Aquest bloc mostrarà:
- Com instal·lar Hashcat a Kali Linux?
- Com utilitzar Hashcat a Kali Linux?
- Consell de bonificació: com utilitzar les llistes de paraules de Kali per a l'esclat de contrasenyes
- Conclusió
Com instal·lar Hashcat a Kali Linux?
Hashcat és una eina de pirateria ètica que utilitzen els professionals de la ciberseguretat per trencar contrasenyes. Utilitza força bruta i molts altres algorismes de hash per trencar hash o convertir hash en contrasenyes. Per a això, utilitza diferents tipus de modes d'atac. Hashcat està preinstal·lat a Kali Linux. En cas que no estigui instal·lat a Kali, instal·leu-lo seguint els passos següents.
Pas 1: actualitzeu Kali
En primer lloc, actualitzeu el Kali a la darrera versió continua utilitzant el ' actualització apta ' comandament:
sudo actualització apta
Pas 2: instal·leu Hashcat
Ara, instal·leu el paquet hashcat a Kali utilitzant el ' apt install hashcat ' comandament:
sudo apt instal·lar hashcat
Pas 3: comproveu el manual Hashcat
Per comprovar el codi de l'algoritme hash o per triar els modes d'atac de hashcat, consulteu el seu manual mitjançant l'ordre següent:
home hashcat
Mode d'atac
Aquí podeu veure diferents modes d'atac disponibles a l'eina hashcat. Una breu descripció d'aquests modes és la següent:
- Recte: Proveu d'esquivar la contrasenya d'una llista de paraules proporcionada.
- Combinació: Intenteu trencar contrasenyes combinant paraules de diverses llistes de paraules.
- Força bruta: Aplica la tècnica de força bruta i prova cada caràcter del conjunt de caràcters proporcionat.
- Llista de paraules híbrides + màscara: Combina llista de paraules i màscara
- Màscara híbrida + llista de paraules: També combina màscara i llista de paraules.
- Atac d'associació: Utilitza combinacions de pistes associades a una contrasenya o camp d'usuari concret, com ara el nom d'usuari, qualsevol informació personal o nom de fitxer:
Tipus de hash
Els tipus de hash que s'han de trencar s'indiquen a Hash types. El codi del tipus hash s'utilitza per trencar la contrasenya hash:
Com utilitzar Hashcat a Kali Linux?
Hashcat utilitza crackers de CPU i GPU a Kali Linux que descobreixen de manera eficient la contrasenya dels hash proporcionats. Si utilitzeu Kali Linux en una màquina virtual, no podreu utilitzar completament els crackers de GPU. Tanmateix, hashcat també funciona bé amb el mode CPU. Per utilitzar hashcat al sistema Kali o a la màquina virtual Kali, l'usuari ha de tenir almenys entre 4 i 8 GB de RAM.
Intentem entendre l'ús de Hashcat per a la pirateria de contrasenyes prenent un exemple d'un lloc web de WordPress. Suposem que l'usuari oblida la contrasenya del compte d'administrador i ara no pot accedir al tauler del lloc web com es mostra a continuació:
Ara, utilitzarem l'eina hashcat per recuperar la contrasenya oblidada de l'administrador del lloc web de WordPress. Per a una demostració adequada, seguiu el procediment següent.
Pas 1: obteniu la contrasenya hash
Els usuaris administradors definitivament tenen accés a la base de dades de WordPress. Obtenim les contrasenyes xifrades xifrades dels usuaris del lloc web de la base de dades:
Pas 2: deseu la contrasenya hash al fitxer de text
A continuació, deseu els hash de la contrasenya en un fitxer de text. Aquí, estem creant el ' hashpass.txt ' al fitxer ' Escriptori ” mitjançant l'editor nano:
sudo nano hashpass.txt
Deseu la contrasenya que es converteix en hash al ' hashpass.txt ' dossier. Per a la demostració, hem desat tres contrasenyes que ja es van convertir en hash mitjançant el ' MD5 ' algoritme de hashing:
Per desar el fitxer, premeu ' CTRL+S ” i per tancar l'editor, utilitzeu “ CTRL+X ”.
Pas 3: proporcioneu WordList Dictionary
A continuació, proporcioneu el diccionari de la llista de paraules des d'on l'hashcat intentarà fer coincidir els hash de les paraules amb els hash de la contrasenya proporcionats a la ' hashpass.txt ' dossier. Per a la demostració, crearem la nostra pròpia llista de paraules que contindrà 12 contrasenyes diferents:
sudo nano passdic.txt
Aquí, hem desat diferents combinacions de contrasenyes al nostre ' passdic.txt ' llista de paraules. L'usuari també pot utilitzar la llista de paraules proporcionada per Kali que s'explica a la secció següent:
Pas 4: trencar la contrasenya
Ara, trenca la contrasenya amb el ' hashcat -a
Aquí, ' -a 0 ' vol dir que hem utilitzat ' Mode d'atac directe ' i ' -m 0 ” significa que estem convertint els hash MD5 en contrasenyes. Per tant, aplicarem el ' MD5 ' algoritme hash per coincidir amb els hash de ' hashpass.txt ” a la llista de paraules proporcionada (passdic.txt):
Aquí, podeu veure que hem trencat efectivament la contrasenya del lloc web a partir dels hash de contrasenya proporcionats:
Pas 5: verificació
Per verificar-ho, provem la contrasenya d'administrador ' admin@123 ” per accedir al lloc web de WordPress:
Aquí podeu veure que hem recuperat correctament la contrasenya oblidada mitjançant l'eina hashcat de Kali:
Consell de bonificació: com utilitzar les llistes de paraules de Kali per a l'esclat de contrasenyes
Kali Linux també proporciona una llista de paraules preinstal·lada que s'utilitzarà per trencar diferents tipus de contrasenyes. Aquesta llista de paraules conté milions de paraules i combinacions de contrasenyes. Per utilitzar el 'Kali' rockyou.txt ” llista de paraules per trencar contrasenyes, seguiu els passos següents.
Pas 1: Obriu el directori 'llistes de paraules'.
Per obrir el ' llistes de paraules ” directori, utilitzeu l'ordre donada:
cd / usr / Compartir / llistes de paraulesA continuació, executeu el ' ls ' per veure tots els fitxers i directoris de Kali ' llistes de paraules ” directori. Aquí hi ha diferents tipus de contrasenyes o llistes de paraules disponibles. Per fer un seguiment de les contrasenyes normals o directes, com ara contrasenyes de comptes d'usuari, podeu utilitzar el ' rockyou.txt ' dossier:
Pas 2: descomprimiu el fitxer 'rockyou.txt.gz'.
Per utilitzar el ' rockyou.txt ” a l'eina hashcat, primer, descomprimiu el fitxer amb el “ gzip -d rockyou.txt.gz ' comandament. Aquesta acció pot requerir ' sudo ” drets d'usuari:
sudo gzip -d rockyou.txt.gz
Pas 3: trencar la contrasenya
Ara, utilitzeu l'ordre hashcat per trencar la contrasenya.
hashcat -a 0 -m 0 hashpass.txt / usr / Compartir / llistes de paraules / rockyou.txtAquí, podeu veure que aquesta vegada hem utilitzat el ' rockyou.txt ” fitxer en lloc d'una llista de paraules personal:
A la sortida anterior, podeu veure que es troben els hash però no es poden veure. Per veure els hash, només cal que afegiu el ' -espectacle ” opció a l'ordre hashcat:
hashcat -a 0 -m 0 hashpass.txt / usr / Compartir / llistes de paraules / rockyou.txt --espectacle
Hem explicat com utilitzar hashcat a Kali Linux.
Conclusió
Per utilitzar l'eina hashcat a Kali Linux, primer deseu les contrasenyes que s'han convertit als hash al ' .txt ” fitxer de text. Després d'això, feu coincidir els hash de la contrasenya amb un fitxer de text de la llista de paraules, com ara el fitxer de la llista de paraules de Kali ' rockyou.txt ' dossier. Per a això, només cal que utilitzeu el ' hashcat -a