hashcat是天下上最快,最前辈的密码规复实用程序,为超过200种高度优化的哈希算法供应了五种独特的攻击模式。 hashcat当前在Linux,Windows和macOS上支持CPU,GPU和其他硬件加速器,并具有分布式密码破解的功能。源码在github上面,目前版本5.1
我们现在开始吧,
1.常日情形下,利用GPU来破解密码,但是本日,我们将安装Docker容器,该容器将许可我们仅利用VM CPU来利用Hashcat。
利用以下命令安装Docker容器:
docker run -t -i dizcza/docker-hashcat:intel-cpu /bin/bash
请把稳,这将须要一些韶光。 安装完成后,将涌现类似以下的提示:
现在安装完成,进入Hashcat目录:
cd hashcat-5.1.0/
Hashcat在考试测验处理哈希时须要一个密码列表进行比较。 最受欢迎的密码列表之一被称为rockyou.txt
我们将利用以下命令将此列表下载并放入目录中:
wget https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt
下载完成后,连续下一步。
2.让我们假设上岸到目标打算机/数据库,并从中提取密码哈希串。
$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB
现在我们有了密码哈希串,可以利用以下命令将其放入名为user_password_hash的文件中:
echo """\$5\$Ebkn8jlK\$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB""" > user_password_hash
请把稳,哈希中的$须要转义(加一个\),bash命令才能成功运行。
在考试测验破解此哈希之前,我们须要知道利用哪种算法来天生哈希。hashcat恰好有一个很好的示例哈希列表,可以在这里找到。
https://hashcat.net/wiki/doku.php?id=example_hashes
这些是各种编码算法及其关联的哈希模式的示例。
在这里,当我们向下浏览列表时,可以看到SHA256(Unix)示例与我们想要破解的哈希最靠近:
7400 sha256crypt $5$, SHA256 (Unix) 2 $5$rounds=5000$GX7BopJZJxPc/KEK$le16UF8I2Anb.rOrn22AUPWvzUETDGefUmAV8AZkGcD
因此,我们要利用的模式将是7400。
3.现在是时候破解用户密码了!
运行以下命令来破解密码:
./hashcat64.bin -m 7400 user_password_hash rockyou.txt
这将须要等待大概2到5分钟,个中会弹出一个对话框,可以直接忽略就行,输入如下:
现在,您的最初反应可能有点像“这切实其实是太随意马虎了!
”,那怎么才能防止在几分钟之内用户密码被破解?下面有些建议,
您还可以采纳一些方法来保护自己免受此类攻击。
在对您很主要的网站上启用两成分身份验证。考虑利用密码管理器。切勿在多个站点上利用相同的密码。如果您所在的公司或在线商城的帐户存在数据透露事宜(X东彷佛有过一次透露),请立即变动密码。
