Crackear contraseñas con John the Ripper

-

 


Crackear contraseñas con John the Ripper


En primer lugar, John es una "aplicación" que viene instalada por defecto tanto en las distribuciones Kali y Parrot. Dicha aplicación se puede instalar en cualquier linux con el simple comando: $ sudo apt-get install john.

También es posible su instalación en el SO Windows.


A todos nos ha pasado alguna vez, el descargar alguna aplicación de terceros que esté protegido por contraseña. Nosotros tener encriptado algún directorio y no recordar la contraseña. (fig.1)

Pues con el articulo de hoy, recuperar una contraseña olvidada ya no supondrá ningún problema.


En primer lugar tocara abrir la terminal, y dirigirse al directorio donde está el documento protegido por contraseña.


Ahora una vez allí, tocará ejecutar la aplicación de John para exportar el hash del zip. Bastará con introducir el siguiente comando:

$zip2john "Nombre del documento" > "nombre de destino de la extracción". En mi caso (fig.2) quedaría así: $ zip2john frib1t.zip > hashes.


Realizamos un cat, para ojear el hash creado:



Y ahora solo quedará usar la aplicación de John junto con un archivo de contraseñas para aplicar la fuerza bruta. En mi caso usaré el archivo rockyou.txt localizado en la ruta /usr/share/wordlists/ en Parrot. El comando sería el siguiente:

$john--wordlist=/usr/share/wordlists/rockyou.txt hashes

Con --wordlists= se selecciona el diccionario a usar. 

La estructura de la aplicación sería:

 john [opción] [documento]

Una vez puesto el comando en la terminal, se mostraría en la consola la contraseña del documento. (fig.4)


También podemos decirle que nos muestre el resultado si no nos ha salido con el comando:

$ john --show hashes (fig.5)


Ahora solo quedará introducir la contraseña y abrir el documento.



¿Como evitar la fuerza bruta en archivos y directorios?

No hay métodos seguros al 100%. Lo que si que se puede intentar es que tu contraseña quede fuera del alcance de los diccionarios con los siguientes consejos.

-Usa una frase contraseña. De una extensión de 6 o 8 caracteres mínimo.

-Usa una combinación de mayúsculas y minúsculas.

-Usa una combinación de números, caracteres especiales y letras.

Un buen ejemplo sería el siguiente:

S3rg10/19/83/B4ckup





Comentarios

Publicar un comentario

Entradas populares de este blog

¡Nos mudamos a YouTube! 🎥✨

-
Imagen
 Querida comunidad, Después de mucho tiempo compartiendo contenido aquí, he decidido dar un nuevo paso en mi camino digital. ¡Me mudo a YouTube ! 🚀 Ha sido un placer enorme escribir y compartir en este blog, pero ahora es el momento de enfocar toda mi energía en nuevos proyectos audiovisuales. Por supuesto, esto no es un adiós, sino un "¡nos vemos en otros canales!" 🎉. Si quieres seguir conectado conmigo y mi contenido, estaré activo en las siguientes plataformas: YouTube : youtube.com/@frib1t Instagram : instagram.com/frib1t LinkedIn : linkedin.com/in/ramón-frizat-81588a156 Para cualquier cosa, estaré encantado de seguir conectando con todos ustedes. ¡Nos vemos pronto! Con cariño, Ramón Frizat Akka Frib1t
Leer más

VULNERABILIDAD DÍA CERO SAMSUNG GALAXY S21

-
Imagen
VULNERABILIDAD DÍA CERO DE ESCALADA DE PRIVILEGIOS EN SMARTPHONES SAMSUNG GALAXY S21.  (NO HAY PARCHE DISPONIBLE) A través de The Zero Day Initiative (ZDI), se reportó el hallazgo de una vulnerabilidad crítica de escalada de privilegios locales que podría poner en riesgo millones de dispositivos Samsung Galaxy S21. Según este reporte, las fallas permiten a los atacantes de amenazas locales ejecutar código arbitrario en los modelos de smartphones afectados. Antes del ataque, los hackers maliciosos debe obtener la capacidad de ejecutar código con privilegios mínimos en el sistema comprometido. Al parecer, la falla reside dentro de Web Bridge WebView. WebView expone una interfaz de JavaScript que permite a los actores de amenazas iniciar aplicaciones arbitrarias; esta falla puede ser explotada junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del usuario actual. La falla fue reportada a los desarrolladores a finales de 2021 y...
Leer más

Estrenando mi Github

-
Imagen
  PassGen Es un sencillo generador de contraseñas alfanuméricas con caracteres especiales por un lado, y por el otro es capaz de "hashear" la clave que introduzcas. Está creado con Python y es muy sencillo de utilizar. Si desea usarlo en Linux solo tendrá que cambiar el comando "cls" por "clear" Link:   Frib1t/passGen Aquí tiene la sección con el  código
Leer más