Quebra de senhas
- Usando o John the Ripper
- Atividades

Quebra de senhas

Esta atividade prática visa compreender o uso de uma ferramenta de quebra de senha através de força bruta.

Atenção usem máquinas virtuais salvas antes de começarem as atividades.
Os softwares e sites usados nestes exercícios podem conter malwares diferentes ou técnicas de engenharia social para prejudicar o usuário.
Não compartilhe ou use senha e ou informações pessoais.

Usando o John the Ripper

O software John the Ripper (JtR) é um quebrador de senhas (password cracker) bastante popular, usado para quebrar senhas de sistemas operacionais Windows e UNIX-like.

O JtR possui vários modos de operação:

Modo single: testa variações das informações obtidas no próprio arquivo de senhas, como o nome completo do usuário e seu diretório de trabalho ($HOME). É o método mais simples e rápido para começar.

john -single password-file

Modo wordlist: testa palavras em uma lista e variações delas. Pode ser lento se a lista de palavras for muito grande.

john -wordlist:wordfile password-file

ou aplicando também regras de transformação de palavras:

john -wordlist:wordfile -rules password-file

Modo incremental: testa todas as variações possíveis de senha com até N caracteres; este método pode ser MUITO lento:

john -incremental password-file

Na maioria das distribuições Linux, listas de palavras usadas nos corretores ortográficos podem ser encontradas em /usr/share/dict.

Atividades

Analise um arquivo de senhas qualquer.
- crie um usuário com uma senha fácil para ser quebrada.
Extraia o arquivo de hashes de um sistema Windows, analise sua estrutura e tente quebrar suas senhas.
- Sugestão: use os programas pwdump ou fgdump.
Identifique ferramentas similares disponíveis na Internet e experimente uma delas com os mesmos arquivos.
- sugestões:
  - Hydra,
  - John no KALI,
  - Cain and Abel,
  - HashCat,
  - Ophcrack,
  - hashsuite e
  - hashtoolkit.
Identifique um site com tabelas hash pré-computadas e tente quebrar alguns dos hashes fornecidos.
- ex: tabelas hash pré-computadas.
- wordlists.
Verifique se você ja teve sua conta "dominada- comprometida - pwned".
Verifique as ferramentas disponíveis no KALI "Ferramentas usadas no KALI".
Tente quebrar as senhas abaixo:
- use uma das ferramentas on-line pois elas usam dicionários, que as tornam mais rápidas neste caso.

Algorithm	Hash
md5	012ed31073412135083f523541177e1a
sha1	f2720cdc190e8be29320477760fccc1acf3b43f4
sha256	9e17e9ef6b92c02d0304a2a25ad204db241c98a622af96df5062579ca97fc4c3
sha384	dda5052b339fcda3c42a813f245ac7b42e4a16e70ea6a3c98387278cea530e75cdc86098bd26ac881494f53e3f9052e2
sha512	0e8025b80d882b81c49c138c4dedcf107471440a9561f3de0ab48c06d83039959ee2822a337c7a80ab32910b5b78dc34ff71575ae4edf31f92b4d8a8072aec16

Atenção usem máquinas virtuais salvas antes de começarem as atividades.
Os softwares e sites usados nestes exercícios podem conter malwares diferentes ou técnicas de engenharia social para prejudicar o usuário.
Não compartilhe ou use senha e ou informações pessoais.

Table of Contents

Quebra de senhas

Usando o John the Ripper

Atividades