Cracking

This content is available to members only. Please login or register to view this area.

L’hash della password la troviamo all’interno del riquadro rosso, mentre nei due riquadri verdi abbiamo username “kali” e l’oscuramento;

“$y” “$j9T” “$h” queste sono tre informazioni che indicano rispettivamente la funzione di hash utilizzata, l’algoritmo di salt e altre informazioni sulla scadenza della password.

L’output è il seguente:

salviamo il file con i tasti ctrl+x e poi Y.

Con il comando chmod 777 o chmod +x diamo i permessi di scrittura e lettura al file admin.hash e al file dictionary appena scaricato.

Con il tool Hashcat eseguiamo un’attacco di password cracking con dictionary sull’hash SHA512, diamo come input i parametri “–m 1800” e “–a 0” per aggiungere il file “admin.hash”, infine aggiungiamo il percorso del file dictionary.

Hashcat proverà ad indovinare con tutte le password contenute nel file dictionary sul file hash, non appena avvierà un matching (confronto) ci verrà notificato l’avvenuto cracking, mostrandoci la password root in chiaro.

Ovviamente questo descritto è solo un esempio svolto per scopi didattici utile per dare un’idea generale sulla tipologia di tecnica che si utilizza per svolgere in questo caso un attacco dictionary, vedremo anche come avviene un cracking brutalforce che è leggermente diverso in quanto non si utilizzano file dictionary delle password più comuni, ma viene svolto con sequenze ripetute di combinazioni di caratteri alfanumerici. Non posso garantire che con questo metodo venga crackata la propria password, soprattutto quando stiamo parlando di SHA512, ci sono tecniche più avanzate che vedremo nella seconda parte del tutorial che ho diviso per voi.

Nel prossimo articolo alzeremo l’asticella di difficoltà, vedremo un vero attacco di password cracking su diversi fronti utilizzando Metasploit.

L’hash della password la troviamo all’interno del riquadro rosso, mentre nei due riquadri verdi abbiamo username “kali” e l’oscuramento;

“$y” “$j9T” “$h” queste sono tre informazioni che indicano rispettivamente la funzione di hash utilizzata, l’algoritmo di salt e altre informazioni sulla scadenza della password.

L’output è il seguente:

salviamo il file con i tasti ctrl+x e poi Y.

Con il comando chmod 777 o chmod +x diamo i permessi di scrittura e lettura al file admin.hash e al file dictionary appena scaricato.

Con il tool Hashcat eseguiamo un’attacco di password cracking con dictionary sull’hash SHA512, diamo come input i parametri “–m 1800” e “–a 0” per aggiungere il file “admin.hash”, infine aggiungiamo il percorso del file dictionary.

Hashcat proverà ad indovinare con tutte le password contenute nel file dictionary sul file hash, non appena avvierà un matching (confronto) ci verrà notificato l’avvenuto cracking, mostrandoci la password root in chiaro.

Ovviamente questo descritto è solo un esempio svolto per scopi didattici utile per dare un’idea generale sulla tipologia di tecnica che si utilizza per svolgere in questo caso un attacco dictionary, vedremo anche come avviene un cracking brutalforce che è leggermente diverso in quanto non si utilizzano file dictionary delle password più comuni, ma viene svolto con sequenze ripetute di combinazioni di caratteri alfanumerici. Non posso garantire che con questo metodo venga crackata la propria password, soprattutto quando stiamo parlando di SHA512, ci sono tecniche più avanzate che vedremo nella seconda parte del tutorial che ho diviso per voi.

Nel prossimo articolo alzeremo l’asticella di difficoltà, vedremo un vero attacco di password cracking su diversi fronti utilizzando Metasploit.