Pentest :Hash : O que é ? E como Quebrar-lo?

HASH: 

   Hash é o resultado da passagem de dados , sejam eles arquivos ,senhas,etc por um algoritmo matemático , cirando assim uma sequência de números e letras , dado o nome de hash.
Hash : O que é ? E como descriptografar?

QUAL A UTILIDADE DO HASH:

O hash têm várias utilidades dentre uma verificar a integridade de um arquivo , exemplo comum nas isos Linux , quando você vai começar a fazer o download por exemplo do Kali Linux tem o hash do arquivo :



Hash : O que é ? E como descriptografar?


 Esse hash da imagem iso do Kali é utilizado para checar se a imagem foi corrompida  no momento do download , verificando o hash da imagem baixada se for igual ao do site , a imagem iso está integra ou seja não houve falha no processo do download.

  Usado também por arquivos torrents , no momento que é gerado o hash do arquivo torrent , esse hash é distribuído para o programa , seja ele transmission , utorrent , bit torrent . Quando solicitado o download o programa faz a checagem do hash , se o hash for diferente do original significa que o arquivo foi alterado e o download é rejeitado , garantindo assim mais segurança contra malware para seus usuários.

  O mais conhecido uso são  nas senhas . No banco de dados as senhas  são guardadas em hash , garantindo em tese a segurança do usuário , caso invadido o banco , o atacante não teria acesso a senha verdadeira.


TIPOS MAIS COMUNS DE HASH:

  Para a criação do hash são mais comuns os algiritmos md5 e sha1.

 

Md5 (menssage-digest algorithm 5) 

128bits unidirecional ,  por ser unidirecional a md5 não aceita o caminho inverso ou seja tranformar de novo um hash em texto.

 Sha1 (secure hash algorithm)

160bits unidirecional ,  por ser unidirecional a md5 não aceita o caminho inverso ou seja tranformar de novo um hash em texto.


COMO QUEBRAR UM HASH:

  Como você viu os algotitmos não fazem o caminho inverso , temos algumas alternativas para isso , ataque de força bruta usando o hashcat , onde será criptografado palavras de um dicionário e comparado com o hash principal , se o hash for igual , significa que a palavra que foi criptografada pelo hashcat é a senha.

  O ataque de força bruta as vezes é inviável , a maioria dos hackers abomina , por se tratar de uma forma grosseira de conseguir uma senha  e também pelo tempo gasto , dependendo do dicionário pode-se levar dias.

  Existe algumas ferramentas online que fazem esse processo , já têm no seu  banco de dados hashs descriptografados , então é uma alternativa mais facíl e rápida. E é essa que vou mostrar para vocês  aqui no LINUX PENTEST :

Iremos precisar de  dois programas em python:




  Todos são programas feitos em Python sua execussão dar-se dessa forma:

sudo python ./nomedoprograma

  Primeiro use o   HASH-ID para identificar qual o tipo de hash se é md5 , sha1 ou outro tipo. Abrirá o programa e é só colar o hash e apetar enter.

Identificado o hash usaremos o outro programa FINDMYHASH ele faz a busca em todos os sites que tem o banco de dados de hash.

sudo python ./findmyhash tipodahash -h hash

no tipo da hash você coloca o tipo em maiúscula que você  encontrou no programa anterior , depois do -h você coloca o hash , e pronto , sua senha provavelmente estará quebrada , se ela estiver no banco de dados . 

EXEMPLO:


Hash : O que é ? E como descriptografar?

Hash : O que é ? E como descriptografar?

Hash : O que é ? E como descriptografar?

Até mais.

Comentários :

Postar um comentário