saigneurdushi
Messages postés45Date d'inscriptionsamedi 3 mai 2003StatutMembreDernière intervention25 janvier 2011 4 janv. 2011 à 22:43
Merci pour ces infos précieuses Bacterius :-)
Bacterius
Messages postés3792Date d'inscriptionsamedi 22 décembre 2007StatutMembreDernière intervention 3 juin 201610 5 déc. 2010 à 09:53
Remarques niveau crypto :
- on dit "salt" :p
- ne jamais, JAMAIS, rajouter des "couches" de chiffrement. Ca semble plus sûr, mais dans la grande majorité des cas, la sécurité ne change pas du tout, et parfois même elle diminue (exemple : si ARC est plus faible que AES, et c'est probable, il est peut-être possible de récupérer la clef de chiffrement depuis cet algo en contournant complètement AES ... et si la clef de ARC est liée à la clef d'AES, game over).
- bien pour l'utilisation de SHA224, faut arrêter avec le mythique md5 maintenant, pour un checksum ok mais dans le cadre de ta source il s'agit davantage d'un contrôle d'intégrité, qui ne doit pas être mis à mal par les récentes (ou pas) faiblesses de MD5. Donc +1 pour un bon hash. Si ça t'intéresse tu peux te renseigner sur Skein, c'est une fonction de hashage et un algorithme de chiffrement à bloc, peut aussi servir de générateur pseudo-aléatoire ou de chiffrement à flux .. (il y a une implémentation en Python, pySkein, qui fait à peu près tout ce que tu veux mais en encore plus efficace).
- "Attention il faut utiliser une clé de 16 ou 32 caracteres !" non, on ne doit pas restreindre l'utilisateur sur la clef, en général on prend le mot de passe textuel de l'utilisateur, on y ajoute un petit salt et on hash tout ça avec SHA256, et le hash résultat sert de clef pour le reste du programme. Ca fonctionne !
Bref quelques maladresses ici ou là, mais c'est normal quand on débute en crypto, sinon c'est un bon début :)
Cordialement, Bacterius !
aera group
Messages postés382Date d'inscriptionmercredi 23 août 2006StatutMembreDernière intervention 8 novembre 201018 1 nov. 2010 à 10:08
Oui, j'en ai oublier la source !! :)
Sorry
Heu, je manque d'expérience en cryptage pour un bon critique, cela dit, ca fonctionne. Je vois que tu utilise le module Crypto (trop facile :p) c'est dommage toute la partie intéressante est cacher :(
Ça a l'intérêt de simplifier le code c'est sur.
Plein de petite amélioration possible a droite a gauche, comme par exemple lower pour tester des arguments (ca évide de devoir distinguer majuscules et minuscules) + quelques test pour vérifier la véracité des arguments.
Sinon bien trouver [::], ca fait plaisir a voir.
saigneurdushi
Messages postés45Date d'inscriptionsamedi 3 mai 2003StatutMembreDernière intervention25 janvier 2011 1 nov. 2010 à 01:07
Ma source n'est pas utile à cet fin là !
aera group
Messages postés382Date d'inscriptionmercredi 23 août 2006StatutMembreDernière intervention 8 novembre 201018 30 oct. 2010 à 22:38
Ah c'est pas possible, je part une semaine en vacance et à mon retour CS est devenu un repère de H4ckers ... Non mais franchement, il faut pas abusé, demander sur une source comment cracker Messenger ...
Qui puis est, je ne pense pas qu'il faille aider les script kiddies dans leurs problèmes ...
Xeolin a très bien expliqué le problème du sand (ou appeler technique du salage ...) que Microsoft utilise bien sur (oui ils font parfois de la merde, mais ce ne sont pas non plus des noobs).
Une attaque par dico me semble l'unique solution facile. Pas la peine de pleuré pour le script, tu l'auras pas de moi ...
Il y a une époque où il était dangereux de se dire Hackers ...
xeolin
Messages postés336Date d'inscriptionsamedi 26 novembre 2005StatutMembreDernière intervention 8 novembre 20112 26 oct. 2010 à 01:01
rohh, déso alors ~.~
direngrey
Messages postés3Date d'inscriptionsamedi 23 octobre 2010StatutMembreDernière intervention25 octobre 2010 25 oct. 2010 à 20:33
xeolin nan jsuis pas un goss de 14ans etc etc jsuis un peut débutant dans tout ca mais j'ai passé la majorité depuis quelques années déjà mdr!!
xeolin
Messages postés336Date d'inscriptionsamedi 26 novembre 2005StatutMembreDernière intervention 8 novembre 20112 24 oct. 2010 à 22:15
Bien c'est mieux que d'avoir un seul mot de passe pour tout tes comptes...
saigneurdushi
Messages postés45Date d'inscriptionsamedi 3 mai 2003StatutMembreDernière intervention25 janvier 2011 24 oct. 2010 à 13:35
:)
Perso je ne suis pas fan de ce genre de soft qui rassemble les password (comme keepass), ca les rassemble trop au mm endroit c'est bien la le principale défault. Question de point de vue apres tout ! =)
Bonne journée
xeolin
Messages postés336Date d'inscriptionsamedi 26 novembre 2005StatutMembreDernière intervention 8 novembre 20112 24 oct. 2010 à 02:16
:p
ce qui faut que vous compreniez c'est que dans 99% des cas ils utilisent du sand, ce que je vais t'expliquer :
imagine que ton mot de passe est : 0123
le md5 peut facilement être cracker grâce a des rainbow-tables (comme milw0rm); or le logiciel encrypte ça : sandtest0123encoredusand
et à moins de faire du brutforce, tu ne le trouvera pas, souvant le sand est aléatoire ~~
Surtout dans le cas de MSN, normallement le sand est plutôt fort...
En tout cas si tu veux faire du bruteforce je te conseille d'utiliser un md5 cracker qui utilise la puissance de ton GPU, du ONPENCL (oui,oui pas onpengl, OPEN_C_L) ou CUDA si tu as une carte de marque NVIDIA..
Oui c'est vrai je suis partit au quart de tour, mais c'est que je pensait que c'était encore ce coding kid; je vous copie un de ses message privé :
Message envoyé par Udrev le 01/07/2010 15:02:00 (Ajouter dans votre carnet d'adresses)
Sujet : hacker
Message :
slt,
jai 14 ans et je ve devenir hacker
jé vu que tu savai b1 faire de l' informatiques.
estce ke tu pouvais me doner des consels pour hac3er un msn ?
merci
ARGH ! je hai ses gamins... Ils te disent que c'est des hacker.. Pour comprendre il faut voir cette exélente video fait par Darren Kitchen pour Discovery channel.. Oups encore un lien : http://www.youtube.com/watch?v=w0u_7DHuuNg
En tout cas.. direngrey tu peux chopper mon msn sur mon site : http://N3ar.co.cc
Si tu veux je peux te présenter à des personnes (~.~) [if you want to get your hand dirty]// END OF CRAPPY QUOTE
je pense que hak5.org a fait un épisode la dessus, cherche sur msn ^^
Anyways.. Ne pends pas pour example sa source :p ça ne sertvira a rien; ça a juste pas rapport ^^
PS : N'écoute pas saigneurdushi; utilise keepass, et fait des backup, aussi c'est une bonne idée d'utilkiser des clef générées aléatoirement :p
Nate
saigneurdushi
Messages postés45Date d'inscriptionsamedi 3 mai 2003StatutMembreDernière intervention25 janvier 2011 23 oct. 2010 à 21:22
>XEOLIN: lol comment tu part au qart de tour !
je lui offrirais qd mm un piste car dernièrement j ai eu un soucis relativement similaire, j avais oublier mon password root sur un linux, et j avoue que j'étais bien content que l'on me dise comment le réinitialiser (veridict!) Donc dans l'hypothèse ou DIRENGREY serais sincère je lui laisse un lien utile et la manière dont je suis arrivée à le trouver :-) Ne m en veut pas xeolin ! stp =)
Explications de comment ce lien est arrivée ici:
J ai ouvert Mozilla je suis aller sur 'www.google.fr' et j'ai chercher
'cracker un md5'
Ainsi la prochaine fois tu pourras realiser ta quête par toi même tel un jedi !
Bonne journée à vous !
PS:Solution sur le long terme:
Choisi de long mot de passe avec chiffre et lettre et au moins une majuscule et caractère spéciale.
Change le un p'tit peu souvent. =)
Soit prévoyant en évitant les endroits non sur sur le net (porn/hack/crack etc...)
et finalement passe à linux(free world) si ce n'est pas déjà fait.
+++
direngrey
Messages postés3Date d'inscriptionsamedi 23 octobre 2010StatutMembreDernière intervention25 octobre 2010 23 oct. 2010 à 19:34
XD merci pour le coms mais nan perso c'est la deuxieme adresse qu'on me chourre :s maiiiiiis si ya une autre soluc a la limite je la veut bien^^
t'est bizarre mais t'est simpa :D
xeolin
Messages postés336Date d'inscriptionsamedi 26 novembre 2005StatutMembreDernière intervention 8 novembre 20112 23 oct. 2010 à 19:14
1er post = je suis un cracker (non pas en fait c'est mon compte, genre).
vous pouvez m'aider à le pirater, j'arrive pas a comprendre comment cracker du md5 (lolll noob) avec ton code qui sert à le génerer...
He bien, s'il n'y a pas de sand (ce qui arrive dans 99% des cas) utilise Milw0rm, oh mince il est fermé... Parceque c'est ILLEGAL ... NOOB
I HATE YOU SO MUCH...
mais bon si tu as une question constructive je serai toujours là pour toi ^^
//END of trolling
non mais francherment....
Xeolin
direngrey
Messages postés3Date d'inscriptionsamedi 23 octobre 2010StatutMembreDernière intervention25 octobre 2010 23 oct. 2010 à 18:51
Bonjour tout le monde voilà je vous explique
je me suis fait voler mon compte msn j'ai donc utilisé un force brut pour avoir le code le probleme est que le code sort en MD5 et impossible pour moi de trouvé un décrypteur un simple qui fonctionne bien
z'oriez une solution svp???
xeolin
Messages postés336Date d'inscriptionsamedi 26 novembre 2005StatutMembreDernière intervention 8 novembre 20112 16 sept. 2010 à 20:39
mirci !
saigneurdushi
Messages postés45Date d'inscriptionsamedi 3 mai 2003StatutMembreDernière intervention25 janvier 2011 16 sept. 2010 à 17:20
Alors merci pour le commentaire :-)
Et pour être honnête je suis un noob en python et j ai donner cette source uniquement au cas elle ou une partie d'elle puisse être utile.
Pour ceux qui galereraient [du vecu =)] à savoir comment on découpe/tronque/inverse une string en python:
Des explication sur l'utilisation de "[::]" (équivalent aux fonctions Mid,Left,Right en VB) (permettant de récuperer une certaine partie d'une string par exemple) sont à ce point '<5.6. Sequence Types>' là '<http://docs.python.org/library/stdtypes.html>'
Merci pour ces conseil Xeolin
xeolin
Messages postés336Date d'inscriptionsamedi 26 novembre 2005StatutMembreDernière intervention 8 novembre 20112 14 sept. 2010 à 02:36
donc si je lance ton script comme ça : cryde.py -h
il crash... ok.
Deplus ajouter ARC2 et ARC4 est inutile, et surtout donne une fausse impression de sécurité. (security by obscurity.. cf. Steve Gibson).
Et dans la lignée.. Pourquoi importer pyGTK ? et os..
Enfin pour ce genre de chose je te conseille d'utiliser la fonction buit-in de python hash(). Tu n'a pas besoin de truc super high-tech, au contraire en utilisant le checksum le plus simple on évite les problèmes.
Enfin, je chipotte ^^
Mais ce qui est important c'est que tu explique dans les commantaires ce que tes [ :: ] font, puisque c'est une source débutant, je pense que la majorité de ton audiance planchera sur ce point ^^
ensuite je te conseille de repacer ligne 86 par quelquechose comme cela :
4 janv. 2011 à 22:43
5 déc. 2010 à 09:53
- on dit "salt" :p
- ne jamais, JAMAIS, rajouter des "couches" de chiffrement. Ca semble plus sûr, mais dans la grande majorité des cas, la sécurité ne change pas du tout, et parfois même elle diminue (exemple : si ARC est plus faible que AES, et c'est probable, il est peut-être possible de récupérer la clef de chiffrement depuis cet algo en contournant complètement AES ... et si la clef de ARC est liée à la clef d'AES, game over).
- bien pour l'utilisation de SHA224, faut arrêter avec le mythique md5 maintenant, pour un checksum ok mais dans le cadre de ta source il s'agit davantage d'un contrôle d'intégrité, qui ne doit pas être mis à mal par les récentes (ou pas) faiblesses de MD5. Donc +1 pour un bon hash. Si ça t'intéresse tu peux te renseigner sur Skein, c'est une fonction de hashage et un algorithme de chiffrement à bloc, peut aussi servir de générateur pseudo-aléatoire ou de chiffrement à flux .. (il y a une implémentation en Python, pySkein, qui fait à peu près tout ce que tu veux mais en encore plus efficace).
- "Attention il faut utiliser une clé de 16 ou 32 caracteres !" non, on ne doit pas restreindre l'utilisateur sur la clef, en général on prend le mot de passe textuel de l'utilisateur, on y ajoute un petit salt et on hash tout ça avec SHA256, et le hash résultat sert de clef pour le reste du programme. Ca fonctionne !
Bref quelques maladresses ici ou là, mais c'est normal quand on débute en crypto, sinon c'est un bon début :)
Cordialement, Bacterius !
1 nov. 2010 à 10:08
Sorry
Heu, je manque d'expérience en cryptage pour un bon critique, cela dit, ca fonctionne. Je vois que tu utilise le module Crypto (trop facile :p) c'est dommage toute la partie intéressante est cacher :(
Ça a l'intérêt de simplifier le code c'est sur.
Plein de petite amélioration possible a droite a gauche, comme par exemple lower pour tester des arguments (ca évide de devoir distinguer majuscules et minuscules) + quelques test pour vérifier la véracité des arguments.
Sinon bien trouver [::], ca fait plaisir a voir.
1 nov. 2010 à 01:07
30 oct. 2010 à 22:38
Qui puis est, je ne pense pas qu'il faille aider les script kiddies dans leurs problèmes ...
Xeolin a très bien expliqué le problème du sand (ou appeler technique du salage ...) que Microsoft utilise bien sur (oui ils font parfois de la merde, mais ce ne sont pas non plus des noobs).
Une attaque par dico me semble l'unique solution facile. Pas la peine de pleuré pour le script, tu l'auras pas de moi ...
Il y a une époque où il était dangereux de se dire Hackers ...
26 oct. 2010 à 01:01
25 oct. 2010 à 20:33
24 oct. 2010 à 22:15
24 oct. 2010 à 13:35
Perso je ne suis pas fan de ce genre de soft qui rassemble les password (comme keepass), ca les rassemble trop au mm endroit c'est bien la le principale défault. Question de point de vue apres tout ! =)
Bonne journée
24 oct. 2010 à 02:16
ce qui faut que vous compreniez c'est que dans 99% des cas ils utilisent du sand, ce que je vais t'expliquer :
imagine que ton mot de passe est : 0123
le md5 peut facilement être cracker grâce a des rainbow-tables (comme milw0rm); or le logiciel encrypte ça : sandtest0123encoredusand
et à moins de faire du brutforce, tu ne le trouvera pas, souvant le sand est aléatoire ~~
Surtout dans le cas de MSN, normallement le sand est plutôt fort...
En tout cas si tu veux faire du bruteforce je te conseille d'utiliser un md5 cracker qui utilise la puissance de ton GPU, du ONPENCL (oui,oui pas onpengl, OPEN_C_L) ou CUDA si tu as une carte de marque NVIDIA..
Oups un lien :http://bvernoux.free.fr/md5/index.php
Oui c'est vrai je suis partit au quart de tour, mais c'est que je pensait que c'était encore ce coding kid; je vous copie un de ses message privé :
Message envoyé par Udrev le 01/07/2010 15:02:00 (Ajouter dans votre carnet d'adresses)
Sujet : hacker
Message :
slt,
jai 14 ans et je ve devenir hacker
jé vu que tu savai b1 faire de l' informatiques.
estce ke tu pouvais me doner des consels pour hac3er un msn ?
merci
ARGH ! je hai ses gamins... Ils te disent que c'est des hacker.. Pour comprendre il faut voir cette exélente video fait par Darren Kitchen pour Discovery channel.. Oups encore un lien : http://www.youtube.com/watch?v=w0u_7DHuuNg
En tout cas.. direngrey tu peux chopper mon msn sur mon site : http://N3ar.co.cc
Si tu veux je peux te présenter à des personnes (~.~) [if you want to get your hand dirty]// END OF CRAPPY QUOTE
je pense que hak5.org a fait un épisode la dessus, cherche sur msn ^^
Anyways.. Ne pends pas pour example sa source :p ça ne sertvira a rien; ça a juste pas rapport ^^
PS : N'écoute pas saigneurdushi; utilise keepass, et fait des backup, aussi c'est une bonne idée d'utilkiser des clef générées aléatoirement :p
Nate
23 oct. 2010 à 21:22
je lui offrirais qd mm un piste car dernièrement j ai eu un soucis relativement similaire, j avais oublier mon password root sur un linux, et j avoue que j'étais bien content que l'on me dise comment le réinitialiser (veridict!) Donc dans l'hypothèse ou DIRENGREY serais sincère je lui laisse un lien utile et la manière dont je suis arrivée à le trouver :-) Ne m en veut pas xeolin ! stp =)
>DIRENGREY: il est possible qu il y est des infos qui puisse t'interesser ici <http://www'dot'authsecu'dot'com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5'dot'php>
tu change les dot par des '.'
Pour la securité
Explications de comment ce lien est arrivée ici:
J ai ouvert Mozilla je suis aller sur 'www.google.fr' et j'ai chercher
'cracker un md5'
Ainsi la prochaine fois tu pourras realiser ta quête par toi même tel un jedi !
Bonne journée à vous !
PS:Solution sur le long terme:
Choisi de long mot de passe avec chiffre et lettre et au moins une majuscule et caractère spéciale.
Change le un p'tit peu souvent. =)
Soit prévoyant en évitant les endroits non sur sur le net (porn/hack/crack etc...)
et finalement passe à linux(free world) si ce n'est pas déjà fait.
+++
23 oct. 2010 à 19:34
t'est bizarre mais t'est simpa :D
23 oct. 2010 à 19:14
vous pouvez m'aider à le pirater, j'arrive pas a comprendre comment cracker du md5 (lolll noob) avec ton code qui sert à le génerer...
He bien, s'il n'y a pas de sand (ce qui arrive dans 99% des cas) utilise Milw0rm, oh mince il est fermé... Parceque c'est ILLEGAL ... NOOB
I HATE YOU SO MUCH...
mais bon si tu as une question constructive je serai toujours là pour toi ^^
//END of trolling
non mais francherment....
Xeolin
23 oct. 2010 à 18:51
je me suis fait voler mon compte msn j'ai donc utilisé un force brut pour avoir le code le probleme est que le code sort en MD5 et impossible pour moi de trouvé un décrypteur un simple qui fonctionne bien
z'oriez une solution svp???
16 sept. 2010 à 20:39
16 sept. 2010 à 17:20
Et pour être honnête je suis un noob en python et j ai donner cette source uniquement au cas elle ou une partie d'elle puisse être utile.
Pour ceux qui galereraient [du vecu =)] à savoir comment on découpe/tronque/inverse une string en python:
Des explication sur l'utilisation de "[::]" (équivalent aux fonctions Mid,Left,Right en VB) (permettant de récuperer une certaine partie d'une string par exemple) sont à ce point '<5.6. Sequence Types>' là '<http://docs.python.org/library/stdtypes.html>'
Merci pour ces conseil Xeolin
14 sept. 2010 à 02:36
il crash... ok.
Deplus ajouter ARC2 et ARC4 est inutile, et surtout donne une fausse impression de sécurité. (security by obscurity.. cf. Steve Gibson).
Et dans la lignée.. Pourquoi importer pyGTK ? et os..
Enfin pour ce genre de chose je te conseille d'utiliser la fonction buit-in de python hash(). Tu n'a pas besoin de truc super high-tech, au contraire en utilisant le checksum le plus simple on évite les problèmes.
Enfin, je chipotte ^^
Mais ce qui est important c'est que tu explique dans les commantaires ce que tes [ :: ] font, puisque c'est une source débutant, je pense que la majorité de ton audiance planchera sur ce point ^^
ensuite je te conseille de repacer ligne 86 par quelquechose comme cela :
try:
if sys.argv[1].capitalize() in "ENCRYPTE":
l.87-90
except :
print "usage ...."