Durante la auditoría de contraseñas, encontré la clave de pimienta utilizada a lo largo de la sal durante el hashing de contraseñas. Quiero saber cómo puedo romperlo usando hashcat / oclhashcat?
Por lo que puedo decir, estos son los siguientes formatos de soporte hashcat:
sha256($pass.$salt) sha256($salt.$pass) Lo que me gustaría tener son:
sha256($pass.$salt.**$pepper**) sha256($salt.$pass.**$pepper**) Suponiendo que el pepper es el mismo para todas las contraseñas, puedes usar un ataque híbrido con un Diccionario y una máscara estática (que consiste en la pimienta) para cubrir el segundo caso. Alternativamente, puedes usar un ataque de máscara con una máscara que termina en los caracteres estáticos del pimiento.
Para el primer caso, solo agregue el pepper al archivo de entrada de tal manera que
<salt>:<hash>
se convierte en
<pepper><salt>:<hash>
Lea otras preguntas en las etiquetas password-cracking hashcat