Résultat Hydra

strongh · 03-04-2014 00:28:52

Bonsoir

J'ai kali linux sur mon PC je le trouve très intéressant comme système en plus il comporte des outils, parmi ces outils j'ai essayé HYDRA pour essayer de retrouver le mot de passe de mon compte Gmail.

Pour cela j'ai généré un dictionnaire worldlist en mettant mon mot de passe à l'intérieur, j'ai exécuté hydra avec tous les paramètres, il a bien fonctionné jusqu'à ce qu'il m'a affiché "1 valid password found" mais le mot de passe retrouvé n'est pas le mien un autre mot de passe comportant des caractères comme "!=S$...

Comment je peux expliquer ça s'il vous plait un faut résultat, ou du n'importe quoi avec Hydra, s'il vous plait aidez moi, merci.
Modifier le message

IceF0x · 03-04-2014 06:19:05

C'est le système anti brute force de gmail il te demande un captcha toute les x tentative maintenant, c'est ça que tu vois apparaitre.

strongh · 04-04-2014 00:23:02

Merci pour votre réponse

On me demande pas encore un captcha, le mot de passe c'est le mien, je l'ai mis dans le dictionnaire worldlist,
je parle du résultat obtenu par Hydra après plusieurs lignes il me dit "1 valid password" et je vois password: ......
c'est pas le mien, c'est pas la peine de tester plusieurs fois gmail et avoir un captcha parce que je connais mon mot de passe, je voulais vous demander conseil pour me dire pourquoi Hydra me trouve un autre mot de passe erroné.

Merci

IceF0x · 04-04-2014 18:56:27

Comme répondu ici: http://www.kali-linux.fr/forum/index.ph … ml#msg3468

J'avais déjà répondu là http://linuxtrack.net/viewtopic.php?id=909
Mais je pense qu'il te faut des détails, j'ai un peu tester le bazar et en fait je pense qu'il s'agit d'un test sur la réponse reçue en cas de requête positive.
par exemple sur une page web tu reçois un 200 OK si le passe est bon et un 403 FORBIDEN si le résultat est faux.
Gmail à mis au point un système de code captcha en cas d'erreur répétée ce qui inclu qu'en cas de brute force tu as pour les erreur un 403 mais au bout de x erreur il te demande un captcha mais à ce moment là tu reçois une page autorisée donc un 200 ce qui induit le logiciel de bruteforce en erreur et il croit avoir abouti.
Maintenant je ne sais pas si hydra prend en compte ce principe mais je pense que ça peut être la cause du faux positif.
Documentation http://fr.wikipedia.org/wiki/Liste_des_codes_HTTP

oliver_queen · 29-10-2014 19:31:56

bonjour
j'ai le même problème... j'essaye de bruteforcer gmail en mettant mon mot de passe dans la lite
et hydra ne le trouve pas
j'ai meme fait une liste avec 1 seul mot ( le mot de passe) et cela ne fonctionne
pouvez vous me donner des indications où me dire ce que je doit faire ?
j'utilise xhydra ( kali sur clé usb ) ou depuis ubuntu et imitant les tutos youtube
à la lettre
merci de m'aider
OQ

IceF0x · 29-10-2014 19:41:39

oliver_queen a écrit :

bonjour
j'ai le même problème... j'essaye de bruteforcer gmail en mettant mon mot de passe dans la lite
et hydra ne le trouve pas
j'ai meme fait une liste avec 1 seul mot ( le mot de passe) et cela ne fonctionne
pouvez vous me donner des indications où me dire ce que je doit faire ?
j'utilise xhydra ( kali sur clé usb ) ou depuis ubuntu et imitant les tutos youtube
à la lettre
merci de m'aider
OQ

La réponse se trouve juste au dessus de ta question...

oliver_queen · 29-10-2014 19:58:05

Icef0x
merci pour ta réponse j'ai bien lu ce que tu as écris, mais tu expliques le pourquoi
mais quelles solutions ? cela veux dire que gmail n'est pas (plus) brutefoçable ? (cela se dit ça ?)
ou y a t-il des solutions alternatives avec autre chose que Hydra...?
de plus je m'interresse beaucoup à yahoo aussi . est ce facile à bruteforcer ?

merci
oliver

IceF0x · 29-10-2014 21:17:36

Facile non c'est surtout long

de plus il existe de plus en plus de solution pour contrer le bruteforce, par exemple lis ce tuto ou un exemple ssh est contourné http://linuxtrack.net/viewtopic.php?id=654

Checkfx · 16-02-2015 05:09:26

Le bruteforce est a mon humble avis une mèthode de plus en plus qui ne rapporte que très peu de taux de réussite !

Quant a Gmail,Outlook, facebook et autres de ce genres ... le taux de réussite encore a mon humble avis si l'intention est de prendre des victimes est de beaucoup supérieur avec une Harvester credential attack avec une page cloné !

Lorsque bien fait, celle-ci peut savérer être dévastatrice et très rapide !

Aussi " bruteforce " via dictionnaire dans ma tête a moi ... ca fait pas bruteforce !

Un bruteforce a mes yeux se qualifie entant que tel utilisé avec un charset simple ... un dictionnaire peu vous me direz être une source étant ou passant pour un charset mais ... comme je dit je ne vois pas cela comme un vrai bruteforce.

Ce que fait hashcat ou cudahascat ( nvidia ou encore ati avec ocl ) a mes yeux est ce que moi j'appelle du bruteforce.

JDit ca ... jdit rien ! héhéhé ! ]:D

notfound · 20-02-2015 01:47:56

Checkfx a écrit :

Aussi " bruteforce " via dictionnaire dans ma tête a moi ... ca fait pas bruteforce !
Un bruteforce a mes yeux se qualifie entant que tel utilisé avec un charset simple ... un dictionnaire peu vous me direz être une source étant ou passant pour un charset mais ... comme je dit je ne vois pas cela comme un vrai bruteforce.

Alors ça, c'est totalement erroné !
Un bruteforce, c'est le fait de tenter un tas de combinaisons possibles, peu importe la forme.

Après certes, y'a plusieurs méthodes comme l'attaque par charset incrémentiel, attaque par dictionnaire etc, mais ça reste du bruteforce smile

Checkfx · 20-02-2015 14:04:30

oui je suis daccord mais comme j'indiquait " dans ma tête a moi " ...ca fait pas vraiment bruteforce ... j'ai jamais voulu dire que ca en était pas un !

WW · 08-03-2015 22:07:50

salut les gars , je voulais juste vous demander une chose car etant novice sur linux , peut on craquer toutes sortes de boite mail avec hydra ??
Merci pour vos reponses les gars

gink · 07-05-2015 14:05:14

bonjour,

Je ne sais pas si je suis au bon endroit mais
ayant effectuée auparavant de maintes recherches, je n'arrive pas à trouver la solution à mon problème.

Je suis sous Linux ubuntu, ais installé Xhydra, mais n'arrive pas à trouver le mot de passe d'un hotmail. De plus, j'ai pu comprendre qu'il faudrait taper certains codes dans un terminal, mais je ne sais vraiment pas où (terminal de l'ordi ?) et quoi écrire exactement.

Au niveau des données, je n'ais que l'adresse mail ainsi que l'IP (sans être sur que ce ne soit la mienne).

Si quelqu'un pouvait m'aider, j'en serais vraiment très reconnaissante car j'ai vraiment cherché pendant des heures..
Merci d'avance

gink · 07-05-2015 14:57:20

Quelqu'un pourrait m'aider svp ? Il ne m'affiche pas le mot de passe de mon adresse mail.
Je ne comprend pas........

Please, help me

IceF0x · 07-05-2015 15:14:48

gink a écrit :

j'en serais vraiment très reconnaissante

On peut demander des faveurs sexuelles en échange ? siffle

gink · 07-05-2015 15:26:41

euh...n'importe quoi..Personne pour m'aider alors...

IceF0x · 07-05-2015 15:59:59

gink a écrit :

euh...n'importe quoi..Personne pour m'aider alors...

Pas de présentation, tu n'a pas expliqué en détail tes démarche déjà effectuée, on a aucunes assurances que la boite mail t'appartient réellement, on ne va pas t'aider à commettre un acte illégal...
Ensuite tu penses bien qu'un site comme Hotmail/Microsoft/Outlook/gmail on mis en place des protection anti-brute-force afin d'éviter que des kikoolol ne s'amusent.

Et enfin, tu n'a pas lu le règlement qui précise que le forum n'est pas un forum de hacking...

gink · 07-05-2015 16:06:55

Je ne souhaite pas commettre un "acte illégal"...

Ce que j'ai déjà effectué, c'est de mettre mon adresse IP dans "TARGET", mon adresse mail dans "password username", et c'est tout.
En aucun cas il s'affiche le moindre mot de passe.
D'ailleurs je n'ais même pas de "lists" dans mon répertoire.

En gros je ne comprend pas trop, alors que sur vos tutos ont voit bien que hydra affiche le mot de passe. Même en suivant à la lettre ce qu'il y avait d'écris, il ne se passe rien...

Je me demande où j'ai bien pu faire une erreur.

Et encore une fois, je ne veux "hacker" personne

IceF0x · 07-05-2015 16:18:05

Ce n'est pas ton IP que tu doit mettre dans TARGET mais l'adresse de la cible dans ton cas ça devrait être un truc du genre "smtp-mail.outlook.com" tu doit aussi configurer le port utilisé normalement 587
Tu doit aussi choisir le protocole utilisé dans mon exemple c'est smtp
Dans l'onglet password tu met ton adresse mail complète tout simplement dans username.
Dans password list il te faut un fichier contenant une liste de tout les mot de passe que l'outil va utiliser pour bruteforcer "ta boite" mail.

il est peu probable que l'attaque fonctionne car Hotmail à probablement une sécurité anti-brute-force, il faut passer plutôt par le terminal et la version non graphique de hydra que l'ont peu mettre dans une boucle for avec un sleep pour que le protocole ne remarque pas qu'il est attaqué.

Cela peut prendre plusieurs jours/semaines dans ce cas

gink · 07-05-2015 16:29:41

oula ah ok. Pas facile tout ça... Déjà que Linux à la base c'est pas pour les débutants...
Je vais essayer en premier temps ce que vous m'avez indiqué, et si ça ne marche pas je reviendrais vers vous si ça ne vous embête pas... (ouvrir terminal etc c'est du chinois pour moi lol)

En tout les cas MERCI déjà pour le coup de main.

IceF0x · 07-05-2015 16:37:02

Tu utilise linux juste pour ça ???

gink · 07-05-2015 16:38:36

Non, je l'utilise également pour ne pas (ou peu) recevoir de virus.

gink · 07-05-2015 16:40:35

Par contre je ne sais pas où et comment télécharger un dico de mots de passe. J'ai vu des sites qui en proposent, mais je me méfie...

IceF0x · 07-05-2015 16:45:47

Si tu connais ton mot de passe tu peux déjà faire ceci, afin de vérifier que le logiciel fonctionne.

Tu met ton mot de passe dans un fichier que tu appelle "passwordlist.txt" par exemple

tu peux même mettre 3 mot de passes par exemple:

montonton
matata
ton_mot_de_passe

Et tu teste avec celui là.

Ensuite tu peux générer des liste toi même avec Crunch par exemple, ou certain script python comme patforce etc.. ou télécharger des wordlist depuis les dépôts, mais sans garantie de résultat si le mot de passe recherché ne se trouve pas dans la liste.

gink · 07-05-2015 16:52:15

ok très bien je vais essayer. Merci encore.
Je vous direz si ça marche.

#1 03-04-2014 00:28:52

Résultat Hydra

#2 03-04-2014 06:19:05

Re : Résultat Hydra

#3 04-04-2014 00:23:02

Re : Résultat Hydra

#4 04-04-2014 18:56:27

Re : Résultat Hydra

#5 29-10-2014 19:31:56

Re : Résultat Hydra

#6 29-10-2014 19:41:39

Re : Résultat Hydra

#7 29-10-2014 19:58:05

Re : Résultat Hydra

#8 29-10-2014 21:17:36

Re : Résultat Hydra

#9 16-02-2015 05:09:26

Re : Résultat Hydra

#10 20-02-2015 01:47:56

Re : Résultat Hydra

#11 20-02-2015 14:04:30

Re : Résultat Hydra

#12 08-03-2015 22:07:50

Re : Résultat Hydra

#13 07-05-2015 14:05:14

Re : Résultat Hydra

#14 07-05-2015 14:57:20

Re : Résultat Hydra

#15 07-05-2015 15:14:48

Re : Résultat Hydra

#16 07-05-2015 15:26:41

Re : Résultat Hydra

#17 07-05-2015 15:59:59

Re : Résultat Hydra

#18 07-05-2015 16:06:55

Re : Résultat Hydra

#19 07-05-2015 16:18:05

Re : Résultat Hydra

#20 07-05-2015 16:29:41

Re : Résultat Hydra

#21 07-05-2015 16:37:02

Re : Résultat Hydra

#22 07-05-2015 16:38:36

Re : Résultat Hydra

#23 07-05-2015 16:40:35

Re : Résultat Hydra

#24 07-05-2015 16:45:47

Re : Résultat Hydra

#25 07-05-2015 16:52:15

Re : Résultat Hydra

Pied de page des forums