Hachage (attaque)
Dans notre application, la BD peut éventuellement fuitée:
- on a mal protégé un serveur qui héberge la BD
- un employé fâché a copié la BD sur une clé USB et l'a emportée
- on a revendu un serveur de backup sans effacer les données et il y a uns sauvegarde de la BD il y a un mois
- etc.
Pour le cas du TP3, la BD est directement dans un fichier quelque part sur l'ordinateur.
Activité : Mais où est la BD?
Après avoir lancé l'application:
- pars l'application
- crée quelques utilisateurs etc.
- dans les fichiers du projet, essaie de trouver dans quel fichier se trouve la BD
Activité : Ouvrir une BD
Une fois qu'on a trouvé le fichier d'une BD, on veut trouver une application qui permet de l'ouvrir.
DataGrip est une application qui va pouvoir ouvrir une BD même si vous ne connaissez pas son format.
- Téléchargez DataGrip soit par JetBrains Toolbox ou directement sur le site de JetBrains
- Ouvrir / Lancer DataGrip
- Ouvrir le fichier de la BD que tu as trouvé
Tu devrais maintenant savoir quelle moteur de base de données est utilisé et voir les tables.
Tu peux prendre en notes tes manipulations pour les inclure dans ton rapport du TP3.
Activité: sortir les hash
Tu vas trouver dans le dossier stock du repo un fichier appelé leaked.db.
En utilisant une appli pour ouvrir la BD, tu peux l'ouvrir et la parcourir.
En regardant la bonne table tu vas trouver les hash des mots de passe.
Essaie de craquer ces mots de passe et prends en note les mots de passe que tu as réussi à récupérer.
Avancer mon TP3
Tu devrais maintenant avoir une piste pour attaquer les mots de passe des premiers ministres.