GNU/Linux >> Tutoriels Linux >  >> Linux

Créer des listes de mots avec Crunch sur Kali Linux

Présentation

Les listes de mots sont un élément clé des attaques par mot de passe par force brute. Pour les lecteurs qui ne sont pas familiers, une attaque par mot de passe par force brute est une attaque dans laquelle un attaquant utilise un script pour tenter à plusieurs reprises de se connecter à un compte jusqu'à ce qu'il reçoive un résultat positif. Les attaques par force brute sont assez manifestes et peuvent amener un serveur correctement configuré à verrouiller un attaquant ou son adresse IP.

C'est le point de tester la sécurité des systèmes de connexion de cette façon. Votre serveur doit interdire les attaquants qui tentent ces attaques et doit signaler l'augmentation du trafic. Du côté de l'utilisateur, les mots de passe devraient être plus sécurisés. Il est important de comprendre comment l'attaque est menée pour créer et appliquer une politique de mots de passe forts.

Kali Linux est livré avec un outil puissant pour créer des listes de mots de n'importe quelle longueur. C'est un simple utilitaire de ligne de commande appelé Crunch. Il a une syntaxe simple et peut facilement être ajusté en fonction de vos besoins. Attention cependant, ces listes peuvent être très grand et peut facilement remplir un disque dur entier.

Générer une liste

Pour commencer, ouvrez un terminal. Crunch est déjà installé et prêt à fonctionner sur Kali, vous pouvez donc simplement l'exécuter. Pour la première liste, commencez par quelque chose de petit, comme celui ci-dessous.

# crunch 1 3 0123456789

Très bien, donc la ligne ci-dessus créera une liste de toutes les combinaisons possibles des nombres de zéro à neuf avec un deux et trois caractères. Pour rappel, le premier nombre est la plus petite combinaison de caractères. Dans ce cas, il s'agit d'un seul personnage. C'est un peu irréaliste, car personne ne devrait avoir un mot de passe à un caractère, et aucun site ne devrait l'autoriser.

Le deuxième nombre est la plus longue combinaison de caractères. Cette fois, c'est trois. Ainsi, Crunch générera toutes les combinaisons possibles de trois des caractères fournis.

La dernière partie est la liste de tous les caractères que Crunch utilisera pour faire les combinaisons. Cette liste est relativement petite, alors n'hésitez pas à l'exécuter, mais dès que vous commencerez à ajouter plus de caractères ou à augmenter la taille maximale de la combinaison, la taille globale de la liste explosera.

Le scénario ci-dessus n'est pas si réaliste, bien qu'il puisse être appliqué à la combinaison de broches pour déverrouiller un téléphone ou quelque chose du genre. Une liste plus réaliste pourrait être générée avec la commande linux suivante.

# crunch 3 5 0123456789abcdefghijklmnopqrstuvwxyz

Cette commande générera toutes les combinaisons possibles de trois, quatre et cinq caractères des nombres de zéro à neuf et l'alphabet en utilisant des caractères minuscules. Même si les mots de passe générés seront courts, la liste sera absolument énorme.

Maintenant, si vous aviez le matériel et les ressources pour vraiment essayer de tester la sécurité des mots de passe, vous pouvez exécuter quelque chose comme la commande ci-dessous.

# crunch 3 10 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ

ATTENTION ! N'essayez pas de l'exécuter. Il générera un fichier qui remplira facilement tout votre disque dur et sera pratiquement inutilisable avec du matériel normal. Cependant, si quelqu'un était capable de l'utiliser, il pourrait tester chaque mot de passe avec chaque combinaison de trois à dix caractères en utilisant tous les chiffres et l'alphabet minuscule et majuscule.

Capturer la sortie

Ce que vous avez vu jusqu'à présent ne fait que produire des chiffres sur l'écran. Ce n'est évidemment pas très utile. Après tout, vous êtes censé générer un fichier texte à utiliser avec un autre programme. Crunch comme indicateur intégré pour générer une sortie sous la forme d'un fichier texte.

# crunch 3 5 0123456789abcdefghijklmnopqrstuvwxyz -o Documents/pass.txt

Juste en ajoutant le -o drapeau et en spécifiant une destination, vous pouvez créer votre liste de mots sous la forme d'un fichier texte correctement formaté.

Il existe cependant une autre façon de gérer cela. Supposons que vous ayez déjà une bonne liste de mots avec de mauvais mots de passe populaires. Il y en a en fait un installé sur Kali par défaut sur /usr/share/wordlists appelé rockyou.txt . Vous n'avez plus qu'à le décompresser. Et si vous vouliez ajouter votre liste de mots générée sur rockyou.txt pour tester des possibilités supplémentaires en un seul coup. Tu peux. Redirigez simplement la sortie de Crunch dans le fichier.

# crunch 3 5 0123456789abcdefghijklmnopqrstuvwxyz >> /usr/share/wordlists/rockyou.txt

Le fichier sera très volumineux, alors assurez-vous d'avoir de l'espace et de vouloir tester autant de possibilités.

Réflexions finales

Il n'y a pas grand-chose d'autre à dire. Crunch est un excellent outil pour créer des listes de mots. Comme tout outil de sécurité, il doit être utilisé intelligemment et avec discrétion. Dans le cas de vraiment mauvais mots de passe, Crunch peut créer une courte liste rapidement pour d'autres programmes comme Hydra à tester. Les futurs guides exploreront les autres outils qui peuvent utiliser les listes de mots créées par Crunch pour tester les mots de passe vulnérables.


Linux

  1. Version Kali Linux 1.0.8 avec prise en charge du démarrage EFI

  2. Version Kali Linux 1.0.7

  3. Version Kali Linux 1.0.6

  4. Version Kali Linux 1.1.0

  5. apt-get update échoue ? (Kali Linux avec boîte virtuelle)

Kali Linux contre Parrot

Guide d'examen et d'installation de Kali Linux avec captures d'écran

Commande SS sous Linux avec des exemples utiles

Faire semblant d'utiliser Windows avec le mode d'infiltration de Kali Linux

Comment lister les systèmes de fichiers sous Linux avec lfs

La commande Linux lsof expliquée avec 12 exemples pratiques