Tengo un conjunto de hashes de contraseña. Muestra:
9e74437e97ff201ff38416138a22a7f3adfa3b9c10e947481bd94b16eed7df6b6e2806
A partir del código fuente de la aplicación que genera este hash, aprendí que la sal está precedida por los primeros 6 caracteres y el algoritmo general que produce el hash es:
salt + SHA256(salt + password)
Conociendo la contraseña de texto simple para el hash anterior ( helloworld ) pude confirmar mi suposición obtenida del código fuente en la línea de comando de Linux (comando + resultado):
printf 9e7443helloworld | sha256sum
7e97ff201ff38416138a22a7f3adfa3b9c10e947481bd94b16eed7df6b6e2806 -
Ahora, como dije, tengo un conjunto de esos hashes y me gustaría poner a John The Ripper contra ellos y usar el ataque de diccionario. Supongo que se puede hacer usando el indicador --rules
y suministrando un archivo de configuración personalizado con reglas personalizadas. Pero no estoy seguro de que este sea el camino correcto y no estoy familiarizado con las reglas de manipulación de JTR.
¿Me puede mostrar el modo de lograr mi objetivo con JTR?