Ho un set di hash delle password. Esempio:
9e74437e97ff201ff38416138a22a7f3adfa3b9c10e947481bd94b16eed7df6b6e2806
Dal codice sorgente dell'applicazione che genera questo hash ho appreso che il sale è anteposto come i primi 6 caratteri e l'algo complessivo che produce l'hash è:
salt + SHA256(salt + password)
Conoscendo la password in chiaro per il suddetto hash ( helloworld ) sono stato in grado di confermare la mia ipotesi ricavata dal codice sorgente sulla riga di comando di Linux (comando + risultato):
printf 9e7443helloworld | sha256sum
7e97ff201ff38416138a22a7f3adfa3b9c10e947481bd94b16eed7df6b6e2806 -
Ora come ho detto ho un set di quegli hash e mi piacerebbe impostare John The Ripper contro di loro e usare l'attacco del dizionario. Immagino che possa essere fatto usando --rules
flag e fornendo file di configurazione personalizzati con regole personalizzate. Ma non sono sicuro che questo sia il modo giusto e non abbia familiarità con le regole di manomissione di JTR.
Puoi indicarmi come raggiungere il mio obiettivo con JTR?