Utilisation de John The Ripper

Présentation

John the Ripper est un outil très célèbre permettant d’effectuer des attaques par dictionnaire et bruteforce en local.

Bien qu’il puisse être utilisé à des fins peu louables, notre tutoriel est juste destiné à voir son fonctionnement afin de tester votre configuration actuelle et la robustesse de vos propres mots de passe.

Exemple d’utilisation

Dans cet exemple nous allons effectuer un bruteforce sur le fichier /etc/shadow qui contient les mots de passe Unix

(Bien sûr, il faut d’abord installer john the ripper.. Sous n’importe quelle distribution Debian, taper apt-get install john)

On commence par extraire le contenu de shadow : (besoin d’être root)

# umask 077
# unshadow /etc/passwd /etc/shadow > mypasswd

Les informations extraites sont au niveau du fichier mypasswd maintenant.

Plusieurs modes de bruteforce peuvent être utilisés au niveau de John : le mode simple (john –simple <nom-fichier>) ou le mode incrémental qui est le plus puissant. Le mode incrémental teste toutes les tailles possibles et toutes les combinaisons possibles mais demande plus de CPU et de temps.

Pour le mode simple, juste invoquer john et lui faire passer le fichier mypasswd qui contient les hash des mots de passe.

Plus les mots de passe sont longs et complexe, plus il faudra de temps pour les casser

Ci-dessous un exemple de test, dans lequel on a créé un compte unix ‘test’ dont le mot de passe est ‘spslse’

Sans titre

Pour d’autres modes plus complexe, on peut utiliser le mode incremental en rajoutant –incremental ; finalement il est aussi possible de passer un fichier dictionnaire et d’effectuer une attaque par dictionnaire.

Plusieurs autres paramètres existent, ils sont consultables au niveau du man de john (taper man john)