John the Ripper Brute Force non funziona (Windows Hash)

2

Sono pentesting per una lezione in Kali Linux, infrangendo una password di Windows 7. Ho montato il disco rigido di Windows in Kali, eseguito PWDUMP7 e ottenuto gli hash salvati sul desktop. Mostra solo alcuni utenti, ma non tutti quelli che ho creato per i test ... questo è un altro problema da solo. L'amministratore di sistema predefinito "IEUser" dovrebbe funzionare almeno, giusto?

Ho isolato quell'hash in una singola riga .txt: Ieuser: 1000: aad3b435b51404eeaad3b435b51404ee: 8846f7eaee8fb117ad06bdd830b7586c :::

Quando eseguo JtR in modalità Wordlist, la password viene cancellata facilmente dalla lista di parole ('1234'). Quando lo eseguo in modalità Brute force, utilizzi quanto segue:

    cd /usr/share/john
    john ~/Desktop/samhash.txt -format=nt -user=IEUser

Il risultato è:

    Using default input encoding: UTF-8
    Rules/masks using ISO-8859-1
    Loaded 1 password hash (NT [MD4 128/128 AVX 4x3])
    Press 'q' or Ctrl-C to abort, almost any other key for status
    password         (IEUser)
    1g 0:00:00:00 DONE 2/3 (2018-01-31 09:47) 16.66g/s 15033p/s 15033c/s 15033C/s 123456..qwerty
    Use the "--show" option to display all of the cracked passwords reliably
    Session completed

Sembra non essere nemmeno in esecuzione, e usare "Mostra" dice anche che non era rotto. Non ho assolutamente idea di cosa stia succedendo, e nessun altro sembra avere questo problema che posso vedere ... Cosa mi manca?

====

Modifica: funzionava correttamente, "password" era la password, semplicemente non capivo l'interfaccia utente.

    
posta C-Love511 31.01.2018 - 18:08
fonte

1 risposta

0

Per quanto possa immaginare, ti sbagli su ciò che ti aspetti. John ha terminato rapidamente perché ha infranto con successo la password richiesta. Il resto è solo un errore nell'usare john --show per quanto posso dire. Ho ripetuto i tuoi passi come segue:

echo "IEUser:1000:aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c:::" > ./Desktop/hash

Quindi inizieremo una normale sessione di cracking, che utilizzerà un elenco di parole predefinito.

root@oscpre:~/Desktop# john hash -format=nt -user=IEUser
Using default input encoding: UTF-8
Rules/masks using ISO-8859-1
Loaded 1 password hash (NT [MD4 128/128 AVX 4x3])
Press 'q' or Ctrl-C to abort, almost any other key for status
password         (IEUser)
1g 0:00:00:00 DONE 2/3 (2018-01-31 14:16) 20.00g/s 18040p/s 18040c/s 18040C/s 123456..qwerty
Use the "--show" option to display all of the cracked passwords reliably
Session completed

La riga password (IEUser) identifica una password incrinata per l'utente IEUser. La password è "password". Possiamo verificarlo invertendo il processo usando openssl per ottenere l'hash nt di "password".

root@oscpre:~/Desktop# printf '%s' "password" | iconv -t utf16le | openssl md4
(stdin)= 8846f7eaee8fb117ad06bdd830b7586c

Veramente vediamo che corrisponde al nostro input originale in hash.txt. Ora mostreremo tutte le password incrinate per john nel formato di nt usando il nostro file pot (il record john mantiene le password incrinate durante le sessioni)

root@oscpre:~/Desktop# john hash --pot=../.john/john.pot -format=nt --show
IEUser:password:1000:aad3b435b51404eeaad3b435b51404ee:8846f7eaee8fb117ad06bdd830b7586c:::

1 password hash cracked, 0 left

Vediamo IEUser elencato qui con la password aggiunta prima del uid. Tutto sembra stare bene?

    
risposta data 31.01.2018 - 20:27
fonte

Leggi altre domande sui tag