Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Capture d'écran montrant une fenêtre de commande avec des commandes pour exploiter la faille JAR

Pour trouver le mot de passe linux d’une machine, c’est assez simple mais ça prend du temps… Tout d’abord, il vous faut un petit logiciel open source qui s’appelle John (John The Ripper pour être précis).

La fonction de John est de tester toutes les combinaisons possibles soit d’une liste de mot, soit de manière incrémentale pour faire correspondre le hash du mot de passe crypté avec celui du mot testé.

Bref, vous l’aurez compris, ça peut prendre du temps si le mot de passe est bien long et bien complexe.

Avant de commencer, installez John (méthode Ubuntu ou Debian avec APT) :

sudo apt-get install john

Ensuite, il faut re-assembler les fichiers passwd et shadow… Sous linux, les fichiers contenant les mots de passe sont divisés en 2 et stockés dans le répertoire /etc/

/etc/passwd contient uniquement les logins, les chemins des Home, les groupes…etc mais pas le mot de passe. Ce dernier est quand à lui stocké dans /etc/shadow de façon cryptée.

Donc pour pouvoir cracker ce mot de passe, il faut « re-assembler » les 2 fichiers pour n’en former plus qu’un seul. C’est ce que la command unshadow va nous permettre de faire. Il faut bien sûr être loggé avec un compte administrateur ou root pour pouvoir accèder aux fichiers de /etc/

sudo unshadow /etc/passwd /etc/shadow > mypasswd

Ensuite, il vous suffit de lancer John

sudo john mypasswd

Et c’est parti pour de longues heures si vous avez de la chance (ou des mois et des mois si vous en avez moins)

Une fois que John aura fini son travail, il ne vous restera plus qu’a afficher ce mot de passe avec la commande suivante :

sudo john –show mypasswd

Et voilà… Bon, je vous rappelle quand même que ces petites manipulations ne doivent être réalisées que sur votre propre machine pour tester la sécurité de vos propres mots de passe.

En ce qui concerne John, il est paramétrable dans tous les sens donc si vous voulez aller un peu plus loin dans le truc, je vous recommande ce site.

@  — 

Bouteille de Ubuntu Cola avec logo et slogan
Ubuntu Cola, c’est le nom de cette boisson gazeuse ciblée commerce équitable… Rien à voir avec le système d’exploitation Ubuntu mis à part le concept orienté « Humain ».

Partenaire d’un programme économique et environmental avec des producteurs de sucre, la société reverse 33 % de ses recettes en Afrique. Ce qui est amusant avec cette boisson c’est la confusion qui s’installe avec l’OS. J’aurais tendance à dire que les gens vont l’acheter, plus parce qu’ils se sentent proches de la philosophie de la distrib Ubuntu que pour aider l’Afrique… Mais je me trompe peut être.

Personne buvant du Ubuntu Cola devant un ordinateur avec des stickers Ubuntu

D’ailleurs, petit rappel sur la significarion d’Ubuntu. Ce mot provient dé??un ancien mot bantou (langue d’Afrique), ubuntu, signifiant « Humanité aux autres » ou encore « Je suis ce que je suis grâce à ce que nous sommes tous ». Donc finalement, c’est un mot comme les autres qui peut être utilisé pour tout et n’importe quoi, même si il est chargé d’une signification assez forte.

Pour le moment, cette boisson est sortie en Angleterre (sa terre natale) et commence à débarquer dans d’autres pays d’Europe comme la Suède. Va falloir que j’y goute ça quand même 🙂

Toutes les infos sont ici

@  — 

Un chat noir et blanc qui miaule sur le toit

Allez hop, pour vous détendre en fin de journée si vous êtes encore au boulot…

https://www.youtube.com/watch?v=lyjq9RJ-_yM

@  — 

Schéma de fonctionnement d'un proxy pour lire des MP3

Si je vous donne un bon vieux lien MP3 comme celui-ci :

http://websvn.kde.org/*checkout*/trunk/promo/exampleuser/qt23.mp3

Comment écoutez vous la chanson ? Simple… Vous la téléchargez sur votre ordinateur, et vous ouvrez votre lecteur MP3 préféré…

Ca va pas révolutionner le monde mais je suis tombé sur un site chinois qui permet d’écouter directement en stream un MP3 se trouvant sur un autre serveur sans avoir besoin de le télécharger sur votre ordinateur. C’est un peu du Cross-mp3-stream. Je ne sais pas si cette application flash a été conçu pour ça à l’orgine mais ça peu dépanner.

Il suffit de préfixer l’adresse de votre MP3 avec ça :

http://www.china-8.com/player_button/musicplayer.swf?song_url=

Ce qui nous donne ce lien.

@  — 

Alicia Keys - victime de la faille de sécurité de MySpace
Roger Thompson, un expert en sécurité a découvert que plusieurs pages Myspace avaient été hackées. Parmi les victimes, se trouvent Greements of Fortune (groupe de funk français), Dykeenies (groupe de Glasgow) et la célèbre Alicia Keys.

Autant vous dire que si vous allez là bas, vous allez vous ramasser une cochonnerie.

Pour l’instant, ce n’est que le début de l’infection et Myspace n’a pas encore localisé la faille mais cette dernière renvoit le visiteur vers un site tiers qui lui proposera d’installer un faux codec qui bien sûr est un virus.

D’après Roger, Alicia et ses amis musiciens ne se sont pas fait voler leurs mots de passe. C’est donc bien Myspace qui est en cause avec une jolie faille de sécurité.

Affaire à suivre donc…

Et c’est par ici la jolie vidéo qui explique tout cela… Merci Roger !