Archives du mot-clé passwords

Mega wordlist

Il y a quelques temps on avait mis à disposition une grosse wordlist composée de noms d’artistes du monde entier. Le lien est malheureusement dead.

Aujourd’hui on vous met à disposition une wordlist qui regroupe ces données plus des mots d’autres wordlists importantes (comme RockYou & co).
Cette ultra-wordlist de 52Mo compressée en XZ est téléchargable ici.

PRISM : Quand la police réclame directement les mots de passe

Via CNet :

Des sources anonymes en relation avec de grandes sociétés d’Internet ont révélé que au delà des demandes de récoltes de données liées à PRISM, il était courant que les fédéraux fassent une demande pour obtenir directement les mots de passe des utilisateurs d’un service, qu’ils soient en clair ou hashés (auquel cas ils réclament aussi l’algo utilisé et le salt associé au mdp).

Et même si votre pass est suffisamment fort (dépasse les 8 caractères et contient des caractères spéciaux) et que l’algo utilisé est assez gourmand en calcul pour les embêter, alors rien d’indique que des backdoors ou des passloggers n’aient pas été mis en place comme on a pu le voir avec Microsoft

Quand le FBI veut des backdoors… il finit par les obtenir 😐

Burito : Un outil de brute force de formulaires web

Burito est un logiciel en Python dont le fonctionnement est proche d’Hydra de THC mais qui se destine aux formulaires web.

Du fait qu’il soit plutôt générique, il permet de s’adapter à tous les types de formulaires, et permet avant tout de gérer les paramètres dynamiques insérés dans les formulaires. (ex: Token CSRF, ce qu’Hydra ne gère pas)

Pour le moment, seulement deux types d’attaques sont possibles : via une liste de mots de passe (dictionnaire) ou par force brute (on peut spécifier un charset, longueur min et max).

La vérification d’un login réussi peut se faire via la recherche d’un pattern dans la réponse HTML ou la réception d’un code HTTP particulier. Voir les options dispos pour plus d’infos.

Casser un DMG chiffré en AES-256

C’est le challenge qu’a dû surmonter Jeremiah Grossman de WhiteHat Sec et pas par plaisir.

Une mésaventure qui arrive à tout le monde : oublier son mot de passe. Et quand le mot de passe ne vous revient pas en tête après plusieurs jours, qu’il s’agit de données importantes chiffrées par FileVault avec un algo très fort il y a de quoi perdre la tête.

Heureusement d’autres experts sécu travaillant sur JtR / HashKill et avec d’importantes ressources matériel ont pu donner un coup de main.
Si le mot de passe de Jeremiah a finalement pu être cassé c’est tout de même parce qu’il s’en rappelait une bonne partie (le nombre de combinaisons a pu être fortement réduit) sans quoi même avec le matos à disposition cela aurait été impossible…

Une mésaventure qui aura profité à la communauté puisque un patch pour JtR a été fait pour l’utilitaire dmg2john.

Un keylogger Linux en user-land

Via HN :

Chez Average-Coder, le code d’un keylogger Linux qui se base sur LD_PRELOAD.

Pour ce faire, l’auteur ne hooke pas read() car su ne l’autoriserait pas mais il détourne fork() et execve() afin de capturer l’entrée standard lors de ces deux appels.

Voir aussi sur le thème de SU et le passlogging/keylogging sous Linux :
Phrack 42 : GRABEM 1.0
LOTFREE 8 : Yet Another Su Troyan
LOTFREE 9 : SU trojan – Keep It Simple Stupid
Exploiter la grace period de sudo
iXKeyLog : Keylogger X11
Sniffy : keylogger kernel-land
Phrack 59 : Writing Linux Kernel Keylogger