kali上的一些密码破解工具

在线密码破解

字典

kali的一些字典：

/usr/share/wordlist
/usr/share/wfuzz/wordlist
/usr/share/seclists

工具

crunch创建所需字典

语法：
crunch <min-len> <max-len> [<charset string>] [options]
charset string 字符集
options
基础设置
-b 按大小分割字典文件（kb/kib、mb/mib、gb/gib）
-c 每个字典的行数
以上两个参数必须与-o START 结合使用
-d 同一字符连贯出现数量（11 / aaa）
-o 指定输出文件
例如：crunch 6 6 0123456789 -o START -d 2 -b 1mb / -c 100
进阶用法
-e 定义停止字符，即到该字符串就停止生成
-f 调用库文件（/etc/share/crunch/charset.lst）
-i 改变输出格式，即aaa,aab -> aaa,baa
-I 通常与-t联合使用，表明该字符为实义字符
-m 通常与-p搭配
-o 将密码保存到指定文件
-p 指定元素以组合的方式进行，即把一串字符作为一个字符
– 必须是最后一个参数
– 最大、最小字符长度失效，但必须存在
– 与-s 参数不兼容（-s 指定起始字符串）
crunch 4 4 -q love simon you me -o 1.txt
-q 读取密码文件，即读取pass.txt
-r 定义重某一字符串重新开始
-s 指定一个开始的字符，即从自己定义的密码xxxx开始
高级用法
如：crunch 4 4 0123456789 -s 9900 -o 9999.txt 表示从9900开始到9999的密码
-u 禁止打印百分比（必须为最后一个选项）
-z 压缩生成的字典文件，支持gzip,bzip2,lzma,7z（是压缩的最好的）
-t 指定密码输出的格式
特殊字符
% 代表数字
^ 代表特殊符号
@ 代表小写字母
, 代表大写字符
如：crunch 6 6 -t @%^,@% -o 2.txt -z 7z
再升级用法
crunch 5 5 abc DEF + \!@# -t ,@^%,
– + 占位符
– \ 转义符（空格、符号）
表示第一位大写字母（DEF）第二位小写（abc）第三位符号第四位数字（0-9）第五位大写
crunch 5 5 -t ddd%% -p dog cat bird
– 任何不同于-p 参数指定的值都是占位符
即三个单词+数字
组合应用
crunch 2 4 0123456789 | aircrack-ng a.cap -e MyESSID -w
crunch 10 10 12345 --stdout | airolib-ng testdb -import passwd

CUPP

通过个人信息生成专属密码字典
-v 查看cupp版本号
-h 查看参数列表
-l 从github仓库下载字典
-i 使用交互式的提问创建用户密码字典，cupp的主要功能，本文主要演示此参数
-w 在已存在的字典上进行扩展
交互式输入，按照它的提示输入就是，不想输入的可以直接按回车跳过

cewl

通过爬取网站的时候，根据爬取内容的关键字生成一份字典
只是一个作为字典的素材
基本命令
cewl 1.1.1.1 -m 3 -d 3 -e -c -v -w a.txt
-m：最小单词长度
-v：显示详细信息
-d：爬网深度
-e：收集包含email地址信息
-c：每个单词出现次数
-u：用useragent，这个可以突破简单防御
-w：指定输出文件

John theRipper

配置文件实现密码动态变型
修改规则的路径/etc/john/john.conf
[]代表一个模块，$[]里面表示匹配，如$[0-9]表示匹配一个数字
john --wordlist=cewl.txt --rules --stdout > m.txt
wordlsit代表原来的密码文件，
rules应用规则，这里是自动利用wordlist的规则
stdout标准输出
也可以自己添加一个模块，如

[List.Rules:test]
$[0-9]$[0-9]$[0-9]$[a-zA-Z]
$[0-9]$[0-9]$[0-9]$[a-zA-Z]$[a-zA-Z]$[a-zA-Z]$[`~!@#$%^&*()\-_=+]
调用
john --wordlist=cewl.txt --rules=test --stdout > m.txt
john --wordlist=ahm.lst --rules=test HASHFILE

hydra

非常强大的在线密码破解神器
图形化界面 xhydra
-l LOGIN或-L FILE使用登录名登录，或从FILE加载多个登录
-p PASS或-P FILE尝试输入密码PASS，或从FILE加载多个密码
-C FILE冒号分隔的“ login：pass”格式，而不是-L / -P选项
-M FILE要攻击的服务器列表，每行一个条目，“：”指定端口
-t TASKS运行TASKS每个目标并行连接数（默认值：16）
-F 发现一个可用的密码就停止
-U 服务模块的使用详细信息
建议适当降低并发连接数
一些例子

Windows密码破解

hydra -l administrator -P pass.lst smb://1.1.1.1/admin$ -vVd
hydra -l administrator -P pass.lst rdp://1.1.1.1 -t 1 -vV 远程桌面（不推荐）

Linux
hydra -l root -P pass.lst ssh://1.1.1.1 -vV
其他服务
hydra -L user.lst -P pass.lst ftp://1.1.1.1 -s 2121 -e nsr -o p.txt -t 64
HTTP表单
建议还是用burp，方便快捷

pw-inspector

按长度和字符集筛选字典

pw-inspector -i /usr/share/wordlists/nmap.lst -o p.lst -l
-i表示input，-o表示output，-l表示lower，-u表示upper，-m最小长度，-M最大长度
pw-inspector -i /usr/share/wordlists/nmap.lst -o P.lst -u

medusa

类似于hydra，但稳定性更好，不支持RDP
常用的参数
-h/H : 目标，大写表示从文件中导入
-u/U : Username to test
-p/P : Password to test
-M : 要破解的协议名称
-F 发现一个可用的密码就停止
-n：非默认端口
-s：使用SSL连接
-T：并发主机数

破解windows密码
medusa -M smbnt -h 1.1.1.1 -u administrator -P pass.lst -e ns -F
破解Linux SSH密码
medusa -M ssh -h 192.168.20.10 -u root -P pass.lst -e ns –F
其他服务密码破解
medusa -M mysql -h 1.1.1.1 -u root -P pass.lst -e ns -F

离线密码破解

大致方法
嗅探获取密码HASH
利用漏洞登陆服务器并从用户数据库获取密码HASH
识别HASH类型长度、字符集
利用离线破解工具碰撞密码HASH
Hash识别工具

hash-identifier
Hashid

获取windowshash

利用漏洞：Pwdump、fgdump、 mimikatz、wce
物理接触：samdump2
启动破解windows密码
步骤：
– Kali ISO 启动虚拟机
– mount /dev/sda1 /mnt
– cd /mnt/Windows/System32/config
– samdump2 SYSTEM SAM -o sam.hash
– 利用nc传输HASH
补充
windows可设置syskey，即对保存用户登录密码hash值的sam数据库进行再加密
登录时需要输入双层密码，第一层sysjey，第二层才是用户名密码

工具

Hashcat

开源，80多种加密算法，基于CPU的计算能力
hashcat详细使用指南
一些参数：
-b 测试计算机破解的速度和显示相关硬件信息
-m 哈希类别，其NUM值参考其帮助信息下面的哈希类别值，其值为数字。如果不指定m值则默认指md5
-o 定义哈希文件恢复输出文件
-n 线程数
破解模式：-a num
0 = Straight （字典破解）
1 = Combination （组合破解）
2 = Toggle-Case （大小写转换）
3 = Brute-force（掩码暴力破解）
4 = Permutation（序列破解）
5 = Table-Lookup（查表破解）
6 = Hybrid dict + mask 字典加掩码破解
7 = Hybrid mask + dict 掩码+字典破解
8 = Prince（王子破解）
破解规则：
代表数字?d
可以换成小写字母?l
大写字母?u
特殊字符?s
大小写字母+特殊字符+数字?a
十六进制?b
–O表示最优化破解模式
一些例子

hashcat -m 100 hash.dump pass.lst
hashcat -m 0 hash.txt -a 3 ?l?l?l?l?l?l?l?l?d?d
hashcat -m 100 -a 3 hash -i --increment-min 6 --increment-max
8 ?l?l?l?l?l?l?l?l

oclhashcat

基于GPU
操作和hashcat差不多

RainbowCrack

KALI 中包含的RainbowCrack工具
rtgen：预计算，生成彩虹表，耗时的阶段
rtgen md5 loweralpha 1 5 0 10000 10000 0
算法字符集最小长度最大长度索引链长度链数量索引
一般不自己生成，去网上找现成的
rtsort：对rtgen生成的彩虹表进行排序
rcrack：查找彩虹表破解密码
rcrack *.rt -h hash值
rcrack *.rt -l hash.txt
以上命令必须顺序使用
彩虹表下载
128G彩虹表BT

john

单向和一些对称加密
模式
Wordlist：基于规则的字典破解
Single crack：默认被首先执行，使用Login/GECOS信息尝试破解
Incremental：所有或指定字符集的暴力破解
External：需要在主配配文件中用C语言子集编程

Linux密码破解
默认顺序Single、wordlist、incremental
将账号，密码合并保存为一个文件unshadow /etc/passwd /etc/shadow > pass.txt
开始破解 john pass.txt
显示破解结果 john --show pass
windows密码破解
john sam.dump --wordlist=password.lst --format=nt（指定hash格式）
john sam.dump --format=nt --show

Ophcrack

基于彩虹表的LM、NTLM密码破解软件
官方彩虹表下载
[一篇关于彩虹表详细介绍](