Crack Putty Private Key (PPK)

2

Ho trovato una chiave privata che sembra essere nel formato della chiave privata di masticazione.

La chiave ha la seguente intestazione:

---- BEGIN SSH2 ENCRYPTED PRIVATE KEY ----
Subject: <sensitive>
Comment: <sensitive>
P2/56wAAA/MAAAA3a...
...Yhp
---- END SSH2 ENCRYPTED PRIVATE KEY ----

Quando viene aperto nello strumento keygen putty richiede una password che non è valida per altri file, quindi presumo che venga eseguita una sorta di convalida sul file PPK. Lo stesso comportamento con un file PPK che ho generato usando putty keygen.

Ho provato lo strumento PHRASENDRESCHER per indovinare le password delle chiavi private, ma questo strumento non dà risultati in caso di invalido / formato di file sconosciuto. Ho provato a generare il mio PPK con una password debole e non ha rotto quella chiave privata. Quindi presumo che lo strumento non capisca questo tipo di chiave privata.

Poiché putty keygen non ha CLI, non è possibile indovinare automaticamente la password. Qualcuno ha uno strumento di cracking che è in grado di indovinare la password (brute-force e / o word list) per i file PPK?

    
posta Silver 06.08.2018 - 11:38
fonte

1 risposta

1

Sulla base del commento di nbering, ho creato uno script che utilizza puttygen su Kali:

apt install putty-tools

Lo script è molto semplice ma cerca tutte le parole da un elenco di parole specificato come primo argomento. Se viene trovata la passphrase corretta, richiederà l'input dell'utente, chiedendo una nuova passphrase da utilizzare per crittografare la chiave privata.

#!/bin/bash

echo "Wordlist: $1"
echo "PPK file: $2"
echo "New PPK file: $3"
while read -r line
do 
    echo $line > old_pass.txt
    error=$((puttygen $2 -P -o $3 --old-passphrase old_pass.txt ) 2>&1)

    if [[ ! $error = *"wrong passphrase"* ]]; then
        echo "Passphrase: $line $error"
    fi
done < $1

Spero che questo sia utile a qualcuno. Come sempre, utilizzare solo con l'approvazione del target.

    
risposta data 07.08.2018 - 16:12
fonte

Leggi altre domande sui tag