur le système. On peut ainsi comparer le hash obtenu pour chaque candidat avec le hash qui est stocké sur le serveur ou est défini le compte afin retrouver le mot de passe qui donne le même hash.

Le hash corespondant au mot de passe du compte n'existant que sur le serveur ou le compte est défini, j'ai tendance à penser que soit tu as accès à ce hash (sur le serveur de mail donc dans le cas présent) et dans ce cas tu dois aussi avoir les droits nécessaires pour changer le mot de passe, soit tu n'es pas propriétaire du serveur de mail et tu n'as d'autre possibilité que de demander à ce dernier de bien vouloir intervenir, ou à utiliser la fonction de récupération de mot de passe perdu si une telle fonctionnalité est disponible. Car sans le hash, pas vraiment de solution,sauf a tenter de bruteforcer le compte sur le serveur.

Dernière modification par anonyme (04-08-2021 23:54:36)

infothema · 05-08-2021 09:53:00

Grégory1899 a écrit :

ma question va peut être surprendre, mais elle est de savoir si on peut utiliser John The Ripper pour cracker le mot de passe d'une boîte mail par exemple. Sachant que le mot de passe de cette boîte mail n'a jamais été enregistré (ni même été utilisé) sur la machine sur laquelle on exécute le logiciel. Est-ce possible ?

Si le hash n'est pas présent sur la machine, comment veux-tu le déchiffrer ?

Grégory1899 · 05-08-2021 10:33:26

infothema a écrit :

Si le hash n'est pas présent sur la machine, comment veux-tu le déchiffrer ?

Il est bien là le problème.
En fait, il n'y a pas (aucun ?) moyen de "forcer le verrou" (force brute) à distance ?

@tux12

sauf a tenter de bruteforcer le compte sur le serveur

Et comment procéder pour cela ?

Merci pour vos réponses.

Stellal · 05-08-2021 11:34:25

Grégory1899 a écrit :

Et comment procéder pour cela ?

En risquant deux ans d'emprisonnement et 60 000 € d'amende !

Grégory1899 · 05-08-2021 14:26:47

Stellal a écrit :

En risquant deux ans d'emprisonnement et 60 000 € d'amende !

Si c'est le prix à payer, ça me va.

Stellal · 05-08-2021 16:55:41

C'est toi Stefan Thomas ?

TyZef · 05-08-2021 18:24:49

Ou alors tu veux aider cet homme !

kawer · 05-08-2021 21:43:31

Grégory1899 a écrit :

En fait, ma question est relativement simple : comment cracker un mot de passe de boîte mail ?

Concernant JohnTheRipper tu a déjà répondu :

il y a 3 modes de fonctionnement.
Le mode single qui est le mode par défaut qui utilise les informations de login des utilisateurs (nom, prénom, login, commentaires etc ..).
Le mode dictionnaire (wordlist) et le mode incrémental (force-brute) qui essaye toutes les combinaisons de caractères dans une plage donnée et à partir d'un jeu de caractères définis

Grégory1899 a écrit :

Quel logiciel est alors indispensable ?

Tout dépend de l'angle d'où tu te places, autant hydra ou medusa, que Scapy (outils qui me viennent à l'esprit), liste non exhaustive. il y a des recettes de cuisine déjà tout faite, faut en repérer qui te plaisent à les assembler et à les consommer ! Et pour moi ce sera des crêpes à la fleur d'oranger ou à la binouse, avec du beurre de caramel salé Slurp : )

/me se cache.

Dernière modification par kawer (05-08-2021 21:49:01)

TyZef · 06-08-2021 05:37:04

a la fleur de Guérande ! hein ! le caramel au beurre salé !

Debian-facile

#1 04-08-2021 14:36:14

John The Ripper - Crackage de mots de passe

#2 04-08-2021 23:47:09

Re : John The Ripper - Crackage de mots de passe

#3 05-08-2021 09:53:00

Re : John The Ripper - Crackage de mots de passe

#4 05-08-2021 10:33:26

Re : John The Ripper - Crackage de mots de passe

#5 05-08-2021 11:34:25

Re : John The Ripper - Crackage de mots de passe

#6 05-08-2021 14:26:47

Re : John The Ripper - Crackage de mots de passe

#7 05-08-2021 16:55:41

Re : John The Ripper - Crackage de mots de passe

#8 05-08-2021 18:24:49

Re : John The Ripper - Crackage de mots de passe

#9 05-08-2021 21:43:31

Re : John The Ripper - Crackage de mots de passe

#10 06-08-2021 05:37:04

Re : John The Ripper - Crackage de mots de passe

Pied de page des forums