Dans les anciens articles, je vous ai déjà parlé du logiciel John The Ripper pour faire des attaques par dictionnaire a partir d’un hash pour retrouver le mot de passe correspondant.


Aujourd’hui, nous allons voir un outil qui va vous aidez à faire cette manœuvre plus rapidement en trouvant quel type de hash est utilisé pour un mot de passe.

Il faut savoir que les mots de passe ne sont jamais écrit en clair dans une base de données, ils sont codés avec une fonction de hachage. Il en existe plusieurs: MD5, SHA256, NTML, etc.

Pour cibler directement la recherche du mot de passe sur un type de hash précis, nous utiliserons le script Python HashTag. Ce dernier va reconnaître l’empreinte d’un hash pour vous désigner son type: MD5, SHA, etc.

Parfois HashTag ne trouvera pas précisément le type utilisé, mais vous donnera un panel de possibilité. C’est largement suffisant pour gagner du temps et éliminer une bonne centaine de fonctions.

Comment utiliser Hashtag.py ?

Avant de commencer, il va falloir installer la langage Python sur votre machine. Préférez la version 2.7 et ne changez pas le répertoire d’installation par défaut. Téléchargez ensuite HashTag.py. En bas de la page, faites un clic droit dans le lien et faites Enregistrer la cible du lien sous. Placez-le ensuite dans le répertoire C:Python27.

Avec tout ça, vous êtes prêt ! Faites Maj + clic droit dans le répertoire C:Python27 et choisissez Ouvrir une fenêtre de commandes ici. Il faudra alors taper python hashtag.py -sh [votre hash].

hashtag

Lorsque vous savez à quel type de hash vous avez à faire, vous allez gagner beaucoup plus de temps avec John the Ripper! Par exemple, lorsque vous êtes sûr qu’il s’agit d’un MD5 il faudra taper john -format:raw-md5 hash.txt ou John -format:raw-sha512 hash.txt s’il s’agit d’un SHA-512. En sachant ou regarder, il n’a fallu que 16 secondes à John the ripper pour trouver le mot de passe azerty alors qu’il aurait de nombreuses minutes en essayant tous les types de hash. Si HashTag vous donne plusieurs types de hash possible, il faudra les essayer un à un.