Brute Force Passwort Attacke

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Erklärung

  • Die Brute-Force-Methode bzw. Methode der rohen Gewalt
  • Eine Passwort Attacke die auf dem Ausprobieren aller möglichen Fälle beruht.
  • Auch der Begriff erschöpfende Suche ist in Gebrauch.
  • Es wird wild durchprobiert ohne einem gewissen Muster zu folgen.
  • Es gibt Listen von Passwörtern die oft in Gebrauch sind.
  • Oft sind System so eingestellt, das nur eine gewisse Versuche pro Zeit zulässig sind.
  • Die Angriffsprogramm verlangsamen dann.

Normale Bruteforce

Geklautes Passwort

14131fb520f6601436f24d91885e969d348c5104954d255d0534730c5ef4e94a

Passwort Liste

Download

Anfang

  • tail -10 bad-passwords
lovely
cookie
whatever
shadow
password
password1
1234
12345
fitness
0987654321

Script

  • cat brute-force-hash.sh
#!/bin/bash
GKHA=$1
BPL=$2
while read LINE
do
GLHA=$(echo $LINE | sha256sum | awk '{ print $1 }')
if test $GLHA = $GKHA
then
echo "Das Password lautet: $LINE"
exit
fi
done < $BPL

Aufruf

  • ./brute-force-hash.sh 14131fb520f6601436f24d91885e969d348c5104954d255d0534730c5ef4e94a bad-passwords

Lookup Table

Erstellen

  • while read LINE
do
echo $LINE:$(echo $LINE | sha256sum | awk '{ print $1 }' )
done < bad-passwords > bad-passwords-mit-hashes

Passwort finden

  • cat brute-force-lookup.sh
#!/bin/bash
GKHA=$1
BPL=$2
while read LINE
do
GLHA=$(echo $LINE | cut -f 2 -d : )
if test $GLHA = $GKHA
then
echo "Das Password lautet: $(echo $LINE | cut -f 1 -d : )"
exit
fi
done < $BPL

Aufruf

  • ./brute-force-lookup.sh 14131fb520f6601436f24d91885e969d348c5104954d255d0534730c5ef4e94a bad-passwords-mit-hashes
Abgerufen von „http://wiki.ixheim.de/index.php?title=Brute_Force_Passwort_Attacke&oldid=55506