Hacker un site, mode d’emploi pour les nuls.
Hacker un site, c’est en terme plus générique, prendre le contrôle d’un site.
Le but est de trouver une méthode permettant de prendre le contrôle d’un site sans trop se fatiguer.
Nous allons à ce niveau découper les hackers en deux camps.
Celui qui développe ses propres logiciels ( C’est habituellement un passionné ou un professionnel des logiciels ou de l’internet plus généralement ).
Celui qui trouve un logiciel ( un amateur, un passionné , un professionnel proche du fonctionnement des machines qui comprennent l’Internet. Ce groupe est expert en relation avec ses semblables et dans les moteurs de recherche ) .
Il y a trois méthodes d’approche
- Brute force : Tester un login/mot de passe en utilisant un logiciel
- Exploration de site : explorer un site pour détecter des pages non sécurisées
- Prise de contrôle de la machine de l’utilisateur
Ces trois méthodes de base sont développées si dessous .
Attaquons un accès
Un exemple simple, on peut demander à un service technique de trouver un moyen de débloquer un mot de passe perdu sur le réseau interne d’une entreprise.
La méthode longue
Crée un logiciel qui va tester tous les logins et tous les mots de passe possible, automatiquement.
Remarque, le délai peut être plus court si je connais le login.
Pour les caractères cités, nous obtenons un temps maximum pour l’exécution d’un test, en une seconde :
Un essai sur une des combinaisons possibles du login et du mot de passe.
Caractères : abcdefghijklmnopqrstuvwxyz.
Pour un mot de passe de 4 lettres : environ 4 Heures au maximum
Pour un mot de passe de 8 lettres : environ 2416979 Jours au maximum
caractères : abcdefghijklmnopqrstuvwxyz et ABCDEFGHIJKLMNOPQRSTUVWXYZ
Pour un mot de passe de 4 lettres : environ 85 Heures au maximum
Pour un mot de passe de 8 lettres : environ 1695197 Ans au maximum
caractères : abcdefghijklmnopqrstuvwxyz et ABCDEFGHIJKLMNOPQRSTUVWXYZ
Pour un mot de passe de 4 lettres : environ 172 Jours au maximum
Pour un mot de passe de 8 lettres : environ 429258199 Ans au maximum
caractères : abcdefghijklmnopqrstuvwxyz et 0123456789
ou
caractères : ABCDEFGHIJKLMNOPQRSTUVWXYZ et 0123456789
Pour un mot de passe de 4 lettres : 20 Jours au maximum
Pour un mot de passe de 8 lettres : environ 89457 Ans au maximum
caractères : 0123456789
Pour un mot de passe de 4 lettres : 28 Heures maximum
Pour un mot de passe de 8 lettres : environ 3 Ans au maximum
Dans ces estimations, nous imposons le fait que chaque test prend une seconde.
Dans la réalité, ces délais sont bien moindres.
De plus, une simple optimisation de l’algorithme peut réduire de délais.
Je vous propose quelques idées, commencez par une liste de mots communs ou de prénom.
Et a priori, vous avez une chance sur deux de trouver le mot de passe dans la première moitié de votre durée totale de test.
La méthode courte
La méthode courte : Utiliser le back-office de l’application, ce qui se nomme le panneau de contrôle, ou pour les informaticiens l’admin !
La méthode qui consiste à accéder au back-office de ce logiciel, changer l’identifiant et le mot de passe, avec un bon identifiant et mot de passe, prendra environ 30 secondes tout au plus !
En fait, cet exemple vous fait découvrir que des solutions de Hacking peuvent prendre du temps même si elles sont imparables.
Et en pratique
Nous parlions d’hacker un site.
Une simple étude des archives, des traces d’accès, les logs : Nous prouve que des petits malins utilisent une méthode bien différente pour exploiter les faiblesses d’un site.
Voici les traces suspectes, que je trouve :
/connexion/
/_vti_bin/owssvr.dll
/MSOffice/cltreq.asp
/fonctions/
/author/administrator/
/*/*
/admin
/forum/index.php
/wap
/index.rdf
/index.xml
//Forum/phpBB2//language/lang_english/lang_main_album.php
/modules/Forums/admin/admin_db_utilities.php
/fonctions//Forum/phpBB2//language/lang_english/lang_main_album.php
/index.rss
//administrator/includes/admin.php
/author/administrator//administrator/includes/admin.php
/connexion
/index.atom
/atom.xml
/feed:
Ces traces sont visibles, car un petit malin à essayer de trouver des fichiers inclut dans le panel d’administration, dans mon site.
Il espère trouver un fichier qui sera une piste pour obtenir petit à petit un accès à votre site.
Si je prends le contrôle d’un site?
À quoi sert de prendre le contrôle d’un site?
À rien !
Sauf, si ce site vous permet de prendre le contrôle d’autres sites et de rester ainsi camouflé, légalement, derrière le propriétaire du site .
Il vous permet aussi d’utiliser la responsabilité juridique de son propriétaire pour envoyer des quantités astronomiques de pourriels , par exemple .
Un autre privilège est de pouvoir signer son passage en défaçant le site.
En claire, il pausera, sur votre page d’accueil, une nouvelle page qui vantera ses mérites tout en vous ridiculisant.
Si j’ai hacké un site. Suis je trouvable?
Les logs d’accès au site, s’ils sont correctement configurés, vous fournirions tout ce qu’il vous faut pour chasser votre nouvel ennemi.
X.X.X.X – - [29/Jan/2008:18:11:55 +0100] « GET //Forum/phpBB2//language/lang_english/lang_main_album.php HTTP/1.1″ 404 1682 « - » « Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) »
Y.Y.Y.Y – - [29/Jan/2008:18:11:55 +0100] « GET /author/administrator//administrator/includes/admin.php HTTP/1.1″ 404 1682 « - » « Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322) »
[...]
Les adresses IP X.X.X.X et Y.Y.Y.Y sont les sources de l’attaque.
Ils sont donc trouvables.
Loin de commencer à se plaindre, il suffirait simplement de fermer l’accès à cette adresse IP ou sa plage d’adresse IP.
Ce n’est pas toujours possible.
Mais ils sont trouvables.
Si vous avez bien lu, mon article, vous avez sûrement compris que l’adresse IP peut-être une autre machine ou un autre site déjà capturé.
À partir d’ici, tout devient plus compliqué.
Mais, si l’on se servait sur votre machine ?
Il existe une source méconnue ou rarement envisagée.
En effet, pourquoi utiliser des méthodes si compliquées. Il y a beaucoup plus simple et beaucoup plus rapide.
Les informations qui sont nécessaires sont sur votre machine.
Dans vos mails, dans un document excel, dans un fichier texte, dans les recoins de votre machine, …
Cette solution consiste à installer un logiciel sur votre machine.
Mais mieux, c’est vous qui allez l’installer pour votre plus grand malheur.
En effet la très grande majorité d’outils qui servent à prendre le contrôle de votre machine nécessite une intervention manuelle.
Vers 1995, jusqu’en 2003 une génération entière de gens connectés à internet ont dû supporter des spywares, des trojans, des dialer et toute sorte de barres de navigation pour nos navigateurs.
Ces logiciels ont exploité des failles du système, ou les fonctionnalités fournies pour les développeurs, via les logiciels qui les exécutaient.
Les pages Web, et les e-mails entre autres sont des points d’entrée connus .
À cette époque, la grande majorité des machines de particulier étaient visibles et on pouvait s’y connecter à l’aide de simple protocole réseau installé par défaut.
2003 à 2005 : Les parades sont prêtes, il devient difficile d’installer automatiquement des logiciels, les firewalls personnels sont une nouvelle sécurité connue, les dialers sont chassés par l’ADSL.
Depuis 2005 : seuls les experts savent vous fournir un mauvais logiciel où vous n’êtes pas à jour avec vos licences Windows. Si vous possédez un modem, faites bien attention à qui vous connecte sur internet !
En effet la mise à jour obligatoire de Windows a largement contribué à la vaccination des machines, tout en étant bénéfique pour l’entreprise.
Mais il faut savoir que si quelqu’un installe un logiciel sur votre machine sous votre identité ( votre identifiant ).
Il aura accès aux mêmes ressources que vous :
Accès banque, identifiants , mot de passe, historique des visites, compte email, document Word, images… TOUT !
Et donc, il pourra hacker votre site avec votre compte et le mot de passe.
On trouve effectivement tout sur votre machine.
Donc maintenant vous savez hacker un site ?
Ces méthodes sont applicables a plusieurs points d’accès, ce qui rend plus compliquer la détection des hackers, mais une méthode consiste à utiliser des outils d’analyse de log ( les traces ) et de les consulter régulièrement.
Détecter dans les logs si on vous attaque est un jeu d’enfant à détecter par un logiciel.
Un logiciel tout bête : Si vous détectez une tentative d’attaque, vous recevez un e-mail.
N’importe quel administrateur système compétent vous le fabriquera.
« Un logiciel tous bête : Si vous détectez une tentative d’attaque, vous recevez un e-mail.
N’importe quel administrateur système compétent vous le fabriquera. »
Tu me le fais quand? ;-) Bizald?
Si vous n’avez pas de sys-admin sous le coude , l’utilisation d’un simple logiciel parfaitement adapté a une bonne lecture des traces peu etre la solution de secours.
Les options du logiciel permettent de bien surveiller un site tout en fournissant un des meilleur resumé des acces a votre site.
Site officiel : http://awstats.sourceforge.net/
Site en francais : http://www.baudelet.net/awstats.htm
Et une démo http://www.nltechno.com/awstats/awstats.pl?config=destailleur.fr
Les options de configuration sont relativement complexe a prendre en main.
Il faut lire et editer un fichier de configuration.
Comme tout logiciel , il a un defaut.
Pour en simplifier l’utilisation, il possede un mode dynamique en CGI.
Selon les droits d’acces du module CGI de votre serveur web , l’utilisation du mode CGI peu etre dangereuse.
Il doit etre utiliser sur un serveur , sur internet, uniquement en mode pages statiques.
Pour la surveilliance de votre site vous avez besoin :
Analyser les User agent, les IP/dns , les erreurs 404 .
Les autres option vous fournirons de bonnes statistiques d’acces au site, lisible et pratique .
Il manque pour plus de detail : la possibilité de faire un listing complet des accès fichier , par IP.
xD pour moi c’est différent : J’ai rien compris :D
cracker le password perdu d ‘un email que pensez vous ?
J’ai découvert ce site il n y a pas trop longtemps de cela
hackingclubfirst.blog4ever.com
le contact email : picasso_et@yahoo.fr
dite moi quel qu’un pourrai prendre le contrôle d’un site pour moi?
[...] la suite : Pirater un site Cet article est sur : Megacherche : le portail Pirater un site est présent dans : Dossiers, [...]
Bonjour et merci pour cet article interessant .
Moi mon problème , c’est que j’aimerais entrer dans l’administration d’un groupe facebook afin d’envoyer une publicité à tous ces membres .
Aidez moi .. :(
merci.
comment harcker 1 site web? le code ke j ai vu plus haut….ou le taper…afin de harcker 1 site web…? erci de bien vouloir me repondre….
fullgate
Salut,
comment hacker un site comme ebay pour savoir qu’elle est l’enchère maximum en cours???
Est ce possible??
Merci
Pourriez-vous me diriger ou m’aider pour essaye de créer la méthode longue svp merci
Il est peu probable que quelun vous aide publiquement c’est en effet lourdement punis par la loi!
Pourriez vous m’aider c’est important,mais j’aimerais qu’on le fasse en wi-clos,enfin en echangeant les mails.serieux je veux que tu m’aide.
Bonjour
J’ai 15 ans je voudrais savoir si tes vraiment un as de l’informatique peut tu me trouver mon mot de passe avec cette identifiant qui est ————-!
merci
Cordialement
Édition de l’admin
C’est illégal !
tu dit « maintenant vous savez hacker un site ?
mais nn a moin que je nai rien piger personnes explique comment hacker un site a par les methode ……..
Je voudrais les services d’un hacker pour pourrir un site (qui n’a pas beaucoup d’importance), et apprendre deux trois trucs aussi, merci …:o)
Perso j’aimerais rentrer dans le site « Xtaze.net » pour lui faire enlever la bannière payante, parce-que l’histoire c’est qu’il bidonne les gens pour qu’ils le payent afin de financer des créanciers imaginaires qui lui permettent de faire tourner les serveur et d’y rester alors qu’à l’ouverture du site il est resté une année entière sans demandé de don maintenant bizarrement il a capter qu’il pourrait gagner sa croute avec les gens qui payent, alors aidez-moi à remettre le site sur pied, dernier détails : il dit à ceux qui font un don : vous aurez accès immédiatement au site juste après le don et vous bénéficierez de compte megaupload, plus les bannière seront enlevée etc etc etc … mais comment cela est-ce possible si les créanciers bloquent les serveurs ? ahahah gros mytho !! AIDEZ-MOI PLEEEAASE
Bonjour je cherche une aide qui pourrais m’aider sérieusement à trouver un mot de passe msn et facebook. La personne a des messages pouvant compromettre mon mariage. Alors j’aimerais avoir accès à ces deux comptes pour apporter des modification.
Bonjour je cherche une personne capable de s’infiltrer sur le site de France télévisions afin de supprimer le compte d’une personne qui triche a un jeu concours.
j’ai bloquer le tel a un pote et si il s’en apercois je suis dans la merde y a t’il un moyen de recuperer le code puk et ainsi rester en vie?
ki poura m aider a pirater car je comprends rien :s merci d avance
slt j’ai hacker le site de la nsa et de la cia je suis tomber sur un dossier top secret 99,9% des americains aurait des implant au cheddar fondant dans le cerveau c’est pour cela qu’ils disent cheese quand ils prennent une photo c’est un truc de ouf
@Jeff : bravo , on en apprend des choses chez la NSA ;)
svp comment faire un site hameçon ou il ya un virus espion
svp urgent besoit durgence
repondez moi vite plz
Bonjour ,
est-ce que qqn pourrait m’aider à trouver un mot de passe d’un compte sur un jeu internet ?
et merrrrrde a la fin ON VEUX TOUS QUE QUELQUN SUR INTERNET NOUS APPRENNENT A HACKER MOI Y COMPRIS CE QUE JVOUDRAIS SAVOIR C COMMENT LES PREMIER HACKEUR ON ETAIT FORME ET DONNE NOUS DE VRAI IMFORMATION A LA FIN !!! APPRENER NOUS AU LIEU DE NOUS RACONTER VOUS DISCOUR BIDON A DEUX BALLE SA FAIT DES MOI KE JE CHERCHE COMMENT FAIRE ET PERSONNE NE DONNE DE VRAI EXPLICATION !! VS LA JOUER A « CHACUN POUR SOIT «
slt moi je suis hacker de service internet au Cameroun je le fait vers tout les réseaux (mtn .orange et camtel ) il me reste seulement ringo . et je pense que le principe est de contrôler leur page d’acceuill . et c’est la que vous deviez m’aider . je veut juste la procédure de scan de cette page d’accueil afin de trouver la faille de connexion gratuite si vous prouver m’aider envoyer le message a ma boite mails [CENSURE] .je vous promet beaucoup de mes connaissance en échange . voila mon numéro [CENSURE] . je suis [CENSURE] facebook merci d’avance
Moi je suis l’admin, si t’es un hacker fait toi de la pub dans un pays ou c’est légal, cela ne l’est pas dans le pays ou est hébergé ce site !
Pour prendre un compte tout le monde sait faire un brute-force … seul variable laisser des traces ou pas … apparemment ton ip ( provider privé , parfaitement géolocalisé ) est relativement facile a tracer, change pas de « pays », ici les gendarmes serait déjà chez toi !
aider moi comment on surf gratos avec la clé camtel
hahaha tu viens de te faire owner toi xD (Good job l’admin ^^)
Juste comme ça pourquoi est-ce que le monde veule hacker juste pour tout démolir au lieu d’aider a construire?
Avec la sécurisation du web, ca devient de plus en plus dur !
heu les gas jai un sousi dans mon colege on ne pas pas aller sur des site genre des site de jeux et tou mon prof a tou bloker s’est jeux brefff se que je veut savoir s’est que comment debloquer se site pour jouer au jeux
merci de le repondre pliz
phzz
Salut à tous!
J’suis jeune comédien en herbe et pas de ronds pour tous ces sites de casting payants et j’aimerais savoir si quelqu’un aurait une idée pour acker ces sites.Merci beaucoup!
Loumis