Si vous souhaitez tester la force de vos mots de passe afin de déterminer si un hacker chinois peut peut en venir à bout avec un simple bruteforce, il vous faut :
- Des dictionnaires
- Python
- Et un patator !
Ou plutôt Patator, un script python mis au point par Sébastien Macke, capable de bruteforcer un peu tout et n’importe quoi, que ce soit SSH, SMTP, MySQL, VNC et même les fichiers zip et les DNS (c’est à dire pour débusquer certains sous-domaines inconnus). Il suffit d’utiliser le bon module :
* ftp_login : Brute-force FTP * ssh_login : Brute-force SSH * telnet_login : Brute-force Telnet * smtp_login : Brute-force SMTP * smtp_vrfy : Enumerate valid users using the SMTP VRFY command * smtp_rcpt : Enumerate valid users using the SMTP RCPT TO command * http_fuzz : Brute-force HTTP/HTTPS * pop_passd : Brute-force poppassd (not POP3) * ldap_login : Brute-force LDAP * smb_login : Brute-force SMB * mssql_login : Brute-force MSSQL * oracle_login : Brute-force Oracle * mysql_login : Brute-force MySQL * pgsql_login : Brute-force PostgreSQL * vnc_login : Brute-force VNC * dns_forward : Forward lookup subdomains * dns_reverse : Reverse lookup subnets * snmp_login : Brute-force SNMPv1/2 and SNMPv3 * unzip_pass : Brute-force the password of encrypted ZIP files * keystore_pass : Brute-force the password of Java keystore files
Le script est téléchargeable ici.
Pour les dictionnaires, je vous recommande d’en récupérer ici, mais sinon, y’en a plein sur le net (et des outils pour les générer aussi).
Faites-en bon usage.