在我们的工作中,我们积极使用hashcat,但是我们开始错过此产品的某些功能。 例如:发送通知的功能,用于管理破解哈希的统一界面,方便存储“破解”哈希(一段时间后,查看hashcat.potfile会伤害您的眼睛)。 在某些情况下,有必要执行哈希的并行破解,即在多个主机之间分配破解任务。
在本系列文章中,我们希望共享有关管理接口和/或hashcat程序的分布式启动的“发现”,并存储有关“破解”哈希的统计信息。 在第一部分中,我们将研究一些现有的解决方案,然后我们将进一步研究Hashtopolis。
一般而言,如果主题离您很近,我们会在“切入下”和注释中询问。
让我们谈谈猫
关于hashcat本身的一些知识(hashcat)
根据创建者的说法,Hashcat是世界上最快的密码恢复工具。 版本适用于Linux,macOS和Windows,并且可以基于CPU或GPU的版本显示。
由于Hashcat的创建者在其他使用数据加密的程序中发现的缺点,使其受到欢迎。 目前,Hashcat积极地用于选择WPA / WPA2密码,MS Office文档,PDF,7-Zip,RAR,TrueCrypt的破解密码。
来源
这是什么哈希?如今,最常见的身份验证方法是“密码身份验证”。 用户(或“过程”)以一种形式或另一种形式将用于验证的密码发送到目标系统,在此将获得的数据与存储在系统中的表示形式进行比较。 例如,在摘要式身份验证的情况下,不会传输密码,也不会以明文形式存储密码,并且借助加密技术,可以通过应用密码值的哈希来转换特定的会话标识符。 在目标系统上执行类似的过程,并且如果两个操作的结果匹配,则认为身份验证已通过,将生成授权cookie或TGT,或生成其他内容。
Web上的身份验证机制总结如下:https://habr.com/en/post/28534/,并在此处详细介绍:https://habr.com/ru/company/dataart/blog/262817/
安全研究人员(或审核员)还有另一项任务-提取/猜测密码,拦截或绕过身份验证密码。
如果受到密码攻击,则可以分为两类(第三类中的其他所有内容,例如,“监视用户输入”的攻击):
- 在线攻击:通过猜测密码进行多次身份验证尝试,这可能“带来很多噪音”或导致帐户锁定。 这类似于在钥匙孔中“拾取”主钥匙-所有者可以报警,甚至造成伤害;
- 脱机攻击:攻击者设法获得哈希,并且不需要使用更具针对性的系统来猜测密码,整个过程都在攻击者一方。 好像他们设法从锁中的门上“撬开”并“撬开”了。
可能会出现诸如选择存档,受保护文档或私钥的密码之类的情况,但这通常是密码攻击,即 您需要拿起钥匙/密码锁。
对密码和散列的大多数攻击可分为:
- “字典”(英语“ dictionary”,“ wordlist”)
- “额头”(或英文“ bruteforce”中的“ bruteforce”,即“ brute force”)
- “混合”(字典+一些暴力面具)
在网络上搜索用于使用hashcat的现成“接口”的结果是,我们遇到了以下解决方案:
名称以“哈希”一词开头-从英语开始,该单词被翻译为“哈希”,“混乱”,“一盘切碎的肉类和蔬菜”。 如果您将这些名称从字面上翻译成俄语,那么生成的短语会在读者的大脑中造成混乱。 “ Hashtopussy”这个名字特别容易被人理解(微笑)
让我们从
Hashpass开始审阅。 他对功能的丰富性(乍看之下)很感兴趣:用于入侵的哈希队列,在全球地图上可视化的WPA握手可视化,用于“间谍”树莓的C2C,支持SMS通知,精美的墙纸以及有趣的可视化界面。 Hashpass作业状态栏如下所示:
当沉浸在GitHub上的项目描述中时,发现dj-zombie为散列散列破解开发了一个单独的项目Hive。 我们找不到有关此项目的相关信息。 即 您无法“开箱即用”地获得对多个主机进行并行黑客攻击的“指挥棒”。 作为一个独立的解决方案,Hashpass非常有趣,考虑到与其相关的
Rotten Pi项目,Hashpass绝对值得关注。
这是与Hashpass的熟人结束的地方,也许我们将在一系列文章中返回它的详细评论。
在丰富的功能方面,
Hashview项目并不比其兄弟
Hashpass低 ,并且我们认为,更好地实现了界面“可视组件”的方法。
屏幕统计信息示例:
这是Hashview提供的功能:
- 协作-该应用程序支持创建单独的帐户并分配角色
- OTP(一次性密码)支持用户身份验证
- 直接访问实例hashcat命令行界面
- 创建哈希破解任务队列
- 活动电子邮件通知
- 搜索内部哈希数据库,用户名,密码
- 指标可视化和报告系统
要安装Hashview服务器,您需要在主机上运行的hashcat,有效的RVM,MySQL,Redis环境。 正式宣布支持Ubuntu 14.04和16.04,在其他Linux发行版中,Hashview的工作已被社区确认。
现在关于“缺点”:
- 该项目正式支持hashcat 4.x,尚不了解对第5版的支持(有票证https://github.com/hashview/hashview/issues/448)
- 代理支持仍然是正式的“ Alpha”版本,在我们的案例中,对Windows代理的支持很重要(https://github.com/hashview/hashview/wiki/04-Distributed-Cracking)
Hashpass和Hashview这两个项目都给人以遗弃的印象,存储库中的提交是很久以前的,并且文档未更新。
我们决定将Hashview与Hashpass放在一个架子上,然后转到下一个项目。
Hashtopolis于2016年发布,是为hashcat开发的“包装器”-Hashtopus(https://github.com/curlyboi/hashtopus)的开发。 起初它被称为“ Hashtopussy”,但出于“政治正确性”的原因,它被重命名为“ Hashtopolis”。 官方项目页面:https://hashtopolis.org。 实际上,这是一个论坛,您可以在其中获取有关该产品的一些有用信息。 在Discord上也找到了一个频道:https://discord.gg/S2NTxbz
Hashtopolis的功能:
- 轻松+方便地安装和使用服务器/代理
- 通过Web界面从任何地方访问
- 服务器端响应与常见的虚拟主机配置
- 受控裂纹站的自治代理
- 管理字典和规则文件
- Hashtopolis和Hashcat自动更新
- 黑客攻击多个相同类型的哈希列表,就像它们是单个列表一样
- 在Windows,Linux和OS X上运行代理的单个文件
- 标记为“秘密”的文件和哈希仅分发给标记为“受信任”的代理
- 导入和导出数据的许多选项
- 丰富的哈希和运行任务统计信息
- 可视化表示“散列部分”的分布(块分布)
- 多用户应用
- 支持用户访问级别
- 不同类型的通知
- 能够创建微型任务以通过CPU破解哈希
- 通过在代理和用户的任命中使用组来粒度分布访问
对我们来说,最“迷人”的Hashtopolis功能是直接在电报中支持通知。 我们每天都使用此Messenger。 及时收到“破解”哈希的通知似乎极具吸引力。 当然,可以使用脚本来实现此功能,但是此功能并不是吸引Hashtopolis的唯一功能。
Hashtopolis可以管理从4.0.0版开始的hashcat实例。 还实现了对“通用破解程序”(“破解哈希”软件的通用命令行界面)的支持。
在此处了解有关通用饼干的更多信息
。Hashtopolis界面的外观令人愉悦,结识几分钟后导航变得清晰。
任务清单:
有关代理工作的漂亮统计数据:
我们已解决的有关Hashtopolis主题的其他信息来源:
- GitHub上的项目存储库:https://github.com/s3inlc/hashtopolis
- GitHub项目Wiki页面:https://github.com/s3inlc/hashtopolis/wiki
- 项目开发人员之一的博客(s3inlc):https://s3inlc.wordpress.com
- Hashtopolis API文档以PDF文档提供:https://github.com/s3inlc/hashtopolis/blob/master/doc/protocol.pdf
到此结束介绍部分,我们分享了我们的“第一印象”。 不幸的是,已审查的项目没有最好的质量文档,信息分散且非常简洁。
我们希望能够引起读者对所考虑产品的兴趣,因为存在的用户越多,项目就会越好,因此,将会出现更多的使用信息。
在下一部分中,我们将分析Hashtopolis产品的安装和配置。