لقد تحدثت بالفعل من تكسير كلمة السر هنا وهناك ولكن لم يسجل نفسه، وكما قلت في شرح كيف تصبح هاكر التدريب.
أن قال، وسوف تظهر لك الآن كيفية استخدام جون السفاح لاسترداد أي من كلمات السر الخاصة بك، أو ببساطة لاختبار قوة كلمة المرور.
كيف الاختبار مع جون السفاح يختلف عن اختبارات المتانة التقليدية؟
اختبارات متانة الكلاسيكية هي تلك التي يتم العثور عليها في المواقع. انهم عادة تحليل كلمة المرور (من خلال معرفة بالفعل) بحثا عن الأرقام والحروف أو الرموز الخاصة.
ربما كنت قد رأيت في كل مكان لاستخدامها في العدد، صغيرة أحرف كبيرة وأحرف خاصة /، كل لبطول 8 أحرف على الأقل.
هنا نريد أن تذهب أبعد من ذلك واختبار مباشرة متانة كلمة مستخدما في ذلك تقنية تكسير على كلمة المرور الخاصة بنا. ثم نحن نفهم لماذا من المفيد لاختيار كلمة مرور على النموذج المبين أعلاه.
جون السفاح هو متاح في ويندوز، ماك ولينكس، ولكنني لن فقط استخدام لينكس في بلدي على سبيل المثال.
على وجه التحديد، وسوف تستخدم نسخة كلاسيكية من أوبونتو. إذا كنت لا تعرف هذا النظام، وأنا أدعوكم لبدء القراءة هنا: تصبح مألوفة مع لينكس.
كالي على لينكس، جون المثبتة مسبقا ولكن هي منتشرة ملفات التكوين وقوائم كلمات السر (قائمة الكلمات) في جميع أنحاء ... مما يجعل أسلوب غير عملي أو مملة. ومع ذلك، يمكنك اتباعها الى حد كبير هذا البرنامج التعليمي مع كالي.
تحميل وتثبيت جون وRipperjohn-الخارق للتكسير كلمة السر
تحميل جون السفاح على الموقع الرسمي هنا: http://www.openwall.com/john/g/john-1.7.9-jumbo-7.tar.gz
أذكر لا ينصح أن برامج التحميل على مواقع غير رسمية لأنك يمكن أن تجد مفاجآت.
ثم فتح أرشيف تحميلها واختيار موقع لاستخراج الملفات من الأرشيف. ينبغي أن يكون هناك ثلاثة "وثيقة"، "تشغيل" و "سرك".
« doc », « run » et « src ».
يحتوي المجلد "وثيقة" « doc » جميع الوثائق على شكل ملفات نصية، بما في ذلك تثبيت الملف الذي يشرح كيفية تثبيت JTR.
يحتوي المجلد "سرك" « src » الملفات المصدر.
ملف "تشغيل" « run » يحتوي على ملفات التكوين والتنفيذية بما في ذلك "جون" « john »عندما كنت قد جمعت البرامج.
تحميل جون السفاح على الموقع الرسمي هنا: http://www.openwall.com/john/g/john-1.7.9-jumbo-7.tar.gz
أذكر لا ينصح أن برامج التحميل على مواقع غير رسمية لأنك يمكن أن تجد مفاجآت.
ثم فتح أرشيف تحميلها واختيار موقع لاستخراج الملفات من الأرشيف. ينبغي أن يكون هناك ثلاثة "وثيقة"، "تشغيل" و "سرك".
« doc », « run » et « src ».
يحتوي المجلد "وثيقة" « doc » جميع الوثائق على شكل ملفات نصية، بما في ذلك تثبيت الملف الذي يشرح كيفية تثبيت JTR.
يحتوي المجلد "سرك" « src » الملفات المصدر.
ملف "تشغيل" « run » يحتوي على ملفات التكوين والتنفيذية بما في ذلك "جون" « john »عندما كنت قد جمعت البرامج.
قبل تجميع جون، تحتاج إلى تثبيت مكتبة libssl إذا لم يكن بالفعل:
سودو الرابطة بين الحصول على تثبيت libssl-dev
ثم انتقل في وتقديم ترشيح نفسه سجل:
جعل النظيفة عام
دعونا النهاية تجميع ثم ضع لك في "تشغيل" (CD ../run) ملف
كنت على استعداد لاستخدام JTR.
باستخدام جون السفاح للقضاء على كلمة السر
الآن يمكنك اختبار قوة كلمة المرور الخاصة بك بدءا من اختبار كلمة المرور الحالية لينكس (مشفرة باستخدام خوارزمية SHA-512). للقيام بذلك، اكتب الأمر التالي:
ملاحظة : الامر مكتوب بالغة اللاتنية من اليسار الي اليمين
sudo ./unshadow /etc/passwd /etc/shadow > pass
سيحتوي الملف تمرير كل كلمات المرور المشفرة من المستخدمين للنظام. حتى إذا كنت ترغب في اختبار العديد من كلمات المرور، يمكنك فقط تغيير يدكم (القيادة باسود) أو إنشاء مستخدم جديد (adduser).
يمكنك البدء في تمرير ملف جون تصويتك:
./john pass
ومع ذلك، يحتوي ملف تمرير سطر واحد لكل مستخدم، ويمثل كل سطر في النموذج القياسي من الملفات كلمة على لينكس.
عدم السماح جون تكسير كلمات السر للمستخدمين واحدا تلو الآخر، يمكنك تحديد بعض المستخدمين فقط مع الأوامر:
./john --users = monnomdutilisateur، autreutilisateur
كيف JTR
جون يدير افتراضيا وسائط البحث الثلاثة التالية بالترتيب:
وتسعى وضع واحد مع كلمات السر واضحة، ثم مع لوائح الكلمات حتى مع قائمة من كلمات السر مسبقا (password.lst) ثم مع وضع تدريجي وهو الشيء التقليدي طريقة bruteforce.
الملف john.conf (ملف تشغيل) لتكوين جون. يمكننا تحديد قواعد مثل التعابير العادية بناء على كلمات السر. يمكن للمرء أيضا اختيار طول العداد وكلمات السر ماكس لفحصها في وضع تدريجي.
وضع واحد بالبحث عن الكلمات التي تظهر نموذجي كلمة مثل اسم المستخدم، اسم المجلد، الخ
جون السفاح لتشغيل في وضع واحد فقط، استخدم الأمر التالي:
./john --single pass
وضع قائمة الكلمات يسمح لك لاختبار جميع كلمات السر من قائمة محددة مسبقا معلمة معينة.
لاستخدام جون مع وضع لوائح الكلمات فقط:
./john --users=nomutilisateur --wordlist=wordlist1 pass
وضع تدريجي اختبارات جميع كلمات السر تزايد القيم لكل اختبار.
هذا هو لاختبار مباشرة وضع "bruteforce". هذا الوضع عادة لا ينتهي، لا سيما إذا كان يختبر كلمات المرور من 8 أحرف، لأن من شأنه أن يستغرق عقودا للقيام عدا بالطبع إذا تم العثور على كلمة مرور قبل.
عند البحث عن كلمة مرور يمكنك دائما الضغط على أي مفتاح لعرض حالة من البحوث الحالية. عرض المثال:
guesses: 0 time: 0:00:01:12 (3) c/s: 8572 trying: ttypt1 - ttypts
عندما JTR العثور على كلمة السر، فإنه يعرض خط مثل هذا:
guesses: 1 time: 0:00:00:29 DONE (Sat Oct 4 16:51:39 2014) c/s: 269 trying: monmotdepasse
خط الناتجة من الدول النهاية:
le nombre de mot de passes devinés
يمكننا أيضا تحديد جلسة عمل مع
../john --session=nomSession
الأمر الذي سيخلق اثنين nomSession.rec وnomSession.log الملفات.
لاستئناف التنفيذ:
./john --restore
سودو الرابطة بين الحصول على تثبيت libssl-dev
ثم انتقل في وتقديم ترشيح نفسه سجل:
جعل النظيفة عام
دعونا النهاية تجميع ثم ضع لك في "تشغيل" (CD ../run) ملف
كنت على استعداد لاستخدام JTR.
باستخدام جون السفاح للقضاء على كلمة السر
الآن يمكنك اختبار قوة كلمة المرور الخاصة بك بدءا من اختبار كلمة المرور الحالية لينكس (مشفرة باستخدام خوارزمية SHA-512). للقيام بذلك، اكتب الأمر التالي:
ملاحظة : الامر مكتوب بالغة اللاتنية من اليسار الي اليمين
sudo ./unshadow /etc/passwd /etc/shadow > pass
سيحتوي الملف تمرير كل كلمات المرور المشفرة من المستخدمين للنظام. حتى إذا كنت ترغب في اختبار العديد من كلمات المرور، يمكنك فقط تغيير يدكم (القيادة باسود) أو إنشاء مستخدم جديد (adduser).
يمكنك البدء في تمرير ملف جون تصويتك:
./john pass
ومع ذلك، يحتوي ملف تمرير سطر واحد لكل مستخدم، ويمثل كل سطر في النموذج القياسي من الملفات كلمة على لينكس.
عدم السماح جون تكسير كلمات السر للمستخدمين واحدا تلو الآخر، يمكنك تحديد بعض المستخدمين فقط مع الأوامر:
./john --users = monnomdutilisateur، autreutilisateur
كيف JTR
جون يدير افتراضيا وسائط البحث الثلاثة التالية بالترتيب:
وتسعى وضع واحد مع كلمات السر واضحة، ثم مع لوائح الكلمات حتى مع قائمة من كلمات السر مسبقا (password.lst) ثم مع وضع تدريجي وهو الشيء التقليدي طريقة bruteforce.
الملف john.conf (ملف تشغيل) لتكوين جون. يمكننا تحديد قواعد مثل التعابير العادية بناء على كلمات السر. يمكن للمرء أيضا اختيار طول العداد وكلمات السر ماكس لفحصها في وضع تدريجي.
وضع واحد بالبحث عن الكلمات التي تظهر نموذجي كلمة مثل اسم المستخدم، اسم المجلد، الخ
جون السفاح لتشغيل في وضع واحد فقط، استخدم الأمر التالي:
./john --single pass
وضع قائمة الكلمات يسمح لك لاختبار جميع كلمات السر من قائمة محددة مسبقا معلمة معينة.
لاستخدام جون مع وضع لوائح الكلمات فقط:
./john --users=nomutilisateur --wordlist=wordlist1 pass
وضع تدريجي اختبارات جميع كلمات السر تزايد القيم لكل اختبار.
هذا هو لاختبار مباشرة وضع "bruteforce". هذا الوضع عادة لا ينتهي، لا سيما إذا كان يختبر كلمات المرور من 8 أحرف، لأن من شأنه أن يستغرق عقودا للقيام عدا بالطبع إذا تم العثور على كلمة مرور قبل.
عند البحث عن كلمة مرور يمكنك دائما الضغط على أي مفتاح لعرض حالة من البحوث الحالية. عرض المثال:
guesses: 0 time: 0:00:01:12 (3) c/s: 8572 trying: ttypt1 - ttypts
عندما JTR العثور على كلمة السر، فإنه يعرض خط مثل هذا:
guesses: 1 time: 0:00:00:29 DONE (Sat Oct 4 16:51:39 2014) c/s: 269 trying: monmotdepasse
خط الناتجة من الدول النهاية:
le nombre de mot de passes devinés
la durée de la session (D:HH:MM:SS)
le pourcentage actuel ou DONE
le nombre de passes (simple, wordlist, incremental)
la date actuelle
le nombre de chiffrements essayés par secondes (c/s)
كلمات تصدع بالفعل يتم حفظ كلمات السر تلقائيا في john.pot الملف ويمكنك الاطلاع عليها عن طريق كتابة:
./john --show pass
لمقاطعة البحث، ببساطة اضغط CTRL + C، ملف john.rec تحتوي على حالة جلسة العمل يتم إنشاؤه في الدليل الافتراضي. يمكننا أيضا تحديد جلسة عمل مع
../john --session=nomSession
الأمر الذي سيخلق اثنين nomSession.rec وnomSession.log الملفات.
لاستئناف التنفيذ:
./john --restore=nomSession
أو ببساطة (إذا لم تكن قد أعطيت اسم جلسة) ./john --restore
اختبار أشكال أخرى
إذا كنت ترغب في اختبار قوة كلمة المرور الخاصة بك بعد خوارزمية أخرى، يمكنك تحديد المعلمة تنسيق.
على سبيل المثال، يمكنني إنشاء ملف يحتوي على تجزئة MD5 testmd5 من كلمة مرحبا واختباره مع جون السفاح:
إذا كنت ترغب في اختبار قوة كلمة المرور الخاصة بك بعد خوارزمية أخرى، يمكنك تحديد المعلمة تنسيق.
على سبيل المثال، يمكنني إنشاء ملف يحتوي على تجزئة MD5 testmd5 من كلمة مرحبا واختباره مع جون السفاح:
./john -format:raw-MD5 testmd5
Loaded 1 password hash (Raw MD5 [32/32])
bonjour (?)
guesses: 1 time: 0:00:00:00 DONE (Sat Oct 4 17:00:02 2014) c/s: 5702 trying: bonjour
كلا أقول أنه إذا كلمة المرور الخاصة بك هي "مرحبا" و هو في MD5 تجزئته، فهي بعيدة بوضوح منخفض جدا.
كلمة حول القواعد
جون يسمح باستخدام قواعد على قوائم كلمات السر. هذا هو لتغيير كلمات السر من القائمة تلقائيا. تعريفها في ملف john.conf.
على سبيل المثال، ويقول أن كلمة المرور الخاصة بك تحتوي على كلمة القراصنة، ويمكنني أن إعداد قائمة تسمى "قائمة الكلمات" كلمة واحدة فقط: القراصنة. وعند اختبار القواعد، وهنا كلمات السر التي تولدها جون:
./john -wordlist=wordlist --rules --stdout
hacker
Hacker
hackers
hacker1
Hacker1
hackerhacker
rekcah
1hacker
HACKER
hacker2
hacker!
hacker3
hacker7
hacker9
hacker5
hacker4
hacker8
hacker6
hacker0
hacker.
hacker?
hckr
HackerHacker
rekcaH
Rekcah
hackerrekcah
hackeR
2hacker
4hacker
Hacker2
Hacker!
Hacker3
Hacker9
Hacker5
Hacker7
Hacker4
Hacker6
Hacker8
Hacker.
Hacker?
Hacker0
3hacker
7hacker
9hacker
5hacker
6hacker
8hacker
Hackers
hackered
hackering
Hackered
Hackering
هنا كان مجرد عرض للتظاهر. لاستخدامها على الملف الخاص بك تحتوي على كلمات السر والأمر كما يلي:
./john -wordlist=wordlist --rules pass
مع القواعد لم يكن لديك لكتابة كل الأشكال المختلفة من كلمات السر باليد في قائمتك. وسيتم إنشاؤه تلقائيا واختبارها.
حول قوائم لكلمات السر، الافتراضي هو password.lst جون، ولكنه باللغة الإنجليزية. يمكنك العثور على قوائم باللغة الفرنسية في جميع أنحاء الإنترنت. يمكنك أيضا استخدام أدوات لتوليد قوائم كلمات السر.
استنتاج
جون كلمة السر تكسير الممزق هو هواية الأكثر شعبية لسبب وجيه: فهو سريع ولديه قوة كبيرة من الانشقاق. إذا كان يبدو لفترة طويلة دون العثور على شيء، أنت يحتمل أن تكون لها كلمة مرور قوية. إذا، ومع ذلك، تم العثور على كلمة المرور، ومما لا ريب غير آمن.
مزيد من المعلومات والوثائق كاملة باللغة الإنجليزية: http://www.openwall.com/john/doc/
-Download المفرقع كلمة المرور مع جون السفاح كما PDF-
حول قوائم لكلمات السر، الافتراضي هو password.lst جون، ولكنه باللغة الإنجليزية. يمكنك العثور على قوائم باللغة الفرنسية في جميع أنحاء الإنترنت. يمكنك أيضا استخدام أدوات لتوليد قوائم كلمات السر.
استنتاج
جون كلمة السر تكسير الممزق هو هواية الأكثر شعبية لسبب وجيه: فهو سريع ولديه قوة كبيرة من الانشقاق. إذا كان يبدو لفترة طويلة دون العثور على شيء، أنت يحتمل أن تكون لها كلمة مرور قوية. إذا، ومع ذلك، تم العثور على كلمة المرور، ومما لا ريب غير آمن.
مزيد من المعلومات والوثائق كاملة باللغة الإنجليزية: http://www.openwall.com/john/doc/
-Download المفرقع كلمة المرور مع جون السفاح كما PDF-
0 التعليقات