Comment configurer le Tuning de HYDRA-GTK ?

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

Comment configurer le Tuning de HYDRA-GTK ?

Messagepar garenfletch » 02 Janvier 2015, 19:31

Bonjour.

Image

Quelqu'un a déjà utilisé une fois HYDRA-GTK, l'interface graphique de THC-HYDRA ? Si oui, j'aimerais savoir comment configurer le Tuning qui contient le Number of Task et le Timeout situé en bas lorsque l'on veut l'utiliser avec un gros dictionnaire du genre RockYou.txt ?

1 - Combien dois-je mettre comme le "Number of Task" étant donné que le dictionnaire RockYou.txt (139.92 mb) contient des millions de mots de passe ?

2 - Combien dois-je mettre comme le "Timeout" étant donné que le dictionnaire RockYou.txt (139.92 mb) contient des millions de mots de passe ?

Merci de m'informer s'il vous plaît.
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20

Re: Comment configurer le Tuning de HYDRA-GTK ?

Messagepar voidstar » 02 Janvier 2015, 21:19

Salut,

Puisque c'est du brute force online les valeurs dependent du service que tu essayes de tester.
C'est au cas par cas.
Si le service que tu essayes de brute forcé mets du temps à repondre il vaut mieux mettre une grande valeurs de timeout et une petite valeur pour le nombre de tâches à executer en paralléle.
Outre le faites que cela peut être des latences réseaux, c'est aussi des mesures de sécurité qui peuvent être mise en place lors de la configuration du service ou via des equipements de sécurité intermédiaires tels que firewall et proxies afin de ralentir et au mieux de detecter et bloquer ce genre de requêtes.
L'ideal reste de tester par toi même et de trouver les valeurs maximales de tâches en paralleles que tu peux executer et le minium en timeout sans faire planter ton opération.
De mémoire hydra te log les requetes qui n'ont pas abouties..

Pour conclure tu peux imaginer que brute forcer un service comme cela peut prendre des plombes et il ne faut vraiment pas être pressés, à moins d'avoir certaines pistes sur le format des mots de passes utilisés et aussi le login utilisés.
Dans ton screen shot je vois que tu essayes de tester du mysql la démarche ideale, reste de récupérer un dump de la base avec le hash du mot de passe (via sql injection ou autre faille web) et de cracker ce hash en offline avec hashcat.
De plus j'ai, pour ma part, très rarement vu un port mysql qui était accessible depuis l'exterieur, meme si le port est ouvert, par défaut c'est une authentification en locale qu'il faut.
voidstar
 
Messages: 3
Inscription: 25 Décembre 2014, 19:16

Re: Comment configurer le Tuning de HYDRA-GTK ?

Messagepar garenfletch » 03 Janvier 2015, 10:03

ok merci pour les infos.
garenfletch
Débutant
Débutant
 
Messages: 38
Inscription: 27 Septembre 2014, 10:20


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Yahoo [Bot] et 1 invité