JTR non sta violando le password XP SAM, perché?

Naviga le tue risposte
1

Stavo provando i seguenti comandi 

john --format=LM xpPassword.txt
john xpPassword.txt

per decifrare il seguente hash:

xpPassword.txt 

Administrator:500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
pentest:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Quindi, dopo il processo di cracking, JTR mi ha dato questo risultato: 

Loaded 2 password hashes with no different salts (LM [DES 64/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
                 (pentest)
                 (Administrator)
2g 0:00:00:00 100% 2/3 6.451g/s 1141p/s 1141c/s 2283C/s 123456..MAGIC
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Ma quando ho provato a vedere la password usando il parametro --show come segue 

john --show xpPassword.txt

JTR mi ha dato solo gli hash, non le password, come si può vedere nel seguente output. 

Administrator::500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
pentest::1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

2 password hashes cracked, 0 left

Anche se "2 hash password crackizzati" è detto, non c'è alcuna password incrinata. Qual è il problema? Dov'è la mia colpa?

    
posta Hasan 19.02.2016 - 20:33
fonte

2 risposte

0

Mi sono reso conto che mi mancava inserire la password per il pentest user su XP. Quando ho inserito tutto è andato bene.

Nuova uscita: 

Administrator::500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
Guest::501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant::1000:aad3b435b51404eeaad3b435b51404ee:f638888c72f5c4e1a8f1e1270aaa6b85:::
IUSR_PENTEST-WINXP::1004:aad3b435b51404eeaad3b435b51404ee:f0a4854a729d96d5f8fddb3d144a9ee0:::
IWAM_PENTEST-WINXP::1005:aad3b435b51404eeaad3b435b51404ee:e4d4fc3f4174655f7884a06c27872477:::
pentest:PENTEST:1003:1e99d771a164613aaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
SUPPORT_388945a0::1002:aad3b435b51404eeaad3b435b51404ee:4ad41e3eb3179b33e072f0c53e07d0db:::

Si noti che la password di pentest user è stata trovata come PENTEST sopra. Gli altri account non hanno alcuna password. Per questo motivo restituiscono un hash che significa NULL.

    
risposta data 19.02.2016 - 21:20
fonte
1

Sembra che John abbia violato gli hash Lan Manager (LM) (le prime parti) piuttosto che gli hash NT (le seconde parti). Dato che in questo caso sono nulli, non c'è nulla da rompere e John è tornato dicendo che sono incrinati.

Devi passare l'argomento --format=nt o --format=nt2 al fine di decifrare gli hash NT.

    
risposta data 19.02.2016 - 20:40
fonte

Leggi altre domande sui tag

certificato del server wordpress non corrisponde all'URL UDP DNS e firewall