John the Ripper Brute Force no funciona (Windows Hash)

2

Estoy haciendo una prueba para una clase en Kali Linux, descifrando una contraseña de Windows 7. Monté el disco duro de Windows en Kali, ejecuté PWDUMP7 y guardé los hashes guardados en el escritorio. Solo muestra a algunos de los usuarios, pero no a ninguno que haya creado para probar ... ese es otro problema por sí mismo. El administrador del sistema predeterminado 'IEUser' debería al menos funcionar, ¿no?

Aislé ese hash en una sola línea .txt: IEUser: 1000: aad3b435b51404eeaad3b435b51404ee: 8846f7eaee8fb117ad06bdd830b7586c :::

Cuando ejecuto JtR en modo de lista de palabras, la contraseña se quiebra fácilmente de la lista de palabras ('1234'). Cuando lo ejecuto en modo de fuerza bruta usando lo siguiente:

    cd /usr/share/john
    john ~/Desktop/samhash.txt -format=nt -user=IEUser

El resultado es:

    Using default input encoding: UTF-8
    Rules/masks using ISO-8859-1
    Loaded 1 password hash (NT [MD4 128/128 AVX 4x3])
    Press 'q' or Ctrl-C to abort, almost any other key for status
    password         (IEUser)
    1g 0:00:00:00 DONE 2/3 (2018-01-31 09:47) 16.66g/s 15033p/s 15033c/s 15033C/s 123456..qwerty
    Use the "--show" option to display all of the cracked passwords reliably
    Session completed

Parece que ni siquiera se ejecuta, y el uso de "Mostrar" incluso dice que no estaba agrietado. No tengo ni idea de lo que está pasando con esto, y nadie más parece tener este problema que puedo ver ... ¿Qué me estoy perdiendo?

====

Editar: funcionaba correctamente, "contraseña" era la contraseña, simplemente no entendía la interfaz de usuario.

    
pregunta C-Love511 31.01.2018 - 18:08
fuente

1 respuesta

0

Lo mejor que puedo imaginar, estás equivocado acerca de lo que esperas. John terminó rápidamente porque rompió con éxito la contraseña que solicitó. El resto es solo un error al usar john --show hasta donde puedo decir. Repetí tus pasos de la siguiente manera:

echo "IEUser:1000:aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c:::" > ./Desktop/hash

Luego comenzaremos una sesión de cracking normal, que utilizará una lista de palabras predeterminada.

root@oscpre:~/Desktop# john hash -format=nt -user=IEUser
Using default input encoding: UTF-8
Rules/masks using ISO-8859-1
Loaded 1 password hash (NT [MD4 128/128 AVX 4x3])
Press 'q' or Ctrl-C to abort, almost any other key for status
password         (IEUser)
1g 0:00:00:00 DONE 2/3 (2018-01-31 14:16) 20.00g/s 18040p/s 18040c/s 18040C/s 123456..qwerty
Use the "--show" option to display all of the cracked passwords reliably
Session completed

La línea password (IEUser) identifica una contraseña dañada para el usuario IEUser. La contraseña es "contraseña". Podemos verificar esto invirtiendo el proceso usando openssl para obtener el hash nt de "password".

root@oscpre:~/Desktop# printf '%s' "password" | iconv -t utf16le | openssl md4
(stdin)= 8846f7eaee8fb117ad06bdd830b7586c

De hecho, vemos que coincide con nuestra entrada original en hash.txt. Ahora mostraremos todas las contraseñas descifradas para john en el formato de nt usando nuestro archivo pot (el registro que John mantiene de las contraseñas resquebrajadas durante las sesiones)

root@oscpre:~/Desktop# john hash --pot=../.john/john.pot -format=nt --show
IEUser:password:1000:aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c:::

1 password hash cracked, 0 left

Vemos IEUser listado aquí con la contraseña adjunta antes del uid. Todo parece estar bien?

    
respondido por el Nalaurien 31.01.2018 - 20:27
fuente

Lea otras preguntas en las etiquetas