实践练习：通过hashcat破解 ntds.dit的密码

2016-07-15 13:58:14 来源：360安全播报 作者：Mickeyyyyy 阅读：114次

分享到：

众所周知，目前市场上的GPU速度越来越快，利用GPU超强的运算能力来进行密码暴力破解，将会从很大程度上提高密码破解的成功率。在此之前，国外的安全研究专家曾经使用过一个由二十六块显卡所组成的分布式破解神器来破解密码，这在当时曾引起不小的轰动。要说目前最好的GPU破解哈希密码的软件，那就非HashCat莫属了。下面我就为大家具体介绍一下HashCat系列软件。

HashCat系列软件在硬件上支持使用CPU、NVIDIA GPU、ATI GPU来进行密码破解。在操作系统上支持Windows和Linux平台，并且需要安装官方指定版本的显卡驱动程序，如果驱动程序版本不对，可能导致程序无法运行。

现在，我们使用Hashcat和rockyou密码字典来破解目标密码的哈希值。通过下面这条命令，我们可以指定hashcat的工作模式：

hashcat-3.00/hashcat64.exe -a 0 -m 3000 --potfile-path hashcat-rockyou-lm.pot --username lm.ocl.out rockyou.txt

参数选项-a 0：让hashcat利用密码字典来进行暴力破解。

参数选项-m 3000：这一参数会告知hashcat用户提供的是LM哈希密码。

参数选项-username ：这一参数会告知hashcat，哈希文件 lm.ocl.out 中包含有密码所对应的用户名。

在上面这条命令中，参数lm.ocl.out是我们指定的哈希文件。参数rockyou.txt是密码字典。

除此之外，我还使用到了–potfile-path命令来为hashcat指定一个pot文件，该文件中包含有密码对应的预生成哈希值，该文件的作用类似于彩虹表。

输出结果如下：

hashcat (v3.00-1-g67a8d97) starting... OpenCL Platform #1: Intel(R) Corporation ======================================== - Device #1: Intel(R) HD Graphics 5000, 356/1425 MB allocatable, 40MCU - Device #2: Intel(R) Core(TM) i7-4650U CPU @ 1.70GHz, skipped Hashes: 62 hashes; 48 unique digests, 1 unique salts Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates Rules: 1 Applicable Optimizers: * Zero-Byte * Precompute-Final-Permutation * Not-Iterated * Single-Salt Watchdog: Temperature abort trigger disabled Watchdog: Temperature retain trigger disabled aad3b435b51404ee: [s]tatus [p]ause [r]esume [b]ypass [c]heckpoint [q]uit => Cache-hit dictionary stats rockyou.txt: 154179996 bytes, 14343328 words, 14343328 keyspace c2265b23734e0dac:1 944e2df489a880e4:R 1104594f8c2ef12b:F 9fdfa4280126e140:AS 56c94ea187dbb8d6:RACHELL 8358f3d2c80c1dc5:ON 27bcbf149915a329:T1 d0d0b0a89785fea7:AMOROSA fdcfc2afb2d1be34:V 7a01665eb2eb6c14:007 e69e57fcbfc37426:BEAUFOR 158759f68c114883:92 843201b3eec511e6:GIRLISH 19d76dfe3931be22:2020 ee3c975e9312263a:THURLOW dacc48edf1058ae1:OVEJA d4b8a9676de6053e:EANNE 3c152122664981d0:MAISIE2 58ee1ecfcb1952c1:ZORDIC7 8dfa87789573aa6c:TADOB bfa8b0f05b2ce944:LM11819 22d8afdd59cc02d1:KURT!!! INFO: approaching final keyspace, workload adjusted Session.Name...: hashcat Status.........: Exhausted Input.Mode.....: File (rockyou.txt) Hash.Target....: 88d84c068ac05e0a, c8e4acdacab3b812 Hash.Type......: LM Time.Started...: Mon Jul 11 22:54:46 2016 (2 secs) Speed.Dev.#1...:  5193.2 kH/s (13.32ms) Recovered......: 23/48 (47.92%) Digests, 0/1 (0.00%) Salts Progress.......: 14343328/14343328 (100.00%) Rejected.......: 0/14343328 (0.00%) Started: Mon Jul 11 22:54:46 2016 Stopped: Mon Jul 11 22:54:52 2016

为了输出明文密码，我们还可以使用-show命令，使用方式如下：

hashcat-3.00/hashcat64.exe --show -m 3000 --outfile-format 2 --potfile-path hashcat-rockyou-lm.pot --username lm.ocl.out

参数选项-show可以让hashcat将破解出来的明文密码打印输出。

参数选项-m 3000是使用-show命令所必需提供的参数。这一参数将会告知hashcat用户提供的是LM哈希密码。

参数选项-username 用于告知hashcat，我们所提供的hash文件lm.ocl.out中包含有用户名。

参数选项-outfile-format 2用于让hashcat输出不包涵哈希值的密码信息。

在上面这条命令中，参数lm.ocl.out是我们的hash文件。除此之外，我还使用到了–potfile-path命令来为hashcat指定一个pot文件，该文件中包含有密码对应的预生成哈希米吗，该文件的作用类似于彩虹表。

输出结果如下：

hashcat (v3.00-1-g67a8d97) starting... Administrator:[notfound] user01:[notfound] user03:RACHELLEANNE user04:ZORDIC7 user05:KURT!!! user06:GIRLISH2020 user07:AMOROSAOVEJA user09:THURLOW1 user10:BEAUFORT1 user12:MAISIE2007 user14:[notfound] user15:TADOB user16:LM1181992 user17:[notfound] user19:[notfound] user20:[notfound]ON user21:V user22:AS user23:[notfound] user24:[notfound] user25:[notfound] user26:[notfound] user27:[notfound] user28:[notfound]R user29:[notfound]F

正如上面的输出结果所示，我们破解了用户1至20中的大部分密码，但是如果用户密码的长度超过了14个字符，hashcat就会显示“密码没有找到”。另外，hashcat输出的密码结果全部都是大写字母的形式。

利用下面这条命令，我们可以让hashcat破解我们所提取出的HTLM哈希密码：

hashcat-3.00/hashcat64.exe -a 0 -m 1000 --potfile-path hashcat-rockyou-nt.pot --username nt.ocl.out rockyou.txt

在上面的这条命令中所使用的控制参数基本上与LM哈希密码的破解命令相同，其中的不同之处如下所示：

参数选项-m 1000用于告知hashcat，我们所提供的是NTLM哈希密码。

参数nt.ocl.out是我们需要提供的哈希文件。

输出结果如下：

 hashcat (v3.00-1-g67a8d97) starting... OpenCL Platform #1: Intel(R) Corporation ======================================== - Device #1: Intel(R) HD Graphics 5000, 356/1425 MB allocatable, 40MCU - Device #2: Intel(R) Core(TM) i7-4650U CPU @ 1.70GHz, skipped Hashes: 43 hashes; 43 unique digests, 1 unique salts Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates Rules: 1 Applicable Optimizers: * Zero-Byte * Precompute-Init * Precompute-Merkle-Demgard * Meet-In-The-Middle * Early-Skip * Not-Salted * Not-Iterated * Single-Salt * Raw-Hash Watchdog: Temperature abort trigger disabled Watchdog: Temperature retain trigger disabled Cache-hit dictionary stats rockyou.txt: 154179996 bytes, 14343328 words, 14343328 keyspace 32ed87bdb5fdc5e9cba88547376818d4:123456 e550853afc9a68106d73fd6680b25604:mychemicalromance 125fee170ce858738fc08d61291174ed:beautifulprincess c1d5ff9561074a64e8164745f7e057a3:beaufort1 0d870c8d2ed66211a6cd19b6c8c6939a:thurlow1 9aeae4ad385c29a8d3e25a2032df95ec:rachelleanne 3081116936973f2a1019178a085e77cd:maisie2007 3f77a049f85d9ecb089313d68dc64796:maiseythorne2007 2a54f9c00701830e44923a19eea7df62:zordic7 7f5ab070d31e61251ab4ef78b6601941:yeliz6 0794f987708fd36dc158c3435d1e9d65:tadob f85bbc519f1d4b9453d0d316d2f43efd:lm1181992 336413710df33e5d6ef4ba82ba762543:kurt!!! 8810b6cff094d7bbfa9254a47e460e8c:girlish2020 5bd6fddd235507a2baf82843b6174b4e:cuningo d10107259670c218d8389bb05a6ca9a5:amorosaoveja c09c4e921a0f7763e22aa5f38d73016a:Lzac08@ 8d15a7e3fe3271b73180de20f9532111:Horselover1493@hotmail.com 9180c11efd4cb6149557f59b0cf80573:FEPARAGON INFO: approaching final keyspace, workload adjusted 81ed9d39c208fb710f16fd01df2c5ea3:453758487l Session.Name...: hashcat Status.........: Exhausted Input.Mode.....: File (rockyou.txt) Hash.Target....: File (nt.ocl.out) Hash.Type......: NTLM Time.Started...: Mon Jul 11 23:26:10 2016 (2 secs) Speed.Dev.#1...:  6402.3 kH/s (12.17ms) Recovered......: 20/43 (46.51%) Digests, 0/1 (0.00%) Salts Progress.......: 14343328/14343328 (100.00%) Rejected.......: 1150/14343328 (0.01%) Started: Mon Jul 11 23:26:10 2016 Stopped: Mon Jul 11 23:26:17 2016

请注意，这一次我们成功破解了用户1至20的所有密码，包括长度超过14个字符的密码，而且这次破解出的密码是包含有小写字母的正确密码。

目前，HashCat主要分为三个版本：Hashcat、oclHashcat-plus、oclHashcat-lite。这三个版本的主要区别是：HashCat只支持CPU破解。oclHashcat-plus支持使用GPU破解多个HASH，并且支持的算法高达77种。oclHashcat-lite只支持使用GPU对单个HASH进行破解，支持的HASH种类仅有32种，但是对算法进行了优化，可以达到GPU破解的最高速度。如果只有单个密文进行破解的话，推荐使用oclHashCat-lite。

本文只是简单介绍HashCat的简单用法，希望这篇文章能够让大家学会如何利用HashCat来破解ntds.dic。如果本文有什么缺点或不足也希望大家能够及时提出，如果用户在使用过程当中有任何疑问，欢迎与我联系。如果想要更加详细的了解HashCat，请大家参阅官方文档：http://hashcat.net/wiki/。