Casser du MD5 avec Hashbot
Publié le 20 février 2013

Cela fait plusieurs mois que je travaille sur des méthodes de cassage de mot de passe améliorées (enfin, j’essaie), et je suis arrivé à un outil plutôt performant et relativement simple dont je ne vais pas diffuser le code de suite. Pourquoi ? Eh bien tout simplement car j’ai dans l’optique de le présenter dans un avenir proche, mais surtout de le tester abondamment. Et pour cela, j’ai mis au point un système de robot twitter offrant un système de cassage de mots de passe basé sur cet outil.

Hashbot, kezako ?

Pour l’occasion, je me suis lancé dans le développement d’un bot twitter, car je n’avais pas forcément envie de monter un site pour l’occasion, et pour plein d’autres raisons :

Bref, Twitter imposant ses propres limites et ses fonctionnalités, j’ai jugé que c’était un moyen original et à faible coût pour réaliser une interface. Je suis donc parti sur l’idée d’un bot à qui l’on pourrait fournir des hashes MD5, voire même des URLs pointant vers des hashes MD5, qui les ajouterait à une liste de hashes à casser et posterait le résultat sur Twitter. En gros, un robot connecté pilotable par les utilisateurs.

Afin de conserver un bon ratio de cassage de mot de passe, j’ai opté pour un système en cycle. Le principe est simple : le robot collecte toutes les heures les hashes transmis par les utilisateurs, et lance une session de cassage d’une heure. A la fin de celle-ci, il communique les résultats s’il y en a. Bien sûr, plus il y a de personnes à l’utiliser mieux c’est, et à l’heure où j’écris ces lignes il n’y a pas foule à suivre @h4shb0t.

Les résultats sont actuellement postés sur le pastebin de archlinux.fr, mais pourront bouger par la suite.

Implémentation

Le code principal de Hashbot repose sur la bibliothèque Python implémentant une interface à l’API Twitter, j’ai nommé python-twitter. Cette API permet, moyennant des clés d’accès au service, d’accéder aux tweets d’utilisateurs l’ayant installée (c’est le cas pour @h4shb0t) et de réagir en fonction.

Le bot est structuré en deux threads séparés, l’un réalisant la collecte des hashes tandis que l’autre prend en charge les sessions de cassage, et l’envoi des résultats. La phase de cassage est assurée par un outil en ligne de commande, dont le résultat est analysé par le code Python et ensuite envoyé sur un pastebin. Le tout n’est pas anonyme, mais disons que @h4shb0t contribue aussi à peupler la grande base de données de clairs connus (a.k.a. known plaintexts, mais c’est aussi pour ça que certains utilisateurs le suivent sans envoyer de hashes).

Ok, comment on s’en sert ?

Pour demander à @h4shb0t de casser un ou plusieurs hashes MD5, rien de plus simple :

Pour le moment, @h4shb0t n’envoie pas de messages direct (DM), par peur de représailles de la part de Twitter. Cependant, l’idée de monter un petit site synthétisant les requêtes ainsi que le taux de réussite et les différentes sessions de cassage semble intéressant.