Geekly articles weekly

Kucing di bawah tenda. Bagian 1


Dalam pekerjaan kami, kami secara aktif menggunakan hashcat, tetapi kami mulai kehilangan beberapa fitur dalam produk ini. Sebagai contoh: kemampuan untuk mengirim notifikasi, keberadaan antarmuka terpadu untuk mengelola hash cracking, penyimpanan hash "crack" yang nyaman (setelah beberapa saat, melihat hashcat.potfile menyakitkan mata Anda). Dalam beberapa situasi, perlu untuk melakukan cracking hash secara paralel, yaitu untuk mendistribusikan tugas cracking di antara beberapa host.


Dalam seri artikel ini, kami ingin membagikan "temuan" kami pada topik antarmuka manajemen dan / atau peluncuran program hashcat yang didistribusikan, menyimpan statistik pada hash "crack". Pada bagian pertama, kita akan melihat beberapa solusi yang ada, kemudian kita akan melihat lebih dekat pada Hashtopolis.


Secara umum, jika topiknya dekat dengan Anda - kami bertanya "di bawah potongan" dan di komentar.


Mari kita bicara tentang kucing


Sedikit tentang hashcat itu sendiri (hashcat)


Hashcat adalah, menurut pencipta, alat pemulihan kata sandi tercepat di dunia. Versi tersedia untuk Linux, macOS dan Windows, dan dapat disajikan dalam versi berdasarkan CPU atau GPU.

Hashcat mendapatkan popularitasnya karena kekurangan yang ditemukan oleh penciptanya dalam program lain yang menggunakan enkripsi data. Saat ini, Hashcat secara aktif digunakan untuk memilih kata sandi WPA / WPA2, memecahkan kata sandi dari dokumen MS Office, PDF, 7-Zip, RAR, TrueCrypt.

Sumber
Hashing macam apa ini?
Saat ini, metode otentikasi yang paling umum adalah "otentikasi kata sandi". Pengguna (atau "proses") dalam satu atau lain bentuk mengirimkan kata sandi untuk verifikasi ke sistem target, di mana data yang diperoleh dibandingkan dengan representasi yang disimpan dalam sistem. Misalnya, dalam kasus otentikasi intisari, kata sandi tidak dikirimkan dan tidak disimpan dalam clear, dan dengan bantuan kriptografi, pengidentifikasi sesi tertentu dikonversi dengan menerapkan hash dari nilai kata sandi. Prosedur serupa dilakukan pada sistem target, dan jika hasil dari dua operasi cocok, otentikasi dianggap lulus, cookie otorisasi, atau TGT, atau sesuatu yang lain dihasilkan.

Mekanisme otentikasi di Web dirangkum di sini: https://habr.com/en/post/28534/, dan secara terperinci di sini: https://habr.com/ru/company/dataart/blog/262817/

Peneliti keamanan (atau auditor) memiliki tugas lain - untuk mengambil / menebak kata sandi, memotong atau memotong kata sandi otentikasi.

Dalam hal serangan pada kata sandi, dimungkinkan untuk membagi menjadi dua kategori (dan yang lainnya di ketiga, misalnya, serangan "memata-matai input pengguna"):

  1. serangan online: beberapa upaya otentikasi dengan menebak kata sandi, yang dapat "membuat banyak suara" atau menyebabkan penguncian akun. Ini mirip dengan "memetik" dengan kunci utama di lubang kunci - pemilik dapat memanggil polisi, atau bahkan menyebabkan cedera;
  2. Serangan offline: penyerang berhasil mendapatkan hash, dan sistem yang lebih bertarget tidak diperlukan untuk menebak kata sandi, seluruh proses berjalan di sisi penyerang. Seolah-olah mereka berhasil mendapatkan "pemeran" kunci dan "mengambil" dari pintu yang dijaga.

Situasi dapat muncul seperti pemilihan kata sandi untuk arsip, dokumen yang dilindungi atau kunci pribadi, tetapi secara umum ini adalah serangan kata sandi, mis. Anda perlu mengambil kunci / kombinasi ke kunci.

Sebagian besar serangan pada kata sandi dan hash dapat dibagi menjadi:

  • "Kamus" (Bahasa Inggris "kamus", "daftar kata")
  • "Dahi" (atau "bruteforce" dari bahasa Inggris "bruteforce", yaitu "brute force")
  • "Hibrid" (kamus + topeng kekerasan)

Sebagai hasil dari pencarian jaringan untuk "antarmuka" yang siap pakai untuk bekerja dengan hashcat, kami menemukan solusi berikut:


Nama-nama dimulai dengan kata 'hash' - dari bahasa Inggris kata ini diterjemahkan sebagai "hash", "kebingungan", "hidangan daging dan sayuran cincang halus". Jika Anda benar-benar menerjemahkan nama-nama ini ke dalam bahasa Rusia, frasa yang dihasilkan membuat kekacauan di otak pembaca. Nama "Hashtopussy" sangat dirasakan (senyum)

Mari kita mulai ulasannya dengan Hashpass . Dia tertarik pada kekayaan fungsi (sekilas pandang): antrian hash untuk peretasan, visualisasi jabat tangan WPA yang tertangkap di peta global, C2C untuk raspberry "spyware", dukungan untuk menginformasikan SMS, wallpaper cantik, antarmuka menarik dengan visualisasi. Bilah status pekerjaan Hashpass terlihat seperti ini:

gambar

Ketika terbenam dalam deskripsi proyek di GitHub, ditemukan bahwa untuk mendistribusikan cracking hash, dj-zombie mengembangkan proyek terpisah, Hive. Kami tidak dapat menemukan informasi yang relevan tentang proyek ini. Yaitu "Out of the box" Anda tidak bisa mendapatkan "tongkat konduktor" untuk peretasan paralel pada beberapa host. Sebagai solusi yang berdiri sendiri, Hashpass sangat menarik, dan mengingat proyek Rotten Pi yang terkait dengannya, Hashpass pasti patut diperhatikan.

Di sinilah kenalan dengan Hashpass berakhir, mungkin kita akan kembali ke ulasan terperinci dalam serangkaian artikel.

Proyek Hashview tidak kalah dengan saudaranya Hashpass dalam hal fungsi yang kaya, dan pendekatan untuk "komponen visual" dari antarmuka, menurut pendapat kami, lebih baik diimplementasikan.

Contoh statistik layar:

gambar

Inilah yang ditawarkan Hashview:

  • Kolaborasi - aplikasi mendukung pembuatan akun terpisah dan distribusi peran
  • Dukungan OTP (One Time Password) untuk otentikasi pengguna
  • Akses langsung ke antarmuka baris perintah hashcat misalnya
  • Buat antrian tugas cracking cracking
  • Pemberitahuan Email Acara
  • Cari basis data hash internal, nama pengguna, kata sandi
  • Visualisasi metrik dan sistem pelaporan

Untuk menginstal server Hashview, Anda memerlukan hashcat yang berjalan di host, RVM, MySQL, lingkungan Redis yang valid. Dukungan yang dinyatakan secara resmi untuk Ubuntu versi 14.04 dan 16.04, di distribusi Linux lainnya, karya Hashview telah dikonfirmasi oleh komunitas.

Dan sekarang tentang "kontra":

  • Proyek ini secara resmi mendukung hashcat 4.x, tidak diketahui tentang dukungan versi 5 (ada tiket https://github.com/hashview/hashview/issues/448)
  • Dukungan agen masih secara resmi dalam versi "Alpha", dan dalam kasus kami, dukungan untuk agen Windows adalah penting (https://github.com/hashview/hashview/wiki/04-Distributed-Cracking)

Kedua proyek, Hashpass dan Hashview, memberikan kesan ditinggalkan, komitmen dalam repositori sudah lama, dan dokumentasi tidak diperbarui.

Kami memutuskan untuk meletakkan Hashview di satu rak bersama Hashpass dan beralih ke proyek berikutnya.

Hashtopolis dirilis pada 2016 sebagai pengembangan "pembungkus" untuk hashcat - Hashtopus (https://github.com/curlyboi/hashtopus). Pada awalnya itu disebut "Hashtopussy", tetapi karena alasan "kebenaran politik" namanya diganti menjadi "Hashtopolis". Halaman proyek resmi: https://hashtopolis.org. Bahkan, ini adalah forum tempat Anda dapat mengambil sedikit informasi berguna tentang produk. Saluran juga ditemukan di Discord: https://discord.gg/S2NTxbz

Fitur dan fitur Hashtopolis:

  • Mudah + nyaman untuk menginstal dan menggunakan server / agen
  • Akses dari mana saja melalui antarmuka web
  • Respons sisi server dengan konfigurasi hosting web yang umum
  • Agen otonom di stasiun retak yang dikendalikan
  • Kelola kamus dan aturan file
  • Pembaruan Otomatis Hashtopolis dan Hashcat
  • Meretas banyak daftar hash dengan tipe yang sama seolah-olah mereka adalah satu daftar
  • Satu file untuk menjalankan agen pada Windows, Linux, dan OS X
  • File dan hash yang ditandai sebagai "rahasia" didistribusikan hanya ke agen yang ditandai sebagai "tepercaya"
  • Banyak opsi untuk mengimpor dan mengekspor data
  • Statistik kaya tentang hash dan tugas yang berjalan
  • Representasi visual dari distribusi "bagian hash" (distribusi chunk)
  • Aplikasi multi-pengguna
  • Mendukung tingkat akses pengguna
  • Berbagai jenis notifikasi
  • Kemampuan untuk membuat tugas kecil untuk memecahkan hash oleh CPU
  • Distribusi akses granular melalui penggunaan grup dalam penunjukan agen dan pengguna

Fitur Hashtopolis yang paling "menawan" bagi kami adalah dukungan notifikasi di Telegram langsung di luar kotak. Kami menggunakan messenger ini setiap hari. Tampaknya sangat menarik untuk menerima pemberitahuan hash "crack" yang tepat waktu. Tentu saja, fungsi ini dapat diimplementasikan dengan skrip, tetapi fitur ini bukan satu-satunya yang menarik bagi Hashtopolis.

Hashtopolis dapat mengelola instance hashcat yang dimulai dengan versi 4.0.0. Juga mengimplementasikan dukungan untuk "cracker generik" (antarmuka baris perintah umum ke perangkat lunak untuk "cracking hashes"). Pelajari lebih lanjut tentang kerupuk generik di sini.

Tampilan antarmuka Hashtopolis menyenangkan, dan navigasi menjadi jelas setelah beberapa menit berkenalan.

Daftar Tugas:



Statistik indah tentang pekerjaan agen:



Sumber informasi tambahan yang telah kami bahas tentang topik Hashtopolis:

  • Repositori proyek di GitHub: https://github.com/s3inlc/hashtopolis
  • Halaman wiki proyek GitHub: https://github.com/s3inlc/hashtopolis/wiki
  • Blog salah satu pengembang proyek (s3inlc): https://s3inlc.wordpress.com
  • Dokumentasi Hashtopolis API disediakan dalam dokumen PDF: https://github.com/s3inlc/hashtopolis/blob/master/doc/protocol.pdf

Ini menyimpulkan bagian pengantar, kami berbagi "kesan pertama" kami. Sayangnya, proyek yang ditinjau tidak memiliki dokumentasi kualitas terbaik, informasi tersebar dan disajikan dengan sangat singkat.

Kami berharap kami dapat membangkitkan minat pembaca pada produk yang sedang dipertimbangkan, karena semakin banyak pengguna, proyek yang lebih baik akan menjadi dan, sebagai hasilnya, lebih banyak informasi tentang penggunaan akan muncul.

Pada bagian selanjutnya, kita akan menganalisis instalasi dan konfigurasi produk Hashtopolis.

Source: https://habr.com/ru/post/id445740/

More articles:


All Articles