Hash cracking
Hashdump von Meterpreter (windows)
Kopiere den output vom Hashdump in ein txt file. Sollte ungefähr so aussehen:
Jedes Feld ist separiert mit einem Doppelpunkt. Feld 1: username(Administrator, User1, etc.) Feld 2: Relative Identification (RID):last 3-4 digits of the Security Identifier (SID), unique to each user Feld 3: LM hash Feld 4: NTLM hash
Der LM hash sollte bei neueren Windows Versionen nicht mehr verwendet werden (Defaut ausgeschaltet >Vista). Man kann erkennen ob dieser trotzdem verwendet wird sollte im Feld 3 etwas anderes stehen als: "aad3b435b51404eeaad3b435b51404ee".
Mehr Informationen über LM und NTLM hash:
Führe folgenden Befehl aus nachdem du die Hashes in ein File gespeichert hast:
Es gibt auch ein eigenes Meterpreter Modul welcher die Hashes cracken kann. Man muss also nicht unbedingt Meterpreter verlassen dafür.
John
Hash mit Passwortliste vergleichen
In hash.txt befindet sich der Hash den man versucht zu 'knacken'. Mit dem obigen Befehl geht das Programm durch eine Wörterliste (rockyou.txt) hindurch und Hashed die Einträge mit dem SHA256, bevor sie mit dem hash.txt file verglichen wird.
list all formats
Word Mangling Rules
Mangling is a preprocessor in JtR that optimizes the wordlist to make the cracking process faster. Use the –rules parameter to set the mangling rules. https://www.varonis.com/blog/john-the-ripper/
Hashcat
Modes
example
-a 0 --> Attackmode = wordlist -m 900 --> Bei Hashcat werden die Hashtypen in Nummern angegeben. In diesem Fall handelt es sich um MD4 --force --> Wegen dieser Meldung: Device #1: Not a native Intel OpenCL runtime. Expect massive speed loss. You can use --force to override, but do not report related errors.
example mit salt
md5 hash mit salt
-m 20 --> md5($salt.$pass) // nicht verwirren lassen bei der schreibweise des commands. Man schreibt immer im command zuest den hash dann den salt -> hash:salt
crack zip
Mit John the ripper benutzen
Last updated