Este blog demostrará:
- ¿Cómo instalar Hashcat en Kali Linux?
- ¿Cómo utilizar Hashcat en Kali Linux?
- Consejo adicional: cómo utilizar las listas de palabras de Kali para descifrar contraseñas
- Conclusión
¿Cómo instalar Hashcat en Kali Linux?
Hashcat es una herramienta de piratería ética que utilizan los profesionales de la ciberseguridad para descifrar contraseñas. Utiliza fuerza bruta y muchos otros algoritmos de hash para descifrar hashes o convertir hashes en contraseñas. Para ello, utiliza diferentes tipos de modos de ataque. Hashcat está preinstalado en Kali Linux. En caso de que no esté instalado en Kali, instálelo siguiendo los pasos a continuación.
Paso 1: actualiza Kali
Primero, actualice Kali a la última versión móvil usando el botón ' actualización adecuada ' dominio:
sudo actualización adecuada
Paso 2: instale Hashcat
Ahora, instale el paquete hashcat en Kali usando el botón ' apto para instalar hashcat ' dominio:
sudo apto instalar gato hash
Paso 3: consulte el manual de Hashcat
Para verificar el código del algoritmo hash o elegir los modos de ataque de hashcat, consulte su manual usando el siguiente comando:
hombre gato hash
Modo de ataque
Aquí puede ver que hay diferentes modos de ataque disponibles en la herramienta hashcat. Una breve descripción de estos modos es la siguiente:
- Derecho: Intente descifrar la contraseña de una lista de palabras proporcionada.
- Combinación: Intente descifrar contraseñas combinando palabras de varias listas de palabras.
- Fuerza bruta: Aplica la técnica de fuerza bruta y prueba cada personaje del conjunto de caracteres proporcionado.
- Lista de palabras híbrida + máscara: Combina lista de palabras y máscara.
- Máscara híbrida + lista de palabras: También combina máscara y lista de palabras.
- Ataque de asociación: Utiliza combinaciones de sugerencias asociadas con una contraseña o campo de usuario particular, como nombre de usuario, cualquier información personal o nombre de archivo:
Tipos de hash
Los tipos de hashes que es necesario descifrar se indican en Tipos de hash. El código de tipo hash se utiliza para descifrar la contraseña hash:
¿Cómo utilizar Hashcat en Kali Linux?
Hashcat utiliza crackers de CPU y GPU en Kali Linux que descifran de manera eficiente la contraseña a partir de los hashes proporcionados. Si está utilizando Kali Linux en una máquina virtual, no podrá utilizar completamente los crackers de GPU. Sin embargo, hashcat también funciona bien con el modo CPU. Para utilizar hashcat en el sistema Kali o en la máquina virtual Kali, el usuario debe tener al menos de 4 a 8 GB de RAM.
Intentemos comprender el uso de Hashcat para piratear contraseñas tomando un ejemplo de un sitio web de WordPress. Supongamos que el usuario olvida la contraseña de la cuenta de administrador y ahora no puede acceder al panel del sitio web como se muestra a continuación:
Ahora, usaremos la herramienta hashcat para recuperar la contraseña olvidada del administrador del sitio web de WordPress. Para una demostración adecuada, siga el procedimiento siguiente.
Paso 1: Obtenga la contraseña hash
Los usuarios administradores definitivamente tienen acceso a la base de datos de WordPress. Obtengamos las contraseñas cifradas con hash de los usuarios del sitio web de la base de datos:
Paso 2: guarde la contraseña hash en el archivo de texto
A continuación, guarde los hash de la contraseña en un archivo de texto. Aquí estamos creando el “ hashpass.txt 'archivo en el' Escritorio ”directorio usando el editor nano:
sudo nano hashpass.txt
Guarde la contraseña que se convierte en hashes en el archivo “ hashpass.txt ' archivo. Para demostración, hemos guardado tres contraseñas que ya fueron convertidas en hash a través del botón ' MD5 ”algoritmo de hash:
Para guardar el archivo, presione “ CTRL+S ' y para cerrar el editor, utilice ' CTRL+X ”.
Paso 3: proporcione el diccionario WordList
A continuación, proporcione el diccionario de lista de palabras desde donde el hashcat intentará hacer coincidir los hashes de palabras con los hashes de contraseña proporcionados en el archivo ' hashpass.txt ' archivo. Para la demostración, crearemos nuestra propia lista de palabras que contendrá 12 contraseñas diferentes:
sudo nano passdic.txt
Aquí, hemos guardado diferentes combinaciones de contraseñas en nuestro ' passdic.txt ' lista de palabras. El usuario también puede utilizar la lista de palabras proporcionada por Kali que se explica en la siguiente sección:
Paso 4: descifra la contraseña
Ahora, descifre la contraseña usando el botón ' hashcat -a
Aquí, ' -un 0 'significa que hemos utilizado' Modo de ataque directo ' y ' -metro 0 ”Significa que estamos convirtiendo hashes MD5 en contraseñas. Entonces aplicaremos el “ MD5 'Algoritmo de hash para que coincida con los hashes de' hashpass.txt ”a la lista de palabras proporcionada (passdic.txt):
Aquí puede ver que hemos descifrado efectivamente la contraseña del sitio web a partir de los hashes de contraseña proporcionados:
Paso 5: Verificación
Para verificación, probemos con la contraseña de administrador ' administrador@123 ”para acceder al sitio web de WordPress:
Aquí puede ver que hemos recuperado con éxito la contraseña olvidada utilizando la herramienta hashcat de Kali:
Consejo adicional: cómo utilizar las listas de palabras de Kali para descifrar contraseñas
Kali Linux también proporciona una lista de palabras preinstalada que se utilizará para descifrar diferentes tipos de contraseñas. Esta lista de palabras contiene millones de palabras y combinaciones de contraseñas. Para usar Kali “ rockyou.txt ”lista de palabras para descifrar contraseñas, siga los pasos a continuación.
Paso 1: abra el directorio 'listas de palabras'
Para abrir el “ listas de palabras ”directorio, utilice el comando dado:
cd / usr / compartir / listas de palabrasA continuación, ejecute el ' es 'para ver todos los archivos y directorios de Kali' listas de palabras ”directorio. Aquí están disponibles diferentes tipos de contraseñas o listas de palabras. Para rastrear las contraseñas normales o simples, como las contraseñas de cuentas de usuario, puede utilizar el botón ' rockyou.txt ' archivo:
Paso 2: descomprima el archivo 'rockyou.txt.gz'
Usar el ' rockyou.txt ”en la herramienta hashcat, primero, descomprima el archivo usando el botón “ gzip -d rockyou.txt.gz ' dominio. Esta acción puede requerir “ sudo ' derechos de los usuarios:
sudo zip -d rockyou.txt.gz
Paso 3: descifra la contraseña
Ahora, usa el comando hashcat para descifrar la contraseña.
gato hash -a 0 -metro 0 hashpass.txt / usr / compartir / listas de palabras / rockyou.txtAquí puedes ver que esta vez hemos utilizado el “ rockyou.txt ”archivo en lugar de una lista de palabras personal:
En el resultado anterior, puede ver que los hashes se encuentran pero no se pueden ver. Para ver los hashes, simplemente agregue ' -espectáculo Opción 'en el comando hashcat:
gato hash -a 0 -metro 0 hashpass.txt / usr / compartir / listas de palabras / rockyou.txt --espectáculo
Hemos explicado en detalle cómo usar hashcat en Kali Linux.
Conclusión
Para usar la herramienta hashcat en Kali Linux, primero guarde las contraseñas que se convirtieron en hashes en el archivo ' .TXT ' Archivo de texto. Después de eso, haga coincidir los hashes de contraseña con un archivo de texto de lista de palabras como el archivo de lista de palabras de Kali ' rockyou.txt ' archivo. Para ello, simplemente utilice el botón ' hashcat -a