Przetestuj i odzyskaj hasła, pękając je z Hashcat

Przetestuj i odzyskaj hasła, pękając je z Hashcat

Wstęp

Hashcat to solidne narzędzie do pękania haseł, które może pomóc w odzyskaniu utraconych haseł, kontroli bezpieczeństwa hasła, porównywalnego lub po prostu dowiedzieć się, jakie dane są przechowywane w skrócie.

Istnieje wiele świetnych narzędzi do pękania haseł, ale Hashcat jest znany z tego, że jest wydajny, potężny i pełny. Hashcat wykorzystuje GPU do przyspieszenia pękania skrótu. GPU są znacznie lepsze i obsługują pracę kryptograficzną niż procesory i można je wykorzystać w znacznie większej liczbie niż procesory. Hashcat obsługuje również bardzo szeroką gamę popularnych skrótów, aby upewnić się, że może obsłużyć rozszyfrowanie prawie każdego hasła.

Należy pamiętać, że niewłaściwe użycie tego programu może być nielegalny. Tylko test na systemach, które posiadasz lub masz pisemną zgodę na testowanie. Nie udostępniaj ani nie publicznie. Hashcat powinien być używany do odzyskiwania haseł i profesjonalnych audytów bezpieczeństwa.

Zdobycie kilku skrótów

Jeśli zamierzasz przetestować możliwości pękania skrótu Hashcata, będziesz potrzebować skrótów do przetestowania. Nie rób czegoś szalonego i zacznij kopać szyfrowane hasła użytkownika na komputerze lub serwerze. Możesz stworzyć kilka manekinów w tym celu.

Możesz użyć OpenSSL do utworzenia serii skrótów haseł, które chcesz przetestować. Nie musisz całkowicie szaleć, ale powinieneś mieć kilka, aby naprawdę zobaczyć, co może zrobić Hashcat. płyta CD do folderu, w którym chciałbyś przeprowadzić testy. Następnie użyj poniższego polecenia, aby odzwierciedlić możliwe hasła do OpenSSL i wyprowadzić je w pliku. sed porcja to po prostu zdejmować trochę wyjścia śmieci i po prostu zdobyć skróty.

$ echo -n „myBadPassword123” | Openssl DGST -SHA512 | sed 's/^.*= // '>> skróty.tekst

Po prostu uruchom go kilka razy z różnymi hasłami, więc masz kilka w pliku.

Zdobycie listy słów

Do tego testu będziesz potrzebować listy słów haseł do przetestowania. Jest ich mnóstwo online i możesz je znaleźć wszystko. Możesz także użyć narzędzia takiego jak Crunch lub po prostu zrobić je, wpisując kilka słów w dokument tekstowy.

Aby zaoszczędzić czas, po prostu wget Poniższa lista.

$ wget https: // raw.Githubusercontent.com/DanielMiessler/sekund/master/hasła/500-duchowe słowa.tekst

Podstawowe pękanie

Możesz teraz przetestować Hashcat. Spójrz na następujące polecenie Linux. Jeśli go uruchomisz, Hashcat spróbuje rozszyfrować skróty, które stworzyłeś.

$ Hashcat -m 1700 -A 1 -r/usr/share/hashcat/reguła/kombinator.Reguła skrótów/skrótów.TXT Passlists/500-najgorsze słowa.tekst

Hashcat zajmie trochę czasu. Jeśli masz powolny system, zajmie to dużo czasu. Po prostu pamiętaj o tym. Jeśli trwa to zbyt długo, zmniejsz liczbę skrótów na liście.

Ostatecznie Hashcat powinien wyświetlać każdy z twoich skrótów wraz z jego wartością. Może nie dostać ich wszystkich, w zależności od użyć słów.

Opcje

Jak widziałeś, Hashcat w dużej mierze opiera się na różnych flagach i opcjach, aby działać prawidłowo. Biorąc to wszystko jednocześnie może być zniechęcające, więc następna sekcja to wszystko załamie.

Typy skrótu

Pierwsza flaga, którą tam widzisz -M flaga. W przypadku przykładu jest ustawiony na 1700. Jest to wartość w hashcat, który odpowiada SHA-512. Aby zobaczyć pełną listę, uruchom polecenie pomocy Hashcat, $ HASHCAT -HELP. Jest tam wiele, więc możesz zobaczyć, dlaczego Hashcat ma tak szeroki zakres zastosowań.

Tryby ataku

Hashcat jest zdolny do kilku różnych trybów ataku. Każdy z tych trybów inaczej przetestuje skróty przeciwko listy słów. Tryby ataku są określone za pomocą -A flaga i weź wartości odpowiadające listy dostępnej za pośrednictwem polecenia pomocy. W przykładzie zastosowano bardzo powszechną opcję, atak kombinacji. Ataki kombinacyjne Próbują ponownego umienienia słów i dodać wspólne liczby w miejscach, w których zwykle użytkownicy. Dla podstawowego użycia jest to ogólnie najlepsza opcja.

Zasady

Istnieje również plik reguł określony w przypadku -R Komenda. Pliki reguł znajdują się pod adresem /usr/share/hashcat/zasady, i zapewniają kontekst, w jaki sposób Hashcat może przeprowadzić swoje ataki. Musisz określić plik reguł dla wielu trybów ataku, w tym ten użyty w przykładzie.

Wyjście

Chociaż nie był używany w przykładzie, możesz określić plik wyjściowy dla Hashcat. Po prostu dodaj -o flaga, a następnie pożądana lokalizacja pliku wyjściowego. Hashcat zapisuje wyniki sesji pękania, ponieważ pojawiają się w terminalu w pliku.

Zamykanie myśli

Hashcat jest niesamowicie potężnym narzędziem i skaluje się z zadaniami, które jest przypisywany, i sprzętem, na którym działa. Hashcat został zaprojektowany do obsługi zadań na dużą skalę i przeglądania ich w najbardziej wydajny sposób. To nie jest narzędzie hobby. To absolutnie profesjonalna ocena.

Jeśli naprawdę chcesz korzystać z pełnej mocy Hashcat, zdecydowanie warto zbadać opcje GPU dostępne dla osób z potężnymi kartami graficznymi.

Oczywiście pamiętaj, aby odpowiedzialnie używać Hashcat i zachować legalne łamanie hasła.

Powiązane samouczki Linux:

  • Test testu porównawczego napędu USB na Linux
  • Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
  • Mastering Bash Script Loops
  • Obsługa danych wejściowych użytkownika w skryptach Bash
  • Rzeczy do zainstalowania na Ubuntu 20.04
  • Jak porównywać wydajność dysku na Linux
  • Zagnieżdżone pętle w skryptach Bash
  • Porównanie Linux Apache Prefork vs Pracowni
  • Jak często musisz ponownie uruchomić serwer Linux?
  • Lista najlepszych narzędzi Kali Linux do testowania penetracji i…