Testez et récupérez vos mots de passe en les craquant avec Hashcat

Introduction

Hashcat est un outil de fissuration de mot de passe robuste qui peut vous aider à récupérer les mots de passe perdus, à auditer la sécurité des mots de passe, à référence ou simplement à déterminer quelles données sont stockées dans un hachage.

Il existe un certain nombre de grands utilitaires de craquage de mot de passe, mais Hashcat est connu pour être efficace, puissant et complet en vedette. Hashcat utilise des GPU pour accélérer la fissuration du hachage. Les GPU sont bien meilleurs et manipulent des travaux cryptographiques que les processeurs, et ils peuvent être utilisés en nombre beaucoup plus élevé que les processeurs. Hashcat prend également en charge une très large gamme de hachages populaires, pour s'assurer qu'il peut gérer le déchiffrement de presque n'importe quel mot de passe.

Veuillez noter que la mauvaise utilisation de ce programme peut être illégal. Teste uniquement sur les systèmes que vous possédez ou avez l'autorisation écrite pour tester. Ne partagez pas ni ne postez de hachages ou de résultats publiquement. Hashcat doit être utilisé pour la récupération de mot de passe et les audits de sécurité professionnels.

Obtenir des hachages

Si vous allez tester les capacités de fissuration de hachage de Hashcat, vous aurez besoin de hachages pour tester avec. Ne faites pas quelque chose de fou et commencez à déterrer les mots de passe utilisateur chiffrés sur votre ordinateur ou votre serveur. Vous pouvez en créer des mannequin à cet effet.

Vous pouvez utiliser OpenSSL pour créer une série de hachages de mot de passe que vous souhaitez tester. Vous n'avez pas à devenir totalement fou, mais vous devriez avoir quelques-uns pour vraiment voir ce que Hashcat peut faire. CD dans un dossier où vous souhaitez faire vos tests. Ensuite, utilisez la commande ci-dessous pour faire écho à des mots de passe possibles dans OpenSSL et les publier dans un fichier. Le sed La partie est juste pour éliminer la sortie des ordures et obtenir simplement les hachages.

$ echo -n "mybadpassword123" | OpenSSL DGST -SHA512 | sed 'S / ^.* = // '>> hachages.SMS

Il suffit de l'exécuter plusieurs fois avec différents mots de passe, vous en avez donc quelques-uns dans le fichier.

Obtenir une liste de mots

Pour ce test, vous aurez besoin d'une liste de mots de mots de passe pour tester. Il y en a des tonnes en ligne, et vous pouvez les trouver partout. Vous pouvez également utiliser un utilitaire comme Crunch, ou simplement en faire un en tapant un tas de mots dans un document texte.

Pour gagner du temps, juste wget La liste ci-dessous.

$ wget https: // brut.githubusercontent.com / Danielmissler / seclistes / maître / mot de passe / 500 mots de passe-temps.SMS

Craquage de base

Vous pouvez maintenant tester Hashcat. Jetez un œil à la commande Linux suivante. Si vous l'exécutez, Hashcat tentera de déchiffrer les hachages que vous avez créés.

$ hashcat -M 1700 -a 1 -r / usr / share / hashcat / règles / combinateur.Règle des hachages / hachages.Txt Passlists / 500 works-passwords.SMS

Hashcat prendra un certain temps. Si vous avez un système lent, cela prendra beaucoup de temps. Soyez juste conscient de ça. Si cela prend trop de temps, réduisez le nombre de hachages dans votre liste.

En fin de compte, Hashcat devrait afficher chacun de vos hachages avec sa valeur. Cela pourrait ne pas les obtenir tous, selon les mots que vous avez utilisés.

Options

Comme vous l'avez vu, Hashcat s'appuie fortement sur différents drapeaux et options pour fonctionner correctement. Prendre tout cela peut être intimidant, donc cette prochaine section décomposera tout cela.

Types de hachage

Le premier drapeau que vous voyez -m drapeau. Dans le cas de l'exemple, il est défini à 1700. Ceci est une valeur de hashcat qui correspond à SHA-512. Pour voir la liste complète, exécutez la commande d'aide de Hashcat, $ hashcat - help. Il y en a beaucoup, donc vous pouvez voir pourquoi Hashcat a une si large gamme d'utilisations.

Modes d'attaque

Hashcat est capable de plusieurs modes d'attaque différents. Chacun de ces modes teste les hachages contre votre liste de mots différemment. Les modes d'attaque sont spécifiés avec le -un Flag et prendre des valeurs correspondant à une liste disponible via la commande d'aide. L'exemple a utilisé une option très courante, l'attaque combinée. Les attaques combinées tentent de réorganiser les mots et d'ajouter des nombres communs dans les endroits. Pour l'utilisation de base, c'est généralement la meilleure option.

Règles

Il existe également un fichier de règles spécifié auprès du -r commande. Les fichiers de règles sont situés à / usr / share / hashcat / règles, Et ils fournissent un contexte pour la façon dont Hashcat pourrait mener ses attaques. Vous devez spécifier un fichier de règles pour de nombreux modes d'attaque, y compris celui utilisé dans l'exemple.

Sortir

Bien qu'il n'ait pas été utilisé dans l'exemple, vous pouvez spécifier un fichier de sortie pour Hashcat. Ajoutez simplement le -o drapeau suivi de l'emplacement souhaité de votre fichier de sortie. Hashcat enregistrera les résultats de sa session de craquage au fur et à mesure qu'ils apparaissent dans le terminal dans le fichier.

Réflexions de clôture

Hashcat est un outil incroyablement puissant, et il évolue avec les tâches qui lui sont attribuées et le matériel sur lequel il fonctionne. Hashcat est conçu pour gérer les tâches à grande échelle et travailler à travers eux de la manière la plus efficace possible. Ce n'est pas un outil de passe-temps. C'est absolument professionnel.

Si vous êtes vraiment intéressé à utiliser la pleine puissance de Hashcat, cela vaut vraiment la peine d'explorer les options GPU disponibles pour les personnes avec des cartes graphiques puissantes.

Bien sûr, n'oubliez pas d'utiliser Hashcat de manière responsable et gardez votre mot de passe à craquer légal.

Tutoriels Linux connexes:

• Test de référence USB Drive sur Linux
• Une introduction à l'automatisation Linux, des outils et des techniques
• Masterring Bash Script Loops
• Gestion de la saisie des utilisateurs dans les scripts bash
• Choses à installer sur Ubuntu 20.04
• Comment comparer les performances du disque sur Linux
• Boucles imbriquées dans les scripts bash
• Comparaison des MPM de Linux Apache PreFork vs Worker
• À quelle fréquence devez-vous redémarrer votre serveur Linux?
• Liste des meilleurs outils Kali Linux pour les tests de pénétration et…