Содержание

Онлайн брутфорс паролей с Hydra-GTK — Information Security Squad

Hydra (более известный как «thc-hydra») — это онлайн-инструмент для атаки на пароли.

Это перебор различных комбинаций для живых сервисов, таких как telnet, ssh, http, https, smb, snmp, smtp и т. д.

Hydra поддерживает 30+ протоколов, включая их SSL-совместимые.

Это брутфорсинг в отношении сервисов, которые мы указываем с помощью списков пользователей и списков слов.

Hydra работает в 4 режимах:

  • Одно имя пользователя и один пароль
  • Список пользователей и один пароль
  • Одно имя пользователя и пароль
  • Список пользователей и пароль

Пентестеры используют этот инструмент для проверки / аудита сложности паролей сервисов, в основном там, где прямой сниффинг невозможен.

Мы обсудим этот инструмент в следующем учебном пособии.

Опции

Вы можете открыть xHydra из меню или терминала Kali linux.

Target- настройки различных целевых пулов

Passwords – укажите параметры пароля и списки wordlist

Tuning – Определите, насколько быстро будет работать гидра. Также доступны другие варианты синхронизации.

Specific – для тестирования по конкретным объектам, например, домену https и т. д.

Start – Start / Stop & показывает вывод.

Как взломать пароль с помощью Hydra в Kali Linux

Лабораторная работа 1: Взлом ssh с атакой по словарю паролей — Hydra

В этой лабораторке мы пытаемся нарушить аутентификацию ssh на удаленном компьютере, у которого есть IP-адрес 192.168.0.103.

Здесь мы делаем атаку типа wordlist, используя список слов, содержащий наиболее распространенные пароли, чтобы проникнуть в учетную запись root.

Шаг 1: Откройте thc-hydra

Шаг 2. Установите целевой и протокол на целевой вкладке. <Здесь 192.168.0.103> <используйте свою цель>

Шаг 3: Задайте имя пользователя как root и укажите местоположение списка слов на вкладке паролей.

Примечание: Kali Linux поставляется со встроенными списками слов.

Найдите их с помощью команды: найдите * .lst в терминале.

 command: locate *.lst 

Другие широкие диапазоны списка слов в диапазоне до 3 ГБ или более доступны в Интернете.

Просто используйте Google для поиска и в течение 5 минут вы их найдете.

Шаг 4: Задайте количество задач до 1 на вкладке настройки, так как это уменьшит скопление и вероятность обнаружения.

Но для завершения требуется больше времени.

Это также необходимо для уменьшения продолжительности блокировки учетной записи.

Шаг 5: Запустите thc-hydra с вкладки «Start».

Шаг 6: Прокрутите вниз и подождите, пока пароль не будет взломан

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

itsecforu.ru

Лучшие инструменты пен-тестера: брутфорс паролей — «Хакер»

Содержание статьи

У каждого из команды ][ свои предпочтения по части софта и утилит для
пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно
составить настоящий джентльменский набор из проверенных программ. На том и
решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в
этот раз коснемся утилит для подбора пароля к различным сервисам.

 

Brutus AET2

Платформа: Windows

Последний релиз программы был в 2000 году. У тулзы давно нет официального
сайта. Но при этом Brutus AET2 по-прежнему является одним самых шустрых и
продвинутых брутфорсеров для основных Интернет-протоколов. Если нужно подобрать

пароль для HTTP (на тех страничках, где используется авторизация по
логину/паролю), произвольному веб-сервису с авторизацией через форму, почтовому
аккаунту, файловому или Telnet серверу, знай: Brutus – отличный вариант.

В общем случае для подбора пароля нужно указать хост и порт сервиса, выбрать
протокол, установить количество используемых потоков (максимум — 60), а также
таймаут. В целях анонимности можно подключить сокс или прокси. В зависимости от
протокола также указывается ряд дополнительных параметров. Например, для подбора
пароля на каком-то сайте (тип брутфорса — HTTP Form), необходимо указать метод
(POST или GET), обозначить параметры формы (в Brutus встроено простое средство
для их анализа), а в случае необходимости подделать cookie, включив

соответствующую опцию.

Подбор осуществляется двумя способами: по словарю, причем у проги есть
несколько встроенных утилит для работы с большими списками паролей, или же с
использованием тупо сгенерированных паролей. В последнем случае необходимо
обозначить символы, которые будут использоваться для составления пасса.

 

Универсальный брутфорсер для протоколов HTTP FORM, TELNET, POP3, FTP.

 

John the Ripper

Сайт:
www.openwall.com/john/
Платформа: Windows, Unix

Пытливые умы программистов не раз задумывались о том, как защитить пароли,
которые хранятся локально? Действительно, ведь если доступ к машине, значит,
пользователь может найти то местечко в системе, где они хранятся и…
Обломаться, увидев вместо паролей — их хеши. Исходные пароли пропускают через
специальные функции, которые выдают на выходе уникальную последовательность

символов (хеш), причем обратное преобразование произвести невозможно. Когда во
время входа в систему пользователь вводит пароль, ось производит аналогичное
действие и сравнивает полученный хеш с тем, что хранится в ее недрах.

Так что же нет способа отыскать локальный пароль в никсах или Windows? Есть,
если взять в помощники тулзу John The Ripper, которая как раз и занимается
восстановление паролей по их хешам. Основная задача тулзы — аудит слабых паролей
в UNIX системах, но также справляется и с NTLM хешами, которые используются для
хранения паролей под виндой, Kerberos, и некоторыми другими. Причем к программе
можно подключить модули, предоставляющие поддержку MD4 хешей, LDAP и MySQL
паролей.

John The Ripper проводить атаку по словарю и брутфорс. В режиме атаки по
словарю программа берёт предполагаемые пароли из указанного файла, генерирует

хеш и сверяет его с эталонным. В режиме брутфорса программа перебирает все
возможные комбинации пароля.

Сама тулза работает через консоль, а настройки для брута передаются с помощью
целого ряда опций и параметров. Впрочем, если не жаждешь разбираться с
многочисленными ключами, то можно немного схалтурить, воспользовавшись
замечательным GUI-интерфейсом от стороннего разработчика. FSCrack v1.0.1
(www.foundstone.com/us/resources/proddesc/fscrack.htm) — классно реализованный
фронт-енд, в котором параметры для взлома задаются через удобное окошко, а он
уже сам составляет команду для запуска Джона и выдает результат работы.

 

Для локального взлома паролей для никсов и винды.

 

L0phtCrack

Сайт: www.l0phtcrack.com
Платформа: Windows

А это программа уже целенаправленно разработана для аудита паролей в Windows.

L0phtCrack восстанавливает пароли от Windows по их хешам, раздобытым с локальной
машины, сервера в сети, контроллера домена или Active Directory. В программе
есть встроенный снифер, который может перехватить зашифрованные хеши по локалке.
Впрочем, помимо виндовых хешей программа отлично управится и с юниксовым Shadow.

Для восстановления пароля используется различные атаки: по словарю, брутфорс,
гибридный способ. В последнем случае можно задать настройки для мутации пароля:
например, dana в Dana99. Разработчики не поленились упростить процедуру по
подбору пароля: теперь прямо на запуске программы появляется специальный мастер,
который последовательно выясняет, что именно ты хочешь сделать.

Интересный факт. После приобретения в 2006 компанией Symantec, поддержка и
развитие программы заглохло, однако, ребята-разработчики выкупили свою

разработку обратно в мае этого года выпустили на свет LC6. Последняя версия
отлично работает под 64-битными система, использует преимущество
многопроцессорный и многоядерных систем. К сожалению, за использование
L0phtCrack разработчики просят почти триста баксов, хотя и предоставляют
триальный срок без ограничений. Но у тулзы есть бесплатные аналоги, например,
консольная Pwdump (www.foofus.net/fizzgig/pwdump/),
а также ophcrack (ophcrack.sourceforge.net),
использующий для взлома Rainbow-таблицы.

 

Восстановление пароля Windows и Unix по его хешу.

 

Cain and Abel

Сайт:
www.oxid.it/cain.html
Платформа: Windows

Об этой утилите мы уже рассказывали, когда составляли нашу
подборку сниферов.
Но вместе с тем это еще и сногсшибательный инструмент для восстановления

паролей. Если не брать в расчет восстановление слабо защищенных паролей
(например, сохраненных в браузере) и просмотр пасса под звездочками, то основная
часть программы заключается во встроенной утилите для взлома 25 различных видов
хешей: начиная от пресловутого MD5 и заканчивая NTLMv2 для восстановления
паролей в винде. Для подбора применяется как атака по словарю, так и тупой
брутфорс.

Взлом 25 различных хешей (пароли Windows, MySQL, MSSQL, Oracle, SIP, VNC,
CISCO, ключи WPA-PSK и т.д.).

 

THC-Hydra

Сайт:
freeworld.thc.org/thc-hydra/
Платформа: Windows, Unix

Аббревиатура THC в названии программы — уже гарант качества. Но этот проект
THC-Hydra надолго войдет в истории хакерского движения, как один из лучших
универсальных брутфорсеров. В основе программы лежит модульная структура,

поэтому проект с самого начала быстро развивался: количество поддерживаемых
протоколов росло как на дрожжах. Сейчас с помощью гидры пароль можно подобрать к
более чем 30 протоколам, включая telnet, ftp, http, https, smb, несколькими
СУБД, и т.д. Кстати, THC-Hydra
брутит и SSH, но для этого требуется наличие библиотеки libssh.

Мощнейший брутер, однако, в виду огромного количества настроек и опций далеко
не всем покоряется с первого раза :). Если со стандартной установкой
«./configure&make&make install» справляют все, то совладать с многочисленными
ключами для запуска не так просто. В качестве примера приведу несколько основных
функций:

  • -R — восстановление сессии после сбоя;
  • -e ns — проверка наличия пустого пасса и пасса, равного логину;
  • -C FILE — брут из файла с записями вида логин:пароль;
  • -o FILE — вывод результатов работы в файл;
  • -f — завершение брута после первой найденной пары логин:пасс;
  • -t TASKS — количество потоков;
  • -w TIME — тайм-аут (30 секунд по дефолту).

Подробнее об использовании Hydra ты можешь прочитать в нашей старой статье
«Брутфорс по-нашему!» (73
номер ][). К счастью, сами разработчики позаботились о графической части
утилиты, но она запуститься только под никсами.

Многопоточный брутфорсер для следующих протоколов: Samba, FTP, POP3, IMAP,
Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco, SSH, ICQ.

 

TSGrinder

Сайт:

http://www.darknet.org.uk/2008/07/tsgrinder-brute-force-terminal-services-server/
Платформа: Windows

Одна из немного утилит для подбора пароля для подключения к удаленному
рабочему столу винды по протоколу RPD. Задачу такого перебора сильно осложняет
шифрованное соединение и обмен ключами: сымитировать подобный криптообмен

данными достаточно трудно. Вторая загвоздка заключается в отсутствии к RPD
консольного режима. Но умельцы, однако, нашли способ обойти оба ограничения —
использовать стандартные средства для работы по RDP и эмулировать ввод
логина/пароля, как будто это делает сам пользователь.

За одно такое подключение тулза проверяет несколько паролей. TSGrinder может
проверить 5 паролей за одно подключение, переконнетиться и проверить пять
следующих. Одновременно с этим тулза поддерживает несколько потоков.

Основной способ атаки заключается в переборе паролей по словарю, однако также
поддерживает некоторые интересные фичи, например, так называемые
l337-преобразования, когда буквы латинского алфавита заменяются на цифры.
Забавно, что после запуска тулзы с нужными параметрами, на экране появляется
окно RPD-клиента и ты видишь, как программа перебирает разные варианты, сообщая
о результате в консоли.

Для работы утилиты необходимо установить Microsoft Simulated Terminal Server
Client tool, которую также называют roboclient. Его можно закачать с сайта

ftp://ftp.microsoft.com/ResKit/win2000/roboclient.zip.

 

Для брутфорса RPD-акков.

 

RainbowCrack

Сайт:
project-rainbowcrack.com
Платформа: Unix, Windows

Обычно, хешированный вариант пароля хранится в открытом доступе и известно,
по какому алгоритму получен этот хэш (например MD5), но обратное преобразование
считается слишком сложной операцией, требующей в общем случае перебор всех
возможных комбинаций — это ставится в основу безопасности многих современных
систем. Если же иметь сортированные таблицы хешей и соответствующие им пароли —
получим систему, которая с помощью быстрого бинарного поиска по таблице может
получать обратное преобразование хеша в пароль для любого существующего
алгоритма хеширования.

Основная проблема: таблицы всех возможных паролей занимают слишком большой
объём на дисках. Поэтому используется оригинальный формат таблиц: хеши
собираются в цепочки по несколько тысяч комбинаций — каждая следующая комбинация
получается из предыдущей очередным применением той же функции хеширования. В
таблицы записывается только начало и конец каждой такой цепочки. Для того, чтобы
найти пароль по такой таблице, нужно применить к заданному хешу точно так же
функцию хеширования несколько тысяч раз (в зависимости от используемой длины
цепочек) и на очередной итерации получим хеш, который является концом одной из
цепочек в наших таблицах. После чего прогоняем эту цепочку заново от начального
хеша до нужного нам и находим комбинацию, предшествующую нашему хешу — это и
есть искомый пароль.

RainbowCrack позволяет использовать такой подход. Смысл заключается в том,
что много времени занимает составление таблиц, зато взлом пароле осуществляется
в сотни раз быстрее, чем брутфорс. RainbowCrack поможет как составить таблицы,
так и использовать их для взлома хеша. Кстати говоря, тратить уйму времени на
составления таблиц совсем необязательно — их можно купить и частично скачать из
торрентов.

Чрезвычайно быстрое восстановление пароля по хешу с использованием
Rainbow-таблиц.

 

Md5 Crack Monster v1.1

Сайт:
www.darkc0de.com/c0de/perl/mcm.txt
Платформа: Unix, Windows

Перед тем как лезть на рожон, запуская брутфорс хеша, не поленись пробить его
по онлайн базам. Например, в gdataonline.com содержится более миллиарда
уникальных записей, а это лишь один из многочисленных проектов (некоторые из них
смотри ниже). Чтобы упростить муторное занятие по проверке хеша на различных
сервисах рекомендую тебе классный скрипт Md5 Crack Monster, написанный на Perl.
Он прочекает хеш по солидному списку сервисов и выдаст результат.

 

Поиск значения хеша в онлайн базах.

 

THC PPTP bruter

Платформа: Unix

Кто сказал, что подобрать пароль к VPN-аккаунту невозможно из-за особенностей
авторизации? Чушь! Парни из всемирно-известной хакерской группы THC уже давно
доказали обратное, выпустив public-релиз тулзы THC-pptp-bruter. Данная прога
представляет собой узкоспециализированный брутфорсер для PPTP-протокола
(1723/TCP), который действительно работает! 🙂 Правда, только в том случае,
когда сервер используют авторизацию Microsoft Window Chap V2. Спешу обрадовать:
чаще всего используется именно она, причем как на Windows серверах, так и
серьезных CISCO-системах. Что касается старой Window Chap V1, то ее поддержку
тебе, вероятно, придется реализовать самостоятельно :))

Проблема реализации брутфорса заключается в том, что Microsoft намеренно
реализовала в PPTP-протоколе систему защиты против брутфорса. Если не вдаваться
в подробности, то ее смысл заключался в установке ограничения: «за одну секунду
можно ввести только один пароль». Естественно, что с такой скоростью перебора
хакер далеко не уедет и шансы подобрать пароль будут сведены к нулю. Однако в
реализации по традиции не обошлось без изъянов, которые были опубликованы на
багтраках, а группа THC успешно заюзала их в конкретной программе. С помощью
THC-pptp-bruter можно обойти ограничения, установленные Microsoft, и добиться
скорости более чем 300-400 паролей в секунду. Эта цифра, естественно, сильно
варьируется в зависимости от задержки в доставке пакетов до сервера, так что
наибольшей скорости можно добиться в локальной сети. Огорчает лишь то, что для
работы pptp-bruter необходима пара сторонних библиотек. Без них программа
попросту не скомпилируется.

 

Для брута VPN-соединения.

 

CIFSPwScanner

Сайт:
www.cqure.net/tools/
Платформа: Windows, Unix

Сканнер для аудита стойкости паролей у CIFS/SMB-ресурсов. С его помощью ты
ловко сможешь подобрать необходимые данные для подключения к вражеской шаре в
локалке. Главное — правильно вбить необходимую команду и подготовить словарик
для брута, наполненный самыми разными человеческими мыслями и любовью. Для
CIFSPwS она выглядит так: CifsPwScanner -t server -u users [options]. Остальные
опции ты можешь посмотреть в мане к программе или в интерактивном хелпе.
CIFSPwScanner написан на Java, а поэтому может быть запущен под любой
платформой.

 

Подбор пароля к шарам.

 

piggy 1.0.1

Сайт:
www.cqure.net/tools/
Платформа: Windows

Многопоточный брутфорс Microsoft SQL серверов, реализованный в виде
консольного приложения. Поддерживает диапазонный режим сканирования, когда на
заданный пароль проверяются сразу несколько серверов, хранящих базы. Это
особенно актуально, когда ты произвёл сервисный скан подсети NMAP на порт 1433
(TCP), традиционный для этого сервиса, получил необходимый баннер базы, после
чего скормил полученные адреса piggy. Поскольку халатность администраторов
зачастую поистине безмерна, вероятность улова весьма и весьма велика. Кроме
этого piggy работает с составленными тобой файлами, для проведения атаки по
словарю.

 

Аудит паролей MSSQL-сервера.

 

Хинты по работе со словарями

Отбросить повторяющиеся пароли в файле-словаре можно с помощью стандартных
средство никсов. Для этого понадобится одна единственная команда:

cat words.txt | sort | uniq > dictionary.txt

Если ты знаешь, что политика по установке паролей не позволяет пользователям
выбирать пасс, менее чем в 6 символов длиной и содержащий как минимум одну букву
и цифру, то можно сэкономить немало времени на переборе, если предварительно
отбросить все невозможные варианты. Вместе с THC Hydra идет замечательная
утилита pw-inspector, с помощью которой из существующего словаря легко составить
новый словарик, включающий в себя только «правильные» пароли. В нашем случае это
делается так:

cat dictionary.txt | pw-inspector -m 6 -c 2 -n > passlist.txt

 

WARNING

Все программы представлены исключительно в целях ознакомления. В случае
применения их в незаконных целях редакция ответственности не несет. Более того,
это напрямую запрещается лицензиями большинства программ. Не теряй голову!

 

WWW

 

Узкоспециализированные брутфорсеры на Python и Perl:


www.darkc0de.com/bruteforce/

 

Словари для перебора:


www.passwords.ru/dic.htm

 

Онлайн сервисы для взлома хешей:

passcracking.ru

www.hashchecker.com
www.milw0rm.com
www.gdataonline.com
www.md5hood.com



Полную версию статьи
читай в июльском номере
Хакера!
Чтобы всегда иметь при себе подборку брутфорсеров, мы все скачали за тебя и
положили на наш диск. А в качестве бонуса подготовили для тебя солидную подборку
словарей!

xakep.ru

Подбираем пароли с помощью Google Chrome / Habr

Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля.

Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно взять отсюда.

В случае, если мы имеем какой-либо портал, где пользователи – это люди, то бОльшую часть уязвимых слабых паролей можно отнести к одной из 4 групп:


  1. Пароли, входящие в топ самых популярных фраз (такие как «123456», «password», и т.п.).
  2. Пароли, представляющие собой сочетание клавиш – так называемые keyboard-walks пароли (например, «qwerty», «qazwsx», и т.п.).
  3. Пароли – искажённые логины («user123», «user321», и т.п.).
  4. Либо использование в качестве пароля популярных русских слов или имён в «перевёрнутой» раскладке («ljcneg», «fylhtq»).

Вся беда в том, что большинство людей – причем как рядовых пользователей, так и администраторов систем – стремится использовать легко запоминающиеся пароли.

Из выделенных групп частых паролей вытекает, что при подборе пароля можно использовать соответственно 4 методики создания словарей:


  1. По данным сервиса haveibeenpwned.com, на сегодняшний день масштаб всеобщих утечек подбирается к цифре 5 миллиардов (вспомните myspace, linkedin, adobe и т.п). На основе части данных утечек можно выделить топ-1000 наиболее распространенных паролей. Например, так:
    cat antipublic/ exploitin/ | sed -rn ‘s/[^:]+:(.)/\1/p’ | sort | uniq -c | sort -n -r | head 1000 > top1000.txt*
  2. Чуть больше года назад от создателя инструмента hashcat появилась замечательная утилита kwprocessor. С помощью нее можно сгенерировать все возможные сочетания клавиш под любую раскладку клавиатуры:
    kwp basechars/tiny.base keymaps/en.keymap routes/2-to-10-max-3-direction-changes.route | len.bin 6 100 > keywalks.txt
  3. Получение достаточно большого количества искажений для некоторого имени пользователя проще всего сделать при помощи набора правил утилиты hashcat:
    hashcat -r /usr/share/hashcat/rules/leetspeak.rule logins.txt —stdout > login_mutations.txt
  4. Аналогично первому пункту списка, можно взять за основу словаря масштабные утечки русскоязычных ресурсов.

Собранные наборы паролей в дальнейшем могут быть «скормлены» таким утилитам как hydra, medusa, ncrack или patator, в зависимости от тестируемого сервиса.

В случае, если аутентификация реализована через web, а именно через http-формы (то есть не http-basic/digest аутентификация), то удобнее всего воспользоваться функционалом intruder от burp suite free (Рисунок 1).


Рисунок 1 — Bruteforce-атака подручными средствами

В случае с burp нужно внимательно следить за размером ответа: изменение размера ответа можешь означать, что логин или пароль присутствует в системе.

Также при bruteforce-атаках на web возможны сложности (и речь даже не про captcha):


  • Во-первых, при каждой отправке формы может использоваться токен. И после каждой неудачной попытки он может меняться.
  • Во-вторых, нет точного образца ответа сервера в случае, если пароль угадан. Более того, возможны ситуации, когда ответ на правильные и неправильные учётные данные будет идентичен, а в ответе будет просто идти редирект через заголовок Location, где уже в дальнейшем будет ясно об успешности попытки входа.
  • В-третьих, некоторые веб-сервисы при аутентификации не отправляют введённые учётные данные, как они были введены, открытым текстом. Речь про случаи, когда используется client-side хэширования, причем сами хэш-функции могут быть уникальными (не md5, sha-x и т.п.).

Впрочем, для этих сложностей можно предложить решения:


  • Разработка скрипта, который будет парсить ответ от сервера, находить там токен, после чего подставлять его в следующий запрос.
  • Разработка скрипта, выполняющего при каждом ответе редирект и сравнение длины полученного ответа.
  • Анализ javascript-кода, выполняющего те или иные преобразования с введёнными данными, а после реализация данного алгоритма в своем скрипте.

Конечно, эти случаи не так часты. Однако порою, встретив подобную веб-форму, мы лишь вручную вводим туда дефолтные учётные записи и что-то тривиальное типа admin:admin.
Но что если производить брутфорс не на уровне http, а выше, на уровне интерфейса пользователя? Ведь если внедрить в контекст тестируемого веб-приложения javascript-код, который в цикле будет подставлять в форму заданные логин/пароли и отправлять её, то достаточно легко удастся обойти все перечисленные ранее сложности. Ведь по сути, вся работа при этом совершается браузером.

Реализовать это можно с помощью расширения для браузера greasemonkey и собственного javascript-кода, который будет жёстко заточен под разметку данной html-страницы. Но писать каждый раз js-код для каждой новой страницы неудобно. Удобнее всего было бы иметь всё это в виде отдельного расширения, в данном случае – для Google Chrome.

Всё, что потребуется, чтобы воспользоваться www_brute – это открыть какой-либо интересующий сайт и нажать на иконку расширения. Если всё сделано правильно, то появится примерно следующее (Рисунок 2).


Рисунок 2 — Добавление новой цели

Чтобы приступить к настройке брутфорса, нужно нажать на единственную кнопку – «плюс».
Вся настройка проста и сводится к двум моментам:


  • Выбор полей ввода данных — кнопка со стрелкой.
  • Выбор данных для ввода — следующая кнопка.

Перед выбором полей для ввода логина и пароля на странице сайта с формой, которую предстоит атаковать, будет внедрён скрипт, который последовательно отловит три нажатия на элементы страницы. Этими элементами должны быть поле username, password и кнопка отправки формы. Перечисленные элементы должны быть выбраны именно в данной последовательности (Рисунок 3).


Рисунок 3 — Выбор полей для ввода

При каждом нажатии на соответствующий элемент он будет становиться красным, что подтверждает его выбор. После выбора кнопки отправки данных страница может перезагрузиться (если она не использует ajax), в таком случае красное выделение пропадёт, но это нормально.

Тут очень важно отметить, что элементы ввода запоминаются по html-атрибутам и их значениям. Поэтому, если после отправки формы сайт «нарисует» другую форму, то при следующей попытке подбора поле ввода не будет найдено. Хотя логика поиска полей ввода допускает не полное соответствие атрибутов, всё же данную настройку лучше производить уже после хотя бы одной неудачной отправки учётных данных. Пример – facebook.com (Рисунки 4 и 5).


Рисунок 4 — Форма до первой попытки входа


Рисунок 5 — Форма после первой попытки входа

Словари поддерживаются для имен пользователей, паролей и фиксированных пар логин: пароль (combo) (Рисунок 6).


Рисунок 6 — Словари для bruteforce-атаки

Поскольку combo-словари используются для дефолтных учётных записей либо утечек, то вначале будут выбраны именно они. Затем будет выполнен полный перебор всех сочетаний имён пользователей и логинов. Причём будет выполнен перебор по каждому паролю всех логинов – для минимизации возможных блокировок пользователей при неудачных попытках. Итого общее количество попыток можно будет вычислить по формуле:

length(combo) + length(passwords) * length(users)

По окончании всех настроек можно начинать:


Рисунок 7 — Bruteforce-атака в действии

Значения username и password в popup-окне расширения — это следующие кандидаты на ввод.
Логика работы достаточно проста и заключается в переборе всех заданных сочетаний логин/пароль, а так же пар логин: пароль в цикле до тех пор пока:


  • не кончится словарь;
  • не исчезнет поле ввода – что может означать успешность входа (либо блокировку).
    Вся статистика подбора пароля отображается в режиме реального времени:


Рисунок 8 — Процесс bruteforce-атаки на множество целей

Зелёным выделено то, что удалось подобрать, красным — безуспешная попытка. В ходе работы можно спокойно переключиться на другую вкладку либо полностью свернуть окно браузера, ведь как мы помним, брутфорс делает сам браузер, а мы лишь немного ему в этом помогаем.

Перебор пароля можно легко «распараллелить». Для этого достаточно просто открыть ещё одну или несколько вкладок на том же домене.

В любой момент времени брутфорс любого сайта может быть поставлен на паузу. Стоит заметить, что плагин не имеет обратной связи с ответами сервера, поэтому (особенно в случае с ajax) нужно правильно выбрать интервал между попытками. Не рекомендуется ставить слишком маленькое значение интервала.

Конечно данный способ никак не обходит такую вещь, как captcha, так что брутфорс таких вещей, как gmail.com и им подобных, продлится не долго. Однако в сочетании с proxy/vpn можно что-нибудь придумать…

Что же касается таких вещей, как брутфорс админок разных CMS, систем мониторинга, самописных сайтов и прочих вещей, которыми обычно пестрят сетевые периметры разных компаний, то данный способ подходит как нельзя лучше.

Плагин для chrome, а так же словарь для топ-1000 паролей доступен на тут и в webstore.

habr.com

Опубликована база с 320 млн уникальных паролей (5,5 ГБ) / Habr


Проверка аккаунтов на живучесть

Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).

Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).

Базы лежат на этой странице.

Все пароли в базе представлены в виде хешей SHA1. Перед хешированием все символы переведены в верхний регистр (прописные буквы). Трой Хант говорит, что применил функцию HASHBYTES, которая переводит хеши в верхний регистр. Так что делая свой хеш, следует осуществить аналогичную процедуру, если хотите найти совпадение.

Прямые ссылки:


https://downloads.pwnedpasswords.com/passwords/pwned-passwords-1.0.txt.7z
(306 млн паролей, 5,3 ГБ), зеркало
SHA1 hash of the 7-Zip file: 90d57d16a2dfe00de6cc58d0fa7882229ace4a53
SHA1 hash of the text file: d3f3ba6d05b9b451c2b59fd857d94ea421001b16

В разархивированном виде текстовый файл занимает 11,9 ГБ.

https://downloads.pwnedpasswords.com/passwords/pwned-passwords-update-1.txt.7z
(14 млн паролей, 250 МБ), зеркало
SHA1 hash of the 7-Zip file: 00fc585efad08a4b6323f8e4196aae9207f8b09f
SHA1 hash of the text file: 3fe6457fa8be6da10191bffa0f4cec43603a9f56

Если вы глупы бесстрашны, то на той же странице можете ввести свой уникальный пароль и проверить его на наличие в базах, не скачивая их. Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен. «Не отправляйте свой активно используемый пароль ни на какой сервис — даже на этот!», — предупреждается на странице. Программные интерфейсы этого сервиса полностью документированы, они принимают хеши SHA1 примерно таким образом:

GET https://haveibeenpwned.com/api/v2/pwnedpassword/ce0b2b771f7d468c0141918daea704e0e5ad45db?originalPasswordIsAHash=true

Но всё равно надёжнее проверять свой пароль в офлайне. Поэтому Трой Хант выложил базы в открытый доступ на дешёвом хостинге. Он отказался сидировать торрент, потому что это «затруднит доступ людей к информации» — многие организации блокируют торренты, а для него небольшие деньги за хостинг ничего не значат.

Хант рассказывает, где он раздобыл эти базы. Он говорит, что источников было много. Например, база Exploit.in содержит 805 499 391 адресов электронной почты с паролями. Задачей Ханта было извлечение уникальных паролей, поэтому он сразу начал анализ на совпадения. Оказалось, что в базе всего лишь 593 427 119 уникальных адресов и лишь 197 602 390 уникальных паролей. Это типичный результат: абсолютное большинство паролей (в данном случае, 75%) не уникальны и используются многими людьми. Собственно, поэтому и даётся рекомендация после генерации своего мастер-пароля сверять его по базе.

Вторым по величине источником информации был Anti Public: 562 077 488 строк, 457 962 538 уникальных почтовых адресов и ещё 96 684 629 уникальных паролей, которых не было в базе Exploit.in.

Остальные источники Трой Хант не называет, но в итоге у него получилось 306 259 512 уникальных паролей. На следующий день он добавил ещё 13 675 934, опять из неизвестного источника — эти пароли распространяются отдельным файлом.

Так что сейчас общее число паролей составляет 319 935 446 штук. Это по-настоящему уникальные пароли, которые прошли дедупликацию. Из нескольких версий пароля ([email protected] и [email protected]) в базу добавляется только одна ([email protected]).

После того, как Трой Хант спросил в твиттере, какой дешёвый хостинг ему могут посоветовать, на него вышла известная организация Cloudflare и предложила захостить файлы забесплатно. Трой согласился. Так что смело качайте файлы с хостинга, это бесплатно для автора.

habr.com

Лучшие программы для взлома паролей

Недавно мы опубликовали статью о надежности паролей, а также паролях, которые используются многими пользователями. Большинство людей используют слабые пароли. Но как убедится, что ваш пароль сильный? Взлом паролей — это неотъемлемая часть цифровой криминалистики и тестирования информационной безопасности.

В этой статье мы собрали лучшие программы для взлома паролей, которые могут использоваться системными администраторами для проверки надежности их паролей. Все утилиты используют различные алгоритмы и применимы к различным ситуациям. Рассмотрим сначала базовую информацию, которая поможет вам понять с чем мы будем иметь дело.

Содержание статьи:

Что такое взлом паролей?

В области кибербезопасности и криптографии взлом паролей играет очень важную роль. Это процесс восстановления пароля с целью нарушения или восстановления безопасности компьютера или системы. Итак, почему вам нужно узнать программы перебора паролей? В мирных целях можно использовать взлом паролей для восстановления забытых паролей от онлайн аккаунтов, также это используется системными администраторами для профилактики на регулярной основе.

Для взлома паролей в большинстве случаев используется перебор. Программное обеспечение генерирует различные варианты паролей и сообщает если был найден правильный. В некоторых случаях персональный компьютер способен выдавать миллионы вариантов в секунду. Программа для взлома пароля на пк проверяет все варианты и находит реальный пароль.

Время, необходимое для взлома пароля пропорционально длине и сложности этого пароля. Поэтому рекомендуется использовать сложные пароли, которые трудно угадать или подобрать. Также скорость перебора зависит от криптографической функции, которая применяется для генерации хэшей пароля. Поэтому для шифрования пароля лучше использовать Bcrypt, а не MD5 или SHA.

Вот основные способы перебора пароля, которые используются злоумышленниками:

  • Атака по словарю — для атаки используется файл, который содержит список слов. Программа проверяет каждое из слов, чтобы найти результат;
  • Атака Bruteforce — можно не использовать словарь, а перебирать все комбинации заданных символов;
  • Атака с помощью радужных таблиц — в атаке используются предварительно вычисленные хэши, поэтому она быстрее.

Есть и другие методы взлома паролей, основанные на социальной инженерии, но сегодня мы остановимся только на атаках без участия пользователя. Чтобы защититься от таких атак нужно использовать только сложные пароли. А теперь рассмотрим лучшие инструменты для взлома паролей 2017. Этот список опубликован только для ознакомительных целей и мы ни в коем случае не призываем взламывать чужие личные данные.

Лучшие программы для перебора паролей

1. John the Ripper

John the Ripper — это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си. Здесь собраны различные методы перебора паролей.

Программа способна перебирать пароли по сохраненному хэшу, и поддерживает различные алгоритмы хэширования, в том числе есть автоматическое определение алгоритма. John the Ripper относиться к набору инструментов для тестирования безопасности от Rapid7. Кроме Linux поддерживается Windows и MacOS.

2. Aircrack-ng

Aircrack-ng — это набор программ для взлома и перехвата паролей от wifi сетей. Программа — одна из лучших, которые используются хакерами. Здесь есть все необходимое для взлома WEP и WPA шифрования, начиная от перехвата хэша, и до получения готового пароля.

Особенно легко поддается взлому шифрование WEP, для преодоления защиты существуют атаки PMS и PTW, с помощью которых можно взломать этот протокол в считаные минуты при достаточном потоке трафика через сеть. Поэтому всегда используйте WPA2 чтобы быть в безопасности. Тоже поддерживаются все три платформы: Linux, Windows, MacOS.

3. RainbowCrack

Как следует из названия, RainbowCrack использует радужные таблицы для взлома хэшей паролей. С помощью уже готовых таблиц утилита очень сильно уменьшает время взлома. Кроме того, есть как графический интерфейс, так и утилиты командной строки.

После завершения этапа предварительных вычислений этот инструмент работает в сотни раз быстрее чем при обычном переборе. Вам не нужно самим создавать таблицы, разработчики уже создали их для LM, NTLM, MD5 и SHA1. Все доступно бесплатно.

Еще один важный момент — это ускорение с помощью GPU. С помощью использования видеокарты вы можете снизить время вычисление пароля еще на несколько порядков. Поддерживаются платформы Windows и Linux.

4. THC Hydra

В отличие от выше перечисленных программ, Hydra работает по-другому. Она не вычисляет хэши. Вместо этого, программа выполняет атаки перебора на различные сетевые протоколы. Здесь поддерживаются Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH и многие другие. Основная цель утилиты — атаки перебора на форму ввода пароля.

Этот инструмент помогает исследователям безопасности узнать насколько легко можно получить доступ к удаленной системе. Для расширения функций можно добавлять модули, поддерживается Linux, Windows, Solaris, FreeBSD и MacOS.

5. HashCat

По заявлениям разработчиков — это самый быстрый инструмент для перебора паролей. Он распространяется в качестве свободного программного обеспечения и поддерживает такие алгоритмы: md4, md5, LM, SHA, MySQL, Cisco PIX и Unix Crypt.

Есть версии инструмента для перебора на CPU, а также взлома на основе GPU — oclHashcat и cudaHashcat. Кроме стандартной атаки Bruteforce, поддерживаются атаки по словарю, гибридные атаки по самые, по таблицам, Prince и так далее. Из платформ поддерживаются Windows, Linux и MacOS.

6. Crowbar

Crowbar — это популярный инструмент для тестирования безопасности паролей. Другие программы перебора паролей используют логины и пароли пользователей, но crowbar позволяет перебирать ключи SSH.

Этот инструмент с открытым исходным кодом создан для работы с протоколами, которые редко поддерживаются другими программами. Сейчас поддерживается VNC, OpenVPN, SSP, NLA. Программа может работать на Linux, Windows и MacOS.

7. coWPAtty

Это реализация утилиты для перебора пароля от WPA/WPA2 PSK на основе словаря или радужных таблиц. Использование радужных таблиц очень сильно ускоряет работу утилиты. Стандарт PSK используется сейчас очень часто. Радует только то, что перебрать пароль очень сложно, если он был изначально выбран правильным.

Выводы

В этой статье мы рассмотрели лучше программы для взлома паролей 2017, которые могут использоваться как злоумышленниками, так и системными администраторами для проверки надежности паролей пользователей. Обязательно устанавливайте сложные пароли для своих устройств и аккаунтов, а также если вы системный администратор, следите за  безопасностью паролей пользователей вашей компании.

Оцените статью:

Загрузка…

losst.ru

Как организовать брутфорс-сервис? — «Хакер»

Мне всегда нравилось, как люди совершенно легально зарабатывают деньги на околохакерских сервисах. Полностью автоматизированные механизмы избавляют от рутинных действий — надо лишь поддерживать работу софта и серверов. Деятельность ведется в рамках закона, что исключает возможное давление со стороны органов. Аспект работы в области ИБ греет душу :). Примеров таких разработок можно привести множество.

Веб-фронтенд для криптора, который упаковывает исполняемые файлы, тем самым усложняя анализ и обнаружение малвари антивирусами. Или сервис для взлома CAPTCHA, предлагающий разработчикам ботов специальный API, через который можно загрузить на сервер картинки, которые практически мгновенно будут распознавать кропотливые китайцы за ошеломляюще низкую таксу вроде «1000 CAPTCHA = $1». Последний тренд — это облачные сервисы для выполнения ресурсоемких задач. Хорошим примером тут является WPA Cracker (wpacracker.com), который за небольшую плату ($17) позволяет выполнить брутфорс-атаку на защищенную WPA-PSK беспроводную сеть.

Напомню, перебор — это единственный способ подобрать ключ для закрытой сети Wi-Fi (да и то исключительно при наличии дампа трафика с перехваченной последовательностью авторизации, так называемого WPA Handshake). А занять он может дни, месяцы, годы. Для увеличения эффективности перебора сначала использовались специализированные словари, потом были сгенерированы радужные таблицы, позже появились утилиты, задействовавшие технологии NVIDIA CUDA и ATI Stream для аппаратного ускорения процесса за счет GPU, и вот теперь в нашем распоряжении — облачные сервисы. Тот же WPA Cracker предлагает доступ к кластеру из 400 CPU, осуществляющему перебор по словарю со 135 миллионами слов. На обычном двухъядерном компе такой перебор занял бы 5 дней, а на мощностях кластера — 20 минут.

Может показаться, что реализовать чтото подобное — чрезвычайно сложная задача. На самом же деле все в точности наоборот. С развитием облачных платформ создать такой сервер и даже начать на этом зарабатывать стало реально как никогда. В статьях прошлого номера мы рассказывали о PR-акции от Amazon Web Services (aws.amazon.com), в рамках которой каждый может бесплатно попробовать облачные технологии компании, а также на примере разобрались, как легко и быстро использовать технологию, запустив сервер и подняв на нем VPN-демон (см. PDF-версию статьи на диске). Чем это лучше обычного хостинга или дедика? Очень просто: AWS за считанные секунды позволяет запустить сколько угодно таких серверов (или, если говорить в терминах технологии, инстансов) и платить только за фактическое время их использования.

При таком раскладе идея создать кластер для решения ресурсоемких задач, который включался бы по требованию, напрашивается сама собой. Тем более, что Amazon предоставляет мощный и понятный API, позволяя автоматизировать управление серверами с помощью элементарных скриптов. Начинает вырисовываться понятная схема: один инстанс, самой простой конфигурации, должен работать постоянно и принимать от пользователя запросы на выполнение перебора. А непосредственно кластер автоматически включается по требованию, причем строго на то время, которое потребуется для решения задачи. Но это еще не все.

С недавнего времени компания пополнила ряд возможных конфигураций инстансов, добавив в него так называемые Cluster GPU Instances. Эта конфигурация оснащена сразу двумя GPU-картами NVIDIA Tesla Fermi M2050, каждая из которых содержит 448 ядер и 3 Гб памяти. Надо ли говорить, что это настоящее сокровище для тех пока немногочисленных утилит, которые умело используют технологии акселерации за счет GPU? Впрочем, даже если не брать в расчет этот приятный факт, конфиг инстанса как нельзя более подходит для решения ресурсоемких задач: 22 Гб оперативной памяти, 2 четырехъядерных процессора, 1690 Гб памяти локального диска, 64-битная система. В том, как начать работу с сервером и запустить свои инстансы, можно разобраться за десять минут. По сути, нужно только выбрать готовый образ с операционной системой.

Проверенный вариант — Cluster Instances HVM CentOS 5.5, для которого поддержка CUDA является встроенной по умолчанию, поэтому потребуется минимум дополнительных настроек. В момент создания сервера выбираем AMI-образ с идентификатором ami-aa30c7c3 и тип инстанса Cluster GPU (cg1.4xlarge, 22GB). Вот так: всего несколько кликов мыши — и мы имеем в распоряжении мощный сервер, к которому легко подключиться по SSH и установить приложения, которые используют технологию CUDA.

Для примера можно попробовать хэш-крякер CUDA-Multiforcer (на официальном сайте cryptohaze.com помимо дистрибутива ты найдешь еще и радужные таблицы) или, если возвращаться к нашему примеру, прогу для брута WPA/WPA2-PSK — Pyrit (code.google.com/p/pyrit). Для запуска, правда, придется чуть поработать напильником. Но все необходимые правки конфига подробно описаны в мануале bit.ly/ec2-gpu.

Запустить такой сервер для нас — дело пары секунд. Но самое главное, что еще через пару секунд мы можем получить второй такой же инстанс. Вот уже и кластер. Добавляем третий, четвертый и так далее.

По умолчанию каждый аккаунт в Amazon может использовать до восьми инстансов Cluster GPU, но этого вполне должно хватить. Тем более, что за использование каждого сервера придется платить. И немало — $2.10 за час.

xakep.ru

Взлом пароля методом грубой силы. Изучаем bruteforce атаку.

В области информационной безопасности и тестах на проникновения, не редко возникает задача, когда нужно взломать пароль. Это может быть хеш пароля администратора системы Windows, пароль к беспроводной точке доступа или любой другой хеш, который вам удалось добыть. В этих случаях для взлома хеша и получения пароля, используется техника — хешкракинг.

Что такое хешкрекинг?

Восстановление паролей к хешам, или хешкрекинг (от англ. hash cracking), — весьма увлекательный процесс, для которого требуются хорошие знания в различных областях — криптографии, комбинаторике, программировании и многом другом. Нужно также отлично разбираться в железе, чтобы обеспечить бесперебойную работу своей фермы в течение многих недель и месяцев при максимaльной загрузке.

При этом настоящий хешкрекер часто полностью изолирован от этапов извлечения хешей и применения сломанных паролей для доступа к чужим аккаунтам. Более того — ему это неинтересно, он же не хакер. На всех хешкрекерских форумах публикуются только хеши (или списки хешей) для расшифровки. Эти списки не содержат ни имени ресурса, ни имен пользователей, ни почтовых ящиков, ни IP-адресов, никакой другой приватной информации. Поэтому, даже сломав пароль, хешкрекер никогда его не применит, так как просто не знает — откуда он. А если б и знал — все равно не применит, так как его цель — сам процесс хешкрекинга, ведь для него это почти искусство.

Большинство хешкрекеров на форумах — этакие робин гуды. Они тратят свое время и ресурсы на то, чтобы помочь сломать хеши другим пользователям, и при этом непрерывно накапливают себе новые пароли и правила их формирования. Для них любые хеши — этo вызов их интеллекту, их опыту, их мастерству. И эти парни находят сложнейшие пароли, которые никто другой восстановить не может. Как у них это получается? Каким софтом и железом они пользуются? Что еще нужно знать, чтобы ломать хеши так же эффективно, как они? Об этом мы и расскажем в нашей статье.

Хеши и пароли пользователейХеши и пароли пользователей

Софт

Сейчас хешкрекинг в основном производится на видеопроцессорах (GPU). На обычных процессорах (CPU) брутятся только те алгоритмы, которые не реализованы под GPU. Для брута на GPU фактичeски уже стандартом стало использование программы oclHashcat, имеющей сборки как для Windows, так и для Linux, а также поддерживающей все современные видеопроцессоры — и NVIDIA, и AMD. Совсем недавно ее автор перевел программу в разряд Open Source, и теперь она доступна на GitHub, так что каждый желающий может присоединиться к работе над ее новыми версиями.

Для распределения работы этой программы между несколькими компьютерами используется оболочка hashtopus. Другим популярным GPU-брутфорсером остается нестареющий John the Ripper (JtR) в сборке Jumbo, который также имеет множество алгоритмов под все видеокарты, но для получения максимальной эффективности его желательно все-таки пересобирать под каждую конкретную конфигурацию железа.

Для работы на CPU программ гораздо больше, но самыми функциональными остаются все те же hashcat и JtR. Еще можно к ним добавить программу Hash Manager, которая больше заточена под обработку хешей в «промышленных масштабах», то есть очень крупных списков, которые не удается загрузить в другие программы. Все эти программы бесплатные, и каждый решает сам, что выбрать себе для ежедневной работы, только практика показывает, что желательно уметь владеть всем этим софтом — как правило, профессиональные хешкрекеры используют ту или иную программу в зависимости от конкретной ситуации.

Еще нужно учесть, что все эти программы консольные, не имеют встроенного GUI и, чтобы использовать их максимально эффективно, нужно уметь работать в консоли (см. врезку). А в идеале еще нужно уметь программировать командные файлы (BAT или CMD), чтобы максимально гибко настраивать работу программ. Тогда можно однократно составить для себя комплект командных файлов для разных атак, а потом, когда все настроено, весь хешкрекинг сведется к заполнению файла нужными хешами и запуску того или иного командного файла c определенными параметрами.

Консоль — райский дом хешкрекера

Самый продвинутый хешкрекерский софт — консольный и управляется либо через параметры командной строки, либо через редактирование файлов конфигурации. Но тенденция такова, что пользователи все дальше и дальше уходят от консоли, требуют графического интерфейса и наиболее популярный вопрос с форумов по работе с такими программами звучит так: «Я запустил программу, выскочило черное окно и закрылось. Что делать?» Ответ очевиден — изучать консоль.

FAR Manager для WindowsСкорее всего, линуксоиды и так владеют навыками работы в консоли, а вот для пользователей Windows лучшим выбором будет программа FAR Manager. С ее помощью очень удобно работать со списками хешей и другими файлами. А если ее объединить с дополнительными инструментами (например, из состава программы Hash Manager), то получится просто убойный комплект, позволяющий обрабатывать любые файлы буквально за секунды.

Для этого нужно через пользовательское меню (по нажатию F2) на нужные клавиши назначить самые часто используемые инструменты — отсортировать файл, извлечь пароли из файла результатов, подсчитать количество строк в файле и так далее. После этого вся работа с нужным файлом сведется к трем действиям — встать на него курсором, вызвать F2 и нажать горячую клавишу.

После того как полностью настроишь FAR под себя — цветовой раскраской файлов, быстрыми клавишами для инструментов, быстрыми переходами в нужный каталог и так далее — вся рутинная работа хешкрекера станет очень комфортной, а значит — и очень эффективной.

Железо

Хешкрекеры в плане железа почти ничем не отличаются от майнеров криптовалют и собирают себе такие же фермы на видеокартах. Правда, в них не десятки видеокарт, но наличие нескольких мощных видеокарт — это уже почти норма для брута хешей.

Хорошая настольная ферма для брута хешей на пяти видеокартахХорошая настольная ферма для брута хешей на пяти видеокартах

Требования к ферме такие же, как и при майнинге криптовалют, то есть нужно хорошее охлаждение, стабильное электропитание и грамотное размещение видеокарт, чтобы они не нагревали друг друга. До недавнего времени основными видеокартами для брута служили (как и в майнинге) видеокарты на процессорах AMD, так как они были более эффективны по соотношению цена/скорость. Однако после релиза архитектуры sm_50 (Maxwell) от NVIDIA выяснилось, что она лучше для брута, при этом видеокарты с такой архитектурой потребляют гораздо меньше электроэнергии, а также более тихие и холодные. И сейчас эффективнее всего для брута хешей карты NVIDIA GTX 980Ti.

GTX 980Ti — отличный выбор для хешкрекингаGTX 980Ti — отличный выбор для хешкрекинга

И недаром же на форуме InsidePro все больше и больше хешкрекеров переходят на эти видеокарты (судя по подписям в их сообщениях) — при пиковом потреблении всего 165 Вт на алгоритме MD5 они выдают скорость порядка 15 миллиардов паролей в секунду. Но у них один недостаток — высокая цена, которая практически не снижается, а в связи со скачком курса доллара она поднялась еще больше. Если же основной критерий — цена, а все остальные параметры не важны, то можно взять видеокарты на процессорах AMD и упаковать ими свою ферму. К примеру, обычная цена системы c двумя средними видеокартами составляет около 1200–1300 долларов.

Что касается CPU, то тут все просто — чем больше ядер, выше частота и больше объем кеша, тем быстрее будет идти перебор. Мощный процессор позволит как использовать ферму для перебора паролей на GPU, так и параллельно с ними нагружать CPU второстепенной работой — например, проверкой других хешей по словарям, пока все GPU заняты гибридной или комбинированной атакой. Поддержка новейших наборов команд (SSE и AVX последних версий) также необходима, так как почти все вышеперечисленные программы имеют код, заточенный под эти наборы команд, что существенно увеличивает скорость перебора.

А есть хоть что-то, в чем CPU еще может конкурировать с GPU по скорости брута? При небольших объемах — нет, конечно. Но вот на больших списках хешей в десятки миллионов хешей (особенно соленых) очень часто обработка списка на CPU дает такую же скорость или даже большую, чем на видеокарте. А уж сотни миллионов хешей в GPU часто просто не загрузить физически — остается только разбивать список на более мелкие фрагменты и брутить их по очереди, но это пропорционально увеличивает время атаки, в то время как на CPU можно загрузить и обработать весь список за один заход, если позволяет объем RAM.

И есть еще одна тема, где со временем CPU может обогнать GPU, — это сопроцессор Intel Xeon Phi. Да, его цена пока очень высока, но, возможно, со временем она станет приемлемой, и его можно будет прикупить и задействовать для брута хешей на домашнем компьютере. Вот тогда может получиться очень мощная система, так как в нем присутствует около 60 четырехъядерных процессоров (в зависимости от модели), а это даст нам до 240 потоков для перебора. На тяжелых алгоритмах типа bcrypt (которые очень медленны даже на видеокартах) этот сопроцессор может быть в разы быстрее даже самых топовых видеокарт, так что не зря ребята из команды john-users прозвали его «убийцей bcrypt». Правда, хешкрекерского софта под него в паблике пока нет, но со временем он обязательно появится.

Вычислительные сопроцессоры Intel Xeon Phi, базирующийся на архитектуре Many Integrated CoreВычислительные сопроцессоры Intel Xeon Phi, базирующийся на архитектуре Many Integrated Core

Конечно, читатель может возразить — а как же микросхемы FPGA (ПЛИС), выдающие при майнинге того же биткойна огромные скорости? Да, они выдают даже терахеши в секунду, только они запрограммированы под единственный алгоритм SHA-256, который при хешировании обычных паролей пользователей применяется весьма редко (а другой популярный алгоритм майнера — SCRYPT — применяется еще реже). Плюс сама по себе микросхема ПЛИС выдает невысокую скорость, а терахеши получаются путем объединения десятков (а то и сотен микросхем) в матрицы, а это уже недешевое решение. Но главный недостаток всех ПЛИС — они программируются только на брут одиночного хеша. Конечно, на эти микросхемы уже портировано множество алгоритмов, включая MD5, но практической пользы от этого мало — выгодней купить видеокарту. Хотя и Altera, и Xilinx развивают свои линейки ПЛИС весьма активно, и со временем эта тема тоже может стать очень интересной для хешкрекера.

Можно ли заработать на хешкрекинге?

Да, конечно. Как правило, заработать можно в любом деле, главное — быть в этом деле профессионалом. И хешкрекинг — не исключение. На всех хешкрекерских форумах есть платные разделы, где размещаются заказы на взлом хешей. Имея хорошие словари, можно попробовать свои силы во взломе таких хешей. Только надо учитывать, что основное правило на таких форумах — кто первый сломал хеш, тот и получает плату за него. Поэтому мощное железо просто необходимо, чтобы успеть сломать хеш быстрее других хешкрекеров. Как правило, взлом таких хешей и составляет основной доход хешкрекера.

Есть еще вариант заработка, набирающий популярность в последнее время, но он уже для владельцев крупных ферм. Можно такие фермы сдавать в аренду хешкрекерам с посуточной оплатой: часто бывает так, что нужно быстро пробрутить особо ценный хеш на хорошую глубину, а мощности одной или даже нескольких видеокарт явно недостаточно. Или же крупные мощности могут потребоваться на время проведения конкурсов по хешкрекингу.

 

 

Словари

Успех в хешкрекинге основан на хороших словарях, желательно состоящих из реальных паролей пользователей. Где же их взять? Есть три пути, рассмотрим их подробнее.

  1. Скачать из интернета готовые словари (погуглив слово wordlist). Это самый простой способ, но и словари эти весьма низкого качества — в них много мусора и искусственно нагенерированных слов, а мало реальных паролей. Так что этот вариант — если только на первое время.
  2. Скачать вложения (аттачменты) к сообщениям о сломанных хешах на форумах InsidePro и HashKiller — там часто размещаются просьбы о помощи при бруте крупных списков, и другие форумчане помогают, выкладывая свои результаты в формате хеш:пароль. А значит, можно накачать себе таких файлов и извлечь оттуда все пароли. Это уже будут очень хорошие словари, но у них будет один недостаток — все пароли из таких словарей лежат в паблике и доступны также и всем остальным хешкрекерам.
  3. Нарабатывать словари самому, постоянно обрабатывая списки невзломанных хешей, которые можно накачать с тех же форумов. Это самый действенный метод, хотя и самый долгий. Однако такие словари — наиболее ценные, так как содержат только реальные, уникальные и часто приватные пароли. У профессиональных хешкрекеров есть даже такой термин, как «майнинг реалпассов», то есть если есть платные хеши — ферма брутит их, если их нет — ферма не простаивает, а сутками брутит списки несломанных хешей с форумов, непрерывно нарабатывая все новые и новые уникальные пароли в копилку хешкрекера.

Очевидно, что тот, кто серьезно занимается хешкрекингом, идет по последнему пути и постепенно накапливает свой собственный и очень эффективный словарь.

Частотные словари

Допустим, имеется огромный список соленых хешей, который надо быстро обработать. Как это сделать, если атака по большому словарю даже на мощной ферме будет идти много суток, а то и недель? Ответ один — использовать частотные словари.

Что это такое? Это обычные словари, но в них пароли отсортированы в порядке убывания частоты их употребления. В таких словарях первыми идут наиболее популярные пароли — см. примеры таких словарей в дистрибутиве программы Hash Manager, файлы Top100xx.dic. Очевидно, что эффективней проверить хеши сначала на самые часто употребляемые пароли, затем — на более редкие и так далее. Это позволит быстро сломать все популярные пароли и существенно облегчить список хешей для последующей работы.

Таким образом, накопив порядочно словарей, можно собрать по ним статистику, сформировать собственный частотный словарь и обработку всех тяжелых списков хешей начинать именно с него.

Дополнительные инструменты

Программы для брута хешей — это лишь малая часть софта из арсенала хешкрекера. Вернее, это его самая простая часть — взял файл с хешами, настроил нужные атаки и запустил. Всё — программа может крутиться сутками. Только поглядывай, сколько процентов хешей сломано.

Обычно через хешкрекера проходит множество всевозможных текстовых файлов:

  • списки хешей в разных видах и форматах, часто с перемешанными хешами разных типов, и нужно извлечь хеши отдельно по каждому алгоритму;
  • словари, которые надо чистить, сортировать, удалять повторы;
  • накопленные результаты брута, в которых часто перемешаны и несоленые хеши с паролями, и соленые хеши с паролями и так далее.

В общем, сотни и тысячи подобных разнородных файлов — это еще та головная боль. И все выкручиваются по-разному — кто-то в том же линуксе делает часть работы командами самой ОС (например, grep), кто-то пишет себе скрипты на Perl, кто-то использует различные программы. Но факт очевиден — помимо брутфорсеров, нужны еще инструменты, которые должны работать с текстовыми файлами: сортировать, чистить, конвертировать из одного формата в другой, извлекать или переставлять данные, проверять формат и так далее.

Без этих инструментов работать крайне сложно, и поэтому с каждым брутфорсером обычно поставляется свой комплект различных утилит. И hashcat имеет такой комплект, и JtR тоже, но самый крупный комплект утилит под Windows имеет программа Hash Manager. В ней более 70 инструментов, построенных по принципу одна функция = один файл. Таким образом, из них, как из кирпичиков, можно собрать BAT-файл, выполняющий обработку файлов любой сложности. А 64-битные версии инструментов позволяют обрабатывать файлы неограниченного размера.

Вот пример BAT-файла, демонстрирующий, как из списка, в котором перемешаны хеши разных типов, вытащить только хеши от Magento с двухсимвольной солью:

REM Извлекаем только строки длиной 35 символов ExtractLinesByLen.exe %1 35 35
REM Переименовываем файл с извлеченными строками в файл 2.txt
MOVE /Y %1.Lines 2.txt
REM Проверяем формат хешей IsCharset.exe 2.txt ?h 1
REM Проверяем формат соли IsCharsetInPos.exe 2.txt 33 ':' IsCharsetInPos.exe 2.txt 34 ?l?u?d
IsCharsetInPos.exe 2.txt 35 ?l?u?d
REM Готово! В файле 2.txt остались только хеши от Magento

Алгоритмы хеширования

С одной стороны, набор актуальных алгоритмов хеширования почти не меняется со временем. Причины просты — алгоритмы хеширования паролей пользователей ОС не меняются годами, да и в интернете сотни тысяч ресурсов все еще базируются на устаревших движках, и обновление версий не происходит, несмотря на то что все новые версии форумов и CMS уже поддерживают более надежное хеширование — например, в IPB версии 4 уже сразу стоит алгоритм bcrypt. С другой стороны, небольшие изменения все-таки происходят — все больше начинает попадаться очень тяжелых алгоритмов — различные варианты PBKDF2 и тот же bcrypt, которые брутятся с мизерной скоростью даже на фермах.

Всего же известны уже сотни алгоритмов, примеры их хешей можно посмотреть здесь. Подавляющее большинство алгоритмов хеширования базируется на каком-либо из стандартных алгоритмов — MD5, SHA-1, SHA-256 и SHA-512 или на их комбинациях. Брутфорсеры давно уже поддерживают десятки таких алгоритмов в GPU-версиях и сотни алгоритмов в CPU-версиях.

Работа с любым хешем начинается с анализа его формата. Если он имеет какую-то знакомую сигнатуру (см. примеры хешей выше), то сразу понятно, каким алгоритмом его брутить. Если же хеш без сигнатуры, то анализируется движок того форума или CMS, откуда он взят. Большой список движков с описанием алгоритма в каждом из них имеется здесь. Если же движок известен, а алгоритм хеширования так и не понятен, то можно попробовать поискать в интернете дистрибутив этого движка и проанализировать его исходники, в части кода авторизации пользователей.

Если же исходников движка нет, тогда нужно заполучить хеш от какого-то заранее известного пароля — например, зарегистрировать пару новых пользователей на форуме, желательно с одинаковым простым паролем вида 123456. Если их хеши будут одинаковы (считаем, что доступ к хешам у хакера есть), значит, при хешировании используется только пароль. Если разные, то к паролю подмешивается еще что-то, уникальное для каждого пользователя, — соль, логин, email. А дальше можно попробовать подобрать алгоритм по имеющемуся паролю и хешу. Например, в программе Hash Manager, в папке Bonus\SearchAlgorithm есть BAT-файл для автоматического поиска алгоритма по всем доступным в программе алгоритмам (около 400), включая проверку паролей в кодировке Unicode, а также соли (или имени пользователя) в шестнадцатеричном виде.

Ну а если так и не удается определить алгоритм, то можно спросить на форуме — например, здесь. Вдруг кто-то уже сталкивался с такими хешами?

По другую сторону баррикады

Теперь посмотрим на хеши глазами администратора того ресурса, который он хочет максимально защитить от взлома. Как можно усложнить жизнь хешкрекеру или вообще сделать так, что хеши пользователей станут неломаемыми?

Иногда для этого достаточно перейти на самую свежую версию движка и выбрать алгоритм, самый медленный по скорости брута. Но если обновление движка не планируется, а администратор хочет максимально обезопасить пароли своих пользователей от подбора, то есть другой вариант — пропатчить код проверки пароля так, чтобы у всех вновь зарегистрированных пользователей (или сменивших свои пароли после определенной даты) пароли хешировались по-другому. Как?

Конечно, можно использовать любой стандартный тяжелый алгоритм из Linux-функции crypt() — sha512crypt или bcrypt. Но если удастся заполучить такие хеши, то хешкрекер по сигнатурам сразу определит алгоритм и сможет ломать хеши (хоть и медленно). Вывод — нужно хешировать пароли так, чтобы хешкрекер не мог однозначно определить алгоритм по виду хеша, а это делается только нестандартными методами.

Например, можно подмешивать к паролю статическую соль (пусть даже одинаковую для всех, но очень длинную — 200–500 символов) и хешировать обычной PHP-функцией md5. Этой соли в БД форума нет (как, например, в движках vBulletin или osCommerce), она прошита только в PHP-коде, доступ к которому получить гораздо сложнее, чем к хешам. Но даже если заполучить эту соль, то почти нет брутфорсеров, поддерживающих работу с такой длинной солью (во всяком случае, на GPU — точно нет).

Другой вариант — циклически хешировать обычный MD5 от пароля этак 50–100 тысяч раз. На скорости авторизации пользователей это почти не скажется, но скорость брута таких хешей будет мизерной (при условии, что еще удастся выяснить количество итераций — опять же, только из PHP-кода). А если не удастся — то их вообще не сбрутить.

Еще можно взять более длинный хеш от другого алгоритма (например, SHA-256 или SHA-512) и вместо цельного хеша хранить в БД его фрагмент размером 32 символа из середины хеша (да еще и байты можно переставить). Хешкрекер, увидев такой хеш, будет уверен, что это MD5 (или его модификация), и будет пытаться сбрутить его, но бесполезно.

В общем, тут фантазия безгранична — автор за годы работы с хешами сталкивался с массой различных хитроумных видов хеширования, но факт налицо — очень много дампов от самописных CMS, или от коммерческих CMS без доступных исходников, или от пропатченных (по-видимому) форумов, и CMS остаются до сих пор несломанными. Что там внутри намешано при хешировании — неизвестно.

И нестареющий совет всем пользователям: самый надежный вариант защитить свой аккаунт от взлома, даже если был получен доступ к хешу от вашего пароля, — использовать длинный пароль, состоящий из случайных символов. Такие пароли не ломаются!

Конкурсы по хешкрекингу

А где хешкрекер может посоревноваться с другими хешкрекерами в своем умении ломать хеши? Конечно же, на конкурсах! Основные — конкурс Crack Me If You Can, проводимый фирмой KoreLogic в рамках ежегодной конференции DEF CON, и конкурс Hash Runner на ежегодной конференции Positive Hack Days.

Правила этих конкурсов весьма просты — нужно за ограниченное время (как правило, за 48 часов) сломать как можно больше конкурсных хешей и выполнить дополнительных заданий, также связанных с хешами. И так как время сильно ограничено, то на время таких конкурсов хешкрекеры всегда объединяются в команды.

Исторически сложилось так, что с самых первых конкурсов сформировались три основные команды — InsidePro, hashcat и john-users, которые все эти годы стабильно делили меж собой три призовых места в различных комбинациях. Даже по названиям команд уже очевидно, вокруг какого софта или сайта они объединились. В составе каждой из команд есть автор этого софта, и причина этого тоже понятна — на конкурсах всегда встречаются новые или видоизмененные алгоритмы хеширования, и нужно очень быстро модифицировать программу-брутфорсер или добавить в нее новый алгоритм. Тому, кто не имеет возможности быстро (часто за несколько часов или даже минут) перекроить софт под нужные фишки, очень сложно претендовать на приз.

Все отчеты о конкурсах доступны на сайтах команд, а также на сайтах организаторов — например, тут.

Архивное фото — организаторы конкурса по хешкрекингу на DEFCON 2012Архивное фото — организаторы конкурса по хешкрекингу на DEFCON 2012

К сожалению, других крупных конкурсов по хешкрекингу нет. Иногда бывают небольшие конкурсы на хешкрекерских форумах, но их размах гораздо меньше. А с другой стороны, многие профессиональные хешкрекеры всегда находятся в «режиме конкурса», так как на форумах периодически размещаются хеши стоимостью в сотни и даже тысячи долларов, поэтому сразу после их опубликования хешкрекеры включаются в борьбу за этот хеш, чтобы обойти других, первому сломать пароль и получить «приз», то есть плату за пароль.

Заключение

Усложнение алгоритмов хеширования и применение пользователями все более сложных и длинных паролей компенсируется увеличением вычислительной мощности хешкрекера и созданием все более мощных ферм, которые ломают хеши на таких скоростях, которые мы даже не могли себе представить еще несколько лет назад.

Но главное в том, что сама идеология — хранение паролей пользователей в виде хешей — многие годы уже не меняется, и это относится как к паролям пользователей интернет-ресурсов, так и к пользователям всевозможных операционных систем, а значит, знания в области хешкрекинга будут актуальны и на все ближайшие годы!

Как сломать хеш, если под руками нет ни железа, ни софта?

Для этого можно проверить свой хеш в онлайн-базах хешей типа www.cmd5.ru. Или сразу на сервисах типа www.hashchecker.de, которые проверяют хеш массово в десятках баз, и, может быть, тебе повезет.

Но у таких сервисов есть недостаток — в основном они содержат хеши от искусственно сгенерированных паролей. Пока единственный сервис, где собраны только реальные хеши и пароли пользователей, — Hash Finder. На нем уже накоплено более 500 миллионов таких хешей и паролей — все они были кем-то когда-то реально использованы, поэтому процент найденных паролей на нем гораздо выше, чем на других сервисах.

Еще вариант — разместить свой хеш (или список хешей) на одном из хешкрекерских форумов, где всегда можно получить помощь. Самые популярные форумы: forum.insidepro.com, forum.hashkiller.co.uk, forum.antichat.ru/forums/76.

Также можно разместить свой хеш и в платных ветках этих форумов, указав цену за найденный пароль. Тогда с ним гарантированно начнут работать десятки хешкрекеров, и высока вероятность взломать пароль.

geekmaze.ru