Fireforce : Le plugin firefox pour brute-forcer les mots de passe
26 Avr 2010


Le titre à l’air super hein ? Vous vous dites que ça y est, même les noobs peuvent cracker des mots de passe. Vous commencez à avoir peur pour vos comptes mail et réseaux sociaux…
Rassurez-vous, tout ce que ce plugin à pu faire après mes tests, c’est soit :

  • Rien du tout,
  • afficher une centaines de fenêtres popup,
  • ou carrément faire planter Firefox (voir la session X).

À quoi ça sert ?

Fireforce est une extension Firefox permettant de lancer des attaques de type brute-force sur des formulaires d’authentification notamment.

Les pré-requis

Ils ne sont pas nombreux, ce qui pourrait laisser croire que ça fonctionne tout le temps :

  • Avoir Firefox,
  • repérer le message d’erreur d’un échec d’authentification<,/li>
  • les paramètres d’authentification sont envoyé par les méthodes POST et GET

Le principe

Fireforce peut fonctionner en utilisant un dictionnaire ou en générant des mots de passe, auquel cas il faut lui préciser le format du mot de passe (si il comporte des majuscules ou des chiffres) et le nombre de caractères minimum et maximum.
Ensuite il envoi ses tentatives avec une cadence de 500 essais par seconde par défaut.

À l’utilisation


Comme vous pouvez le constater, c’est très facile à utiliser. Un clic droit sur le formulaire à deviner et tout est dans le menu. Il ne reste plus qu’à renseigner les tailles min et max du mot passe, et enfin le message d’erreur d’un échec d’authentification.

La documentation officielle du plugin nous averti qu’il ne faut pas utiliser le texte affiché par le navigateur mais le code source de l’erreur.

Un ctrl+U, ctrl+C, ctrl+V et le tour est joué ?

Pas vraiment !
Un nombre incalculable de fenêtres popup apparraissent pour nous dire que le mot de passe est trouvé. Sauf que ce n’est pas le bon mot de passe, c’est une URL. Je pense que cela est du à un mauvais paramétrage du message d’erreur.

En essayant sur d’autres méthodes d’authentification, j’ai constaté que Firefox envoyait beaucoup de requêtes (en faisant un petit htop). Je pense que c’est ce qui doit se passer quand Fireforce fonctionne normalement.
Ceci-dit même en testant le mot de passe toto, jamais Fireforce ne m’a donné un résultat satisfaisant.
Je vous invite quand même à tester Fireforce ici, et à me faire part de vos tests en commentaire !

Hacking

  1. salut j’ai pareil que toi, soit j’ai pleins de popup, soit ca plante ou soit c’est de la connerie.

  2. bonjour
    désolé mais j’ai publier cette méthode avant de tester mais malheureusement cette méthode ne fonctionne pas avec moi

  4. La méthode fonctionne bel est bien.
    Mais ça n’est vraiment pas puissant du tout.
    Au delà de 4 caractères, le plugin plante.

  5. bien les gars et ainsi avec vos autres greffons + celui-ci, ne penser vous pas plutôt que vos données ont été remontées sur leur srv ??! bandHIDEyo

  7. Je pense qu’il a voulu dire :
    Un script dont on nous promet des miracles, qui ne marche chez personne et dont le site web est depuis offline…
    On peut appeler ça un Script_kiddie :/

    Après « banHIDEyo » c’est simplement sarcastique

  9. Moi à la base je suis arrivé ici en cherchant de l’optimisation pour le CMS wordpress.
    Et c’est vrai que sur sheebypanda.com on trouve pas mal d’articles intéressants sur divers thèmes. Et en plus des articles et des tuto qu’on ne retrouve pas sur tous les autres blog =)

    Néanmoins, l’article de Fireforce est classé n°1 sur la liste des « ARTICLES POPULAIRES » …
    De plus, pas de nouvelle publication depuis le 18 juin =P

    Bon, fin de l’humour. C’est un super blog. Merci SheebyPanda !! continue comme ca.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.