Сейчас был довольно интересный кейс.
Звонят бывшие коллеги и мол так и так, очень нужная папка, а там архив, а какой пароль?
Я весь день ходил вспоминал что за папка, так и не вспомнил, отбрыкивался слал всех лесом, в общем сливался как мог... Но я зря что-ли на tryhackme сидел и потом учился на SOC аналитика.
В конце концов меня разобрало любопытство и я решил проверить одну штуку.
Суть в чем: когда негодяйский хакер попадет в сеть, он может утащить хэш пароля, и потом локально его брутфорсить до посинения. Если пароль сложный то на это уйдёт капец сколько времени. Если пароль простой, то сломать можно довольно быстро.
Возвращаясь домой, позвонил товарищу с просьбой скинуть архив.
Я не буду разбирать все нюансы того как всё работает, откровенно говоря лень писать, но как практическое руководство, дальнейшая простынка подойдёт.
Дисклеймер: воровать и красть всякое категорически нельзя. Ай яй яй. Всё ниже проделанное было проделано исключительно с разрешения владельца.
Итак погнали.
Принцип работы:
Каждый пароль имеет свой хэш. На занятиях по SOC и различных профильных сайтов типа tryhackme я узнал что можно получить хэш пользователя, скопировать его к себе на компьютер и используя различные методы дешифровки получить пароль.
Значит нам надо:
1) программу для получения хэша пароля от архива
2) программу для дешифровки самого хэша
Скачиваем вот это:
7z2hashcat64-2.0 - для получения хэша, в зависимости от версии, в моём случае 64. У меня меня дома винда, и сам я винданутый. Поэтому так.
hashcat-7.1.2 - для дешифровки хэша.
Ссылок давать не буду, ищем сами. Мало-ли что в этом мире поменяется. Всё распаковываем и кладём в одну папку.
Запускаем powershell:
топаем в каталог с ПО: cd "E:\Папка пользователя\Загрузки\7z2hashcat32-2.0\hashcat-7.1.2"
Получаем ХЭШ пароля: .\7z2hashcat64-2.0.exe 1.7z > hash.txt
В каталоге появился файл hash.txt с кучей символов. Это и есть наш хэш.
Проверяем тип хэша. На это потребуется время. Тут надо сразу оговориться что это не обязательно так как нам известен тип архива это 7z поэтому тип будет 11600, но файл должен читаться программой в этом случае все пройдёт гладко.
Ключевое тут: hash.txt: Byte Order Mark (BOM) was detected
Кодировка в BOM не даёт работать с файлом. Открываем в блокноте, в моём случае NOTEPAD ++, выбираем кодировку UTF-8 и сохраняем документ.
Ещё раз запускаем проверку и получаем:
Получаем тип хэша: 11600 то есть 7z и возможность ПО читать документ.
Смотрим может ли ПО использовать VGA адаптер для брутфорса: .\hashcat.exe -I
В нашем случае, да может ID #1
Пробуем брутфорсить хэш: .\hashcat.exe -m 11600 -a 3 hash.txt ?d?d?d?d?d?d -O -w 3 -d 1
Где: hashcat.exe - программа
-m 11600 - типа хэша
-a 3 - перебор по маске
hash.txt - название файла с хэшем
?d?d?d?d?d?d - кол-во символов, в нашем случае конкретно цифр и всего было сначала указано, 4, потом 5, и на 6 пароль нашёлся
-O - оптимизация перебора, ускоряет перебор
-d 1 - использование VGA
В процессе мы увидим вот это:
После если атака прошла успешно, в папке создаётся файл: hashcat.potfile
- Hashcat перебирает все комбинации по маске
- Находит совпадение хэша
- Записывает в potfile
- Ты читаешь пароль после :
Ну и мы идём читать пароль:
type hashcat.potfile
В консоли будет до фига текста, мотаем в самый низ и ищем знак ":" данные после него и будет наш пароль.
Вставляем пароль куда надо и вуаля. Коллеги были счастливы.
PS: на самом деле программа для брутфорса имеет до фига возможностей.
Ну и вывод: Использоваться надо длинные пароли с всевозможным наборов неповторяющихся символов. Пароль на 10+ всяких разных символов на обычной видео карте будет проблемно расшифровать.
Всякие такие штуки использовать почем зря - нельзя, противозаконно и всякое такое, прежде чем куда-то лезть, спросите разрешения у того кому собираетесь помочь.