2. 패스워드 크랙
이전 게시글에서 못했던 패스워드 크랙을 이어서 진행
[패스워드 크랙 tip]
1. 암호화 알고리즘 유형 파악
1) Kali os -> hash-identifier
2) onlinehashcrack.com
2. 패스워드 길이 또는 복잡성 파악
1) 위 정보를 바탕으로 사전파일 제작
2) 사전파일 제작 도구 Kali os -> crunch
3. 로컬 패스워드 크랙 시도 및 온라인을 이용한 패스워드
1) 크랙도구 : hashcrack
2) 온라인 : onlinehashcrack.com
1) hash-identifier
이전 게시글에서 출력한 3rd-big의 password의 hash 값이 어떤 종류의 hash 인지 확인하기위해 사용
HASH : ( 입력 ) 입력란에 해당 hash 값 붙여넣기하면 그림 1-2 처럼 어떤 종류인지 확인 가능
hash-identifier | cs |
그림 1-1
그림 1-2
2) crunch
kali의 crunch를 통해 사전파일을 만든다. 사용된 옵션은 순서대로 풀이해보자.
1 : 최소문자수
5 : 최대 문자수
-f /usr/share/crunch/charset.lst lalpha : 알파벳만 사용
-o /root/Desktop/word.txt : 결과물을 해당경로의 'word.txt'로 생성
crunch 1 5 -f /usr/share/crunch/charset.lst lalpha -o /root/Desktop/word.txt | cs |
위의 명령어를 입력하면 70MB 용량의 'word.txt' 파일이 생성됨을 확인가능
그림 2-1
생성된 'word.txt' 파일과 이전 게시글에서 만든 'passwd.txt' 파일을 호스트pc로 이동해놓자.
(3) hashcat
hashcat-5.0.0.7z패스워드 크랙도구인 hashcat을 사용하기에 앞서 자주 사용하는 옵션에 대해 알아본다.
자주 사용하는 옵션
1) -a: 공격방식
2) -m: 해시나 암호종류
3) -d: 사용할 장치의 종류
4) -o: 크랙된 결과가 저장되는 파일
5) 기타옵션: https://hashcat.net/wiki/doku.php?id=hashcat 참고
'word.txt' 파일과 'passwd.txt' 파일을 해시캣폴더로 옮긴 후 cmd창에서 다음 명령어 실행하면 그림 3-1 과 같이 진행상황이 표시된다.
C:\hashcat-5.0.0>hashcat64.exe -a 0 -m 400 -d 1 -o crack.txt passwd.txt word.txt | cs |
그림 3-1
검색이 끝나면 해당 폴더에 'crack.txt' 파일이 생성되어있고 확인해보면 3rd-big의 패스워드가 크랙되어있음을 확인가능.
그림 3-2
'K-Shield Jr. > 모의해킹' 카테고리의 다른 글
| SQL Injection :: 1. Union SQL Injection (0) | 2018.11.07 |
|---|---|
| SQL Injection의 종류와 의미 (0) | 2018.11.07 |
| WordPress Plugin 취약점 Like DisLike Counter :: 1. burp suite & sqlmap (0) | 2018.11.05 |
| Wordpress 한글화 (0) | 2018.11.04 |
| Ubuntu - Wordpress 설치 (0) | 2018.11.02 |
