source: Korben
Jonathan Broche, expert en sécurité, a mis au point CredCrack, un outil développé en Python qui va vous permettre de retrouver le mot de passe perdu de votre domaine Windows, ou de tester la sécurité de celui-ci. Il va sans dire que si vous l'utilisez, c'est à des fins de sécurisation pour votre propre réseau. Dans le cas contraire, vous vous exposez aux foudres de la justice.
CredCrack une fois lancé, va démarrer un apache et déployer les scripts fun.ps1 et creds.php dans le répertoire /var/www, avant de commencer à scanner votre réseau à la recherche de machines ayant le port 445 ouvert (avec du partage Windows / Active Directory actif).
Une fois ces machines trouvées, CredCrack va lister les privilèges relatifs au partage (pour trouver ceux qui ont des droits en écriture, droits admin.. etc) puis extraire les logins et mots de passe de la mémoire de ces machines sans rien écrire sur leur disque.
Voici une démonstration en vidéo où les mots de passe sont trouvés en 17 secondes.
Je vous mets l'écran de fin, car ça passe assez vite :
Comme Jonathan pratique le pentesting à titre professionnel, ça lui fait gagner pas mal de temps dans son boulot.
Il a mis les sources en ligne sur Github si vous voulez y jeter un oeil.
Cet article merveilleux et sans aucun égal intitulé : CredCrack – Testez la sécurité de votre réseau Windows ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Dispo sous Linux, OSX, Windows et BSD, Livestreamer est un petit outil en ligne de commande qui permet de lire directement dans un player comme VLC ou autre, des vidéos en provenance de sites web comme YouTube, Twitch, Dailymotion...etc., etc.
Comme en plus, il y a une API de dispo et que le code source est libre, c'est typiquement le genre d'outil que vous pouvez intégrer dans vos projets d'applications multimédia. D'un point de vue plus utilisateur, ça peut permettre aussi de lire des vidéos hors player flash et hors navigateur, afin de réduire la consommation mémoire.
Il y a une page complète dédiée aux méthodes d'installation de Livestream sur tous les OS, mais pour faire simple, la méthode universelle sous Linux et OSX (équipé de Python) c'est d'utiliser la commande suivante :
easy_install -U livestreamer
Une fois installé, vous l'utilisez comme ceci, "best" étant le niveau de qualité désiré :
livestreamer https://www.youtube.com/watch?v=dQw4w9WgXcQ best
Et voilà !
Comme ça fonctionne avec des plugins, des tas de services sont supportés. Il manque Vimeo par contre...
Cet article merveilleux et sans aucun égal intitulé : Livestreamer – Lisez vos vidéos web directement dans VLC ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Je viens de découvrir le service PushBullet et je pense que ça va vous plaire. PushBullet permet de relier vos ordinateurs et vos appareils mobiles tous ensemble pour partager entre eux, globalement ou de manière ciblée, des liens, des notifications (par exemple en cas de réception de SMS), des messages, des copier-coller et même des fichiers.
Une fois inscrit au service, vous pouvez ajouter différents appareils aussi bien sous Windows, OSX, Android, iOS et comme il y a des extensions pour les navigateurs Opera, Safari, Chrome, Firefox, et que Push Bullet est aussi accessible directement en ligne, c'est aussi utilisable sous Linux (ou tout autre OS avec un navigateur récent). Des logiciels tiers et clients alternatifs pour Windows Phone, Ubuntu, BlackBerry ont aussi été développés par des indépendants.
PushBullet permet donc de vous transmettre à vous même, mais aussi à vos amis, des fichiers, des liens, des messages et vous pouvez aussi rédiger et lire vos SMS directement depuis votre ordinateur. Notez qu'il y aussi une fonctionnalité de "Channel" qui propose de pousser sur vos appareils du contenu éditorial sympa.
La bonne nouvelle c'est que PushBullet vient d'ajouter du chiffrement de bout en bout (AES-256 avec authentification GCM + PBKDF2 pour générer une clé de chiffrement dérivée du mot de passe) afin de sécuriser les échanges sans que les contenus qui transitent par leurs serveurs soient déchiffrables. Cela implique que vous saisissiez une clé identique dans tous les clients PushBullet que vous utiliserez.
Pour le moment, c'est présent uniquement dans l'appli Android, Windows et l'extension Chrome. Le support du chiffrement de bout en bout sera dispo sous Firefox, Opera et Safari dans les jours qui viennent et sous iOS et OSX dans les semaines qui viennent.
Si PushBullet vous intéresse, c'est par ici que ça se passe !
Cet article merveilleux et sans aucun égal intitulé : Recevez les notifications de votre téléphone sur votre ordinateur ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Ô joie, la nouvelle version estampillée 2.0 de KALI vient de sortir. Pour ceux qui auraient loupé mes 4999 articles précédents sur le sujet, Kali est une distribution Linux orientée sécurité informatique (et donc pentesting).
Kali 2.0 est basée sur la Debian Jessie (kernel 4.0) et apporte son lot de nouveautés notamment les outils suivants :
Les Raspberry Pi, Chromebooks, Odroids...etc. n'ont pas été oubliés puisque des images ARM sont disponibles sur le site. Sans oublier NetHunter, la plateforme mobile de pentest qui intègre Kali 2.0 dans sa dernière version et qui est dispo sur les Nexus 5, 6, 7, 9, 10 et le OnePlus One !
Les images VMware et Virtualbox ont aussi été mise à jour (en 32 et 64 bits) si vous souhaitez tester dans un environnement virtuel et des versions Dockers sont proposées ici.
Si vous utilisez déjà Kali en version 1.0, vous pouvez la mettre à jour en éditant le fichier sources.list et en y ajoutant les 2 sources suivantes :
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
Puis en lançant un dist-upgrade comme ceci :
apt-get update
apt-get dist-upgrade
reboot
Ça a l'air assez riche et très prometteur ! Si vous voulez télécharger Kali Linux 2.0 c'est par ici que ça se passe !
Cet article merveilleux et sans aucun égal intitulé : Kali 2.0 est dispo ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
Vous vous souvenez d'Ubuntu One, ce service de Canonical qui permettait de synchroniser des fichiers dans leur cloud ? Le service n'a pas fonctionné et avait été vivement critiqué à sa sortie car même si les clients étaient disponibles sous licence libre, ce n'était pas le cas du logiciel serveur.
Comme ça a fermé le 1er juin 2014, plus aucun intérêt pour Canonical de garder les sources fermées. C'est pourquoi ils ont annoncé hier la mise à disposition du code de la partie serveur d'Ubuntu One sous licence AGPLv3. Toutefois Canonical doit encore libérer le code du site, le code des API REST, le code du module de gestion de contact et du streaming de musique.
Si ça vous intéresse et que vous voulez forker ce code pour lancer votre propre service / solution de synchronisation de fichiers, tout est là !
Cet article merveilleux et sans aucun égal intitulé : Canonical libère le code d’Ubuntu One (partie serveur) ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.