JTR non sta violando le password XP SAM, perché?

1

Stavo provando i seguenti comandi

john --format=LM xpPassword.txt
john xpPassword.txt

per decifrare il seguente hash:

xpPassword.txt

Administrator:500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
pentest:1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Quindi, dopo il processo di cracking, JTR mi ha dato questo risultato:

Loaded 2 password hashes with no different salts (LM [DES 64/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
                 (pentest)
                 (Administrator)
2g 0:00:00:00 100% 2/3 6.451g/s 1141p/s 1141c/s 2283C/s 123456..MAGIC
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Ma quando ho provato a vedere la password usando il parametro --show come segue

john --show xpPassword.txt

JTR mi ha dato solo gli hash, non le password, come si può vedere nel seguente output.

Administrator::500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
pentest::1003:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

2 password hashes cracked, 0 left

Anche se "2 hash password crackizzati" è detto, non c'è alcuna password incrinata. Qual è il problema? Dov'è la mia colpa?

    
posta Hasan 19.02.2016 - 20:33
fonte

2 risposte

0

Mi sono reso conto che mi mancava inserire la password per il pentest user su XP. Quando ho inserito tutto è andato bene.

Nuova uscita:

Administrator::500:aad3b435b51404eeaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
Guest::501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant::1000:aad3b435b51404eeaad3b435b51404ee:f638888c72f5c4e1a8f1e1270aaa6b85:::
IUSR_PENTEST-WINXP::1004:aad3b435b51404eeaad3b435b51404ee:f0a4854a729d96d5f8fddb3d144a9ee0:::
IWAM_PENTEST-WINXP::1005:aad3b435b51404eeaad3b435b51404ee:e4d4fc3f4174655f7884a06c27872477:::
pentest:PENTEST:1003:1e99d771a164613aaad3b435b51404ee:15feae27e637cb98ffacdf0a840eeb4b:::
SUPPORT_388945a0::1002:aad3b435b51404eeaad3b435b51404ee:4ad41e3eb3179b33e072f0c53e07d0db:::

Si noti che la password di pentest user è stata trovata come PENTEST sopra. Gli altri account non hanno alcuna password. Per questo motivo restituiscono un hash che significa NULL.

    
risposta data 19.02.2016 - 21:20
fonte
1

Sembra che John abbia violato gli hash Lan Manager (LM) (le prime parti) piuttosto che gli hash NT (le seconde parti). Dato che in questo caso sono nulli, non c'è nulla da rompere e John è tornato dicendo che sono incrinati.

Devi passare l'argomento --format=nt o --format=nt2 al fine di decifrare gli hash NT.

    
risposta data 19.02.2016 - 20:40
fonte

Leggi altre domande sui tag