January 14, 2012

Cracking Shadow File [John+Hashcat]

Shadow file adalah sebuah file yang berisikan informasi dari sebuah sistem operasi Linux, yang memuat:
  1. Username
  2. Salt
  3. Password
  4. User ID
  5. Group ID
  6. Full Name
  7. Home Directory
  8. Login Shell
Tantangan para penterster adalah, file shadow ini dienkripsi dengan sistem BSD 32 bit yang bila sebuah password sepanjang 10 karakter di-bruteforce
akan butuh seribu tahun untuk bisa menemukan kombinasinya. Namun, ada cara yang lebih cepat, yaitu dengan dictionary attack. Dengan dictionary attack, seorang pentester hanya butuh 2 sampai 3 jam saja untuk melakukan peretasan. 


Yang kamu butuhkan:
  1. John The Rripper (sudah ada di BackTrack)
  2. HashCat (sudah ada di BackTrack)
  3. File Shadow (bisa didapatkan di pc Unix kamu sendiri)
  4. Dictionary
Menggunakan JTR
Pertama, sediakan file shadow dan dictionary, kemudian buka terminal,menuju ke /pentest/password/jtr.




Di sini saya mempunyai sebuah file shadow di folder /root/cracking-file-shadow/ bernama "shadow" dan di folder yang sama, saya juga sudah menyediakan sebuah dictionary list bernama "wordlist.lst". Berikut adalah file shadow dan dictionary saya:

SHADOW:

 WORDLIST:

Untuk memulai cracking, kita harus mengetahui cara menggunakan JTR. Dimana:


Usage: john [OPTIONS] [PASSWORD-FILES]


Untuk cracking shadow, tentukan posisi wordlist serta shadow yang akan di crack.


Code:
root@blusp10it:/pentest/passwords/jtr# ./john --wordlist=[FILE] [SHADOW]

Dimana [FILE] adalah dictionary file kamu dan [SHADOW] adalah file shadow kamu.


Code:
root@blusp10it:/pentest/passwords/jtr# ./john --wordlist=/root/cracking-file-shadow/wordlist.lst /root/cracking-file-shadow/shadow


Jika berhasil di-crack:



Menggunakan HashCat
Menggunakan hachcat agak sedikit rumit daripada menggunakan JTR, karena kita harus menentukan tipe enkripsi file itu sendiri, dan harus ada modifikasi sedikit agar hashcat bisa membaca enkripsi shadow.


Penyesuaian:
Jika file shadow kamu seperti ini:


root:$1$aQo/FOTu$rriwTq.pGmN3OhFe75yd30:13574:0:::::


Hapus yang berwarna merah menjadi:

$1$aQo/FOTu$rriwTq.pGmN3OhFe75yd30
Kemudian, save file tersebut:


Jika sudah, kita lakukan cracking dengan perintah umum hashcat


Usage: ./hashcat-cli.bin [options] hashfile [wordfiles|directories]


Di sini, options akan kita gunakan untuk menentukan jenis enkripsi file yang akan kita crack yaitu: MD5(Unix) dengan nomor 500.


Setelah menentukan jenis enkripsi, kita harus menentukan file shadow dan dictionary kita, sehingga perintah akhirnya menjadi:


Code:
root@blusp10it:/pentest/passwords/hashcat# ./hashcat-cli.bin --hash-mode=500 /root/cracking-file-shadow/shadow /root/cracking-file-shadow/wordlist.lst

Jika berhasil di crack, akan seperti ini:




Created by blusp10it