PhpMyAdmin BruteForce

phpmyadmin

Aujourd’hui je vous propose un petit software que j’ai développé en 15 minutes et qui permet de bruteforcer un PhpMyAdmin.

L’objectif est donc de trouver le mot de passe d’un compte PhpMyAdmin est essayant de s’identifier avec plusieurs milliers de passwords.

IMPORTANT, sachez que je ne pourrais être tenu pour responsable de l’utilisation que vous ferez du logiciel PhpMyAdmin BruteForcer et que je l’ai développé dans un but pédagogique uniquement.

PhpMyAdmin BruteForcer

PhpMyAdmin BruteForcer est né d’un constat: il n’y a aucune protection contre le flood et le bruteforce sur la page d’authentification fournie par un PhpMyAdmin (dingue non !).

Je me suis donc demandé combien de temps me faudrait-il pour tester mon dictionnaire de mot de passes favoris (environ 10000 mots de passe unique) sur la pagin d’identification d’un site disposant d’une interface PhpMyAdmin.

Et bien la réponse est 6 minutes avec 10 threads 🙂

Vous noterez que le logiciel PhpMyAdmin BruteForcer ne permet d’utiliser de proxy. C’est un choix volontaire de ma part:

  • pas d’actions malveillantes
  • gain de performances

Il a été testé sur une version 3.5.2.2 de PhpMyAdmin.

Liste des commandes disponibles

Le logiciel PhpMyAdmin BruteForcer vous permet de spécifier un certains nombre de paramètres:

  • -t: pour spécifier le nombre de threads (connexions en parallèle)
  • -h: pour spécifier l’url d’accès au PhpMyAdmin (qui pointe vers le fichier index.php de PhpMyAdmin)
  • -u: pour préciser avec quel user vous souhaitez vous connecter
  • -d: pour préciser le chemin vers un dictionnaire de mot de passe custom

Par défaut, le logiciel PhpMyAdmin BruteForcer utilise le user root et un dictionnaire de 10000 mots de passe.

Exemple d’utilisation:

BFPhpMyAdmin.exe -t 20 -h "http://localhost:83/phpmyadmin/index.php" -u myuser

 

Capture d’écrans

phpmyadmin bruteforce help

phpmyadmin bruteforce help

phpmyadmin bruteforce in progress

phpmyadmin bruteforce in progress

phpmyadmin bruteforce password found

phpmyadmin bruteforce password found

Téléchargement

PhpMyAdmin BruteForcer est disponible en téléchargement ici.

Pour que le logiciel fonctionne, vous devez disposez d’un framework DotNet récent (normalement installé sur tous les systèmes Windows).

6 Responses to PhpMyAdmin BruteForce

  1. Nico says:

    Excellent 🙂
    Mais… Tu ne fais pas dans l’open source?

    Nico

  2. Pilume says:

    Oui par curiosité je serais curieux de voir combien de lignes et si c’est complexe de faire un petit programme comme ça. Chouette ton blog

  3. Baptiste says:

    L’application ne trouve pas le bon mot de passe chez moi (testé en local).

    J’ai testé : BFPhpMyAdmin.exe -h “http://localhost/phpmyadmin” -u baptiste

    Cela m’a retourné : PASSWORD 1234 (mon mot de passe est motdepasse)

    J’ai manqué quelque chose ?

Leave a Reply

Your email address will not be published. Required fields are marked *