- Présentation du projet
- John The Ripper et HashCat c'est quoi ?
- Les membres du groupes
- Choix Techniques
- Logiciels
- Difficultés et solutions rencontrées
- Améliorations possibles
Le projet réalisé permet de tester la vulnerabilitée des mots de passe grâce aux logiciels John The Ripper et HashCat. L'attaque avec John The Ripper s'effectuera d'une machine Linux à une machine Windows 11. Tandis que l'attaque avec HashCat s'effectuera d'un serveur Debian à un serveur Windows 2025.
Les attaques seront commises par dictionnaire et par force brut avec John The Ripper. Concernant HashCat , nous utiliserons des masques d'attaque.
L'objectif final est de réaliser un audit sur la robustesse des mots de passe de nos fichiers .zip.
Voici le schéma du lab sur lequel nous travaillerons.
.png)
- Utilité
Ce sont des logiciels de cassage de mot de passe, afin de réaliser des audits en testant l'efficacité de ceux-ci.
- Possibilités
Pour casser les mots de passe, plusieurs possibilités s'offrent à nous. Le mode simple, permet d'essayer des mots de passes en détournant le nom utilisateur. Le mode dictionnaire, utilise une wordlist téléchargeable , puis y ajoute le nom utilisateur pour plus de possibilités. Le mode force brute, essaye toutes les combinaisons de caractères possible jusqu'à atteindre son but.
| Sprint 1 | Sprint 2 | |
|---|---|---|
| Jeremy | Recherche sur HashCat. Préparation de l'installation du programme et de l'utilisation. | Product owner: Maintenir la direction du projet. Livraison de l'audit. |
| Zishan | Product Owner: Maintenir la direction du projet. Remplir le backlog. Installation des logiciels, prise de screens, test. Recherche sur John The Ripper. | Rédaction de INSTALL.md avec les screens. |
| Brice | Scrum Master: Assurer la coordination et les bonnes conditions de travail. Rédaction du README.md suivant l'avancé du projet. Recherche sur HashCat. | Rédaction de USERGUID.md. Recherche et mise en place de l'attaque sur le mot de passe du compte local. Documentation de la réalisation |
| Gregory | Installation des logiciels, prise de screens, test. Recherche sur John The Ripper. | Scrum Master: Assurer la coordination et les bonnes conditions de travail. |
| Commun | Installation de toutes les VM et des logiciels pour pouvoir tester en même temps. | Test du cassage de mot de passe. Travail sur la présentation |
Pour mener à bien notre projet, nous avons utilisé :
Machines clients :
- VM 1 : WIN01 - CLIENT WINDOWS 11
- OS : Windows 11
- Compte & Mot de passe : Wilder, Azerty1*
- Adresse Ip : 172.16.10.10
- Masque : 255.255.255.0
- VM 2 : UBU01 - CLIENT UBUNTU
- OS : Ubuntu 24.04
- Compte & Mot de passe : wilder, Azerty1*
- Adresse Ip : 172.16.10.20
- Masque : 255.255.255.0
- VM 3 : SRVWIN01 - WindowsServer
- OS : Windows Server 2025 GUI
- Compte & Mot de passe : Administrator, Azerty1*
- Adresse Ip : 172.16.10.5
- Masque : 255.255.255.0
- VM 4 : SRVLX01 - DebianServer
- OS : Debian 13 CLI
- Compte & Mot de passe : Root, Azerty1*
- Adresse Ip : 172.16.10.6
- Masque : 255.255.255.0
- John The Ripper v 1.9.0 : Lien de Téléchargement , Lien de documentation
- HashCat v 7.1.2 : Lien de Téléchargement , Lien de documentation
| Difficultées | Solutions |
|---|---|
| Logiciel peu efficace avec le paquet apt | Installation du paquet avec snap |
| Capacité de base limitée en liste de mots | Installation d'un paquet de liste supplémentaire openssl |
| Erreur "Signature Unmatched" lors du décryptage du hash. | Remise au propre du hash grâce a la commande " cut -d ':' -f2 ". |
| Accéder aux dossier du serveur par la machine qui attaque. | Utilisation des protocoles CIPS pour faciliter l'accès au dossier . |
N'utilisez pas ces logiciels de façon malveillante !