Qu'est-ce que c'est ?
Domino est une solution logicielle de Lotus donnant accès à des bases Notes (.nsf) via une interface
Web. Ainsi les internautes, les utilisateurs d'un Intranet ou d'un Extranet peuvent accéder à diverses données
publiques ou privées avec un simple navigateur.
Selon la sensibilité de ces données, leur accès peut être restreint avec une authentification Web de type
login/password. Cette authentification porte sur l'accès à une base (.nsf) dans laquelle se trouvent les données
confidentielles. Seuls les utilisateurs autorisés pourront alors y accéder. Le mot de passe de ces utilisateurs
est stocké, entre autres, dans la base names.nsf sous une forme cryptée (le hash). Ce hash est
le résultat d'un algorithme spécifique à Lotus Domino (basé sur l'algorithme RC4) appliqué au mot de passe en clair.
Domino Hash Breaker est un outil qui tente de retrouver ce mot de passe à partir du hash et d'un dictionnaire (dictionary
attack). Le but de cet outil est de permettre à un administrateur de vérifier la robustesse des mots de passe HTTP de ses
utilisateurs. En effet, si le mot de passe n'est pas trivial une attaque de ce type est vaine.
Téléchargement
ATTENTION ! L'utilisation d'un tel outil sans autorisation du propriétaire du mot de passe est illégale.
A utiliser uniquement lors d'un audit de ses propres mots de passe.
Télécharger l'exécutable de Domino Hash Breaker pour Windows.
Performances
Domino Hash Breaker utilise l'API C de Lotus, ses performances (1000-1200 mots par seconde sur un PII 400 Mhz)
rendent inutile une attaque de type brute force (le nombre de possibilités est bien trop élévée). C'est pourquoi,
seule une dictionary attack est utilisée.
Execution
Tout d'abord Domino Hash Breaker nécessite l'installation d'un client Lotus Notes R5 puisqu'il utilise l'API
de Lotus (des bibliothèques fournies avec le client Lotus sont donc indispensables à son exécution). Puis le répertoire
contenant ces bibliothèques doit être ajouté à la variable d'environnement PATH (avec l'installation par défaut du client
elles se trouvent dans C:\Lotus\Notes\).
Tapez dhb -h
>> Domino Hash Breaker v1.0 by Valgasu (valgasu@securiteinfo.com) <<
command : dhb [options]
options :
-p [file] file containing password hashes
-d [file] dictionary file
-v verbose
-h this help
Exemple : dhb -p hashes.txt -d dic.txt -v
|