Créer des listes de mots avec un croquant sur Kali Linux

Introduction

Les listes de mots sont un élément clé des attaques de mot de passe de force brute. Pour les lecteurs qui ne sont pas familiers, une attaque par mot de passe de force brute est une attaque dans laquelle un attaquant utilise un script pour tenter à plusieurs reprises de se connecter à un compte jusqu'à ce qu'il reçoive un résultat positif. Les attaques de force brute sont assez manifestes et peuvent provoquer un serveur correctement configuré à verrouiller un attaquant ou leur IP.

C'est le point de tester la sécurité des systèmes de connexion de cette façon. Votre serveur doit interdire les attaquants qui tentent ces attaques et devraient signaler l'augmentation du trafic. Du côté de l'utilisateur, les mots de passe doivent être plus sécurisés. Il est important de comprendre comment l'attaque est effectuée pour créer et appliquer une politique de mot de passe solide.

Kali Linux est livré avec un outil puissant pour créer des listes de mots de toute longueur. C'est un utilitaire de ligne de commande simple appelé Crunch. Il a une syntaxe simple et peut facilement être ajusté en fonction de vos besoins. Méfiez-vous, cependant, ces listes peuvent être très grand et peut facilement remplir un disque dur entier.

Générer une liste

Pour commencer, ouvrez un terminal. Crunch est déjà installé et prêt à partir sur Kali, vous pouvez donc simplement l'exécuter. Pour la première liste, commencez par quelque chose de petit, comme celui ci-dessous.

# Crunch 1 3 0123456789

Très bien, donc la ligne ci-dessus créera une liste de chaque combinaison possible des nombres zéro à neuf avec un deux et trois caractères. Pour réitérer, le premier numéro est la plus petite combinaison de caractères. Dans ce cas, c'est un seul personnage. C'est un peu irréaliste, car personne ne devrait avoir un mot de passe d'un caractère, et non le site devrait le permettre.

Le deuxième nombre est la plus longue combinaison de caractères. Cette fois, c'est trois. Ainsi, Crunch générera toutes les combinaisons possibles de trois des personnages fournis.

La dernière partie il y a la liste de tous les personnages que Crunch utilisera pour faire les combinaisons. Cette liste est relativement petite, alors n'hésitez pas à l'exécuter, mais dès que vous commencez à ajouter plus de caractères ou à augmenter la taille maximale de la combinaison, la taille globale de la liste explosera.

Le scénario ci-dessus n'est pas si réaliste, bien qu'il puisse être appliqué à la combinaison de broches pour déverrouiller un téléphone ou quelque chose du genre. Une liste plus réaliste pourrait être générée avec la commande Linux suivante.

# Crunch 3 5 0123456789abcdefghijklmnopqrstuvwxyz

Cette commande générera toutes les combinaisons possibles de trois, quatre et cinq caractères des nombres à neuf et l'alphabet en utilisant des caractères en bas de la case. Même si les mots de passe générés seront courts, la liste sera absolument massive.

Maintenant, si vous aviez le matériel et les ressources pour vraiment essayer de tester la sécurité des mots de passe, vous pouvez exécuter quelque chose comme la commande ci-dessous.

# Crunch 3 10 0123456789abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz

FAIRE ATTENTION! N'essayez pas d'exécuter ça. Il générera un fichier qui remplira facilement votre disque dur et sera pratiquement inutilisable avec du matériel normal. Cependant, si quelqu'un pouvait l'utiliser, il pourrait tester chaque mot de passe avec chaque combinaison de trois à dix caractères en utilisant tous les nombres et l'alphabet inférieur et supérieur.

Capturer la sortie

Ce que vous avez vu jusqu'à présent, c'est simplement sortir des nombres sur l'écran. Ce n'est évidemment pas très utile. Après tout, vous êtes censé générer un fichier texte à utiliser avec un autre programme. Crunch en tant que drapeau intégré pour générer une sortie sous la forme d'un fichier texte.

# Crunch 3 5 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ -O DOCUMENTS / PASS.SMS

Juste en ajoutant le -o Indicateur et spécifiant une destination, vous pouvez créer votre liste de mots sous la forme d'un fichier texte correctement formaté.

Il existe une autre façon de gérer cela, cependant. Dites que vous avez déjà une bonne liste de mots avec les mauvais mots de passe populaires. Il y en a en fait un installé sur Kali par défaut à / usr / share / wordlists appelé rockyou.SMS. Il suffit de le décompresser. Et si vous vouliez ajouter votre liste de mots générée sur rockyou.SMS pour tester des possibilités supplémentaires en un seul coup. Tu peux. Redirigez simplement la sortie de Crunch dans le fichier.

# Crunch 3 5 0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ >> / USR / SHARE / Wordlists / Rockyou.SMS

Le fichier sera très grand, alors assurez-vous d'avoir de l'espace et que vous voulez réellement tester autant de possibilités.

Ferme

Il n'y a pas grand-chose d'autre à dire. Crunch est un excellent outil pour créer des listes de mots. Comme tout outil de sécurité, il doit être utilisé intelligemment et avec discrétion. Dans le cas d vraiment mauvais mots de passe, Crunch peut créer rapidement une courte liste pour d'autres programmes comme Hydra pour tester. Les guides futurs exploreront les autres outils qui peuvent utiliser les listes de mots créées par Crunch pour tester les mots de passe vulnérables.

Tutoriels Linux connexes:

• Comment doubler Kali Linux et Windows 10
• Liste des meilleurs outils Kali Linux pour les tests de pénétration et…
• Comment casser le mot de passe zip sur Kali Linux
• Comment installer Kali Linux dans VMware
• Durcissant kali linux
• Configuration du serveur Kali HTTP
• Kali Linux vs Parrot
• Installateurs de logiciels GUI pour Kali Linux
• Comment vérifier la version Kali Linux
• Définir le mot de passe racine Kali et activer la connexion racine