量子哈希
一、引言
在进行渗透测试时,我们有时会遇到这样的情况:尽管我们尝试了各种密码破解攻击技术,但却毫无进展。即使我们查阅了各种笔记、分析了密码策略和破解结果,也没有任何帮助。这时,我们需要创新的思路,最好的方法是生成随机密码来进行攻击。在这种情况下,Purple Rain attack(紫雨攻击)可以帮助我们打破僵局。Purple Rain attack的一个优点是它可以在几乎无限的时间内运行,唯一的限制是提供的字典大小。如果我们没有足够的时间来仔细选择破解技术,可以考虑使用这种即用型攻击方法,享受这种”一劳永逸”的哈希破解过程。
Purple Rain attack到底能做什么呢?它可以帮助我们想出自己从未想到的密码模式和规则集。将可用的模式和密码组合使用是非常有效的方法,即使只有一个简单的字典,我们也可以在24小时内轻松破解75%的LinkedIn数据。当然,不是所有的模式和密码都是有效的,我们可能会花费很长时间却无法获得关键的哈希结果。但是,想象一下,在长时间的攻击过程中,某一天我们梦寐以求的哈希结果突然出现在控制台上,这将是多么美妙的场景。那时,我们肯定会回头浏览这篇文章,由衷地感叹这种攻击的巧妙之处,并感谢这些工具背后开发者的天才思想。
为什么要给它取这个名字呢?这是因为我们在攻击过程中使用了PRINCEprocessor Hashcat工具,并结合了Prince的著名歌曲《Purple rain》,最终确定了这个名字。在本文中,我们假设您正在尝试破解类似NTLM的哈希,并且已经枚举完7个字符以内的所有密码(也就是说,本文中PRINCE只需要生成长度超过8个字符的候选密码:–pw-min=8)。最后,您还需要一个破解平台,可以选择使用Budget Cracking Rig或Portable Cracking Rig。请关注我们的Twitter获取最新消息。
shuf dict.txt | pp64.bin --pw-min=8 | hashcat -a 0 -m #type -w 4 -O hashes.txt -g 300000
二、参考资源
在开始之前,您可以参考以下几个链接:
- Hashcat
- PRINCEprocessor Hashcat Utility
- List of Possible Dictionaries
Purple Rain的典型用法如下:
pp64.bin --pw-min=8 < dict.txt | head -20
shuf dict.txt | pp64.bin --pw-min=8 | head -20
三、随机生成
关于PRINCE(PRobability INfinite Chained Elements)攻击技术以及随机规则生成方面的内容,您可以在网上找到两篇非常好的文章,这也是Purple Rain的灵感来源。我强烈推荐您阅读Matt Weir发表的有关PRINCE工作原理及具体功能的文章。同时,我也推荐您阅读@evilmog写的有关”raking”(随机密码候选词生成)技术的相关文章,然后搭建自己的环境,在hashcat中使用随机生成的规则来破解哈希。简而言之,PRINCE可以根据输入的字典集,随机组合生成输入词链。配合hashcat的-g参数(随机规则生成选项),您可以进一步增强PRINCE候选密码的输出结果。
四、字典选择
您可以为Purple Rain提供两种类型的字典:专用字典(Targeted wordlist)或通用字典(General Purpose wordlist)。如果您没有任何字典,可以使用一些优秀的通用字典,如rockyou.txt字典。对于PRINCE而言,我不建议使用非常大的字典(比如大小超过500MB的字典)。您可以直接使用最常用的1000万个密码集(只有3.8MB),或者根据实际需要选择合适的词典。在将字典输入PRINCEprocessor之前,您可以使用shuf命令对其进行洗牌,以确保每次发起Purple Rain攻击时,PRINCEprocessor会创建不同的词链。您可以运行以下命令多次尝试,比较输出结果的差异:
shuf dict.txt | pp64.bin --pw-min=8 | hashcat -a 0 -m #type -w 4 -O hashes.txt -g 300000
五、规则数
在选择规则时,我建议先从Hashcat自带的dive.rule开始。这个规则可以将已知密码的衍生密码与PRINCEprocessor随机生成的候选密码组合在一起,并且由于dive.rule会按概率大小进行排序,因此您可能会更早地获得结果。如果您想更复杂一些,可以使用Hashcat的随机规则生成功能,最少使用50,000条随机规则,根据情况可以扩充到1,000,000条规则。如果您不想使用太多规则,我建议每次运行时使用300,000条规则(在命令行中加入-g 300000参数)。需要注意的是,生成的随机规则集越大,Hashcat启动的时间也会越长,因为Hashcat每次运行时都需要动态生成这些规则。此外,PRINCEprocessor自带的princegenerated和princeoptimized规则集也可以尝试使用。
六、命令解析
现在让我们来看一下Purple Rain攻击中使用的一些命令。
基本用法:
ls dict/ | sort -R | shuf 'dict/' `tail -1` | pp64.bin --pw-min=8 | hashcat -a 0 -m #type -w 4 -O hashes.txt -g 300000
具体字段的含义如下:
- shuf:在将字典输入PRINCEprocessor之前,先对其进行随机处理。
- dict.txt:专用型或通用型字典,根据实际情况选择。
- pp64.bin:Hashcat提供的PRINCEprocessor工具。
- –pw-min=8:要求PRINCE生成长度至少为8个字符的密码。
- hashcat -a 0:以Straight模式启动Hashcat,获取stdin的输入数据。
- -m #type:指定哈希模式的编号,比如-m 1000对应的是NTLM。
- -w 4:指定Hashcat采用最高的工作负载来运行。
- hashes.txt:包含待破解哈希的输入文件。
- -g 300000:指定Hashcat生成300,000条随机规则。
两点建议:
- 再次执行相同任务之前,建议将运行时间限制在1小时到24小时之间。
- 可以收集有效的随机规则,参数为–debug-mode=1 –debug-file=success_purplerain.rules。
高级用法:
如果您想随机使用dict/目录下的字典,可以使用以下命令:
cat dict1.txt dict2.txt | shuf | pp64.bin --pw-min=8 | hashcat -a 0 -m #type -w 4 -O hashes.txt -g 300000
您可以将上面的tail -1命令替换为您需要的命令。
您还可以随机组合使用多个字典,以增加输入数据的多样性,命令如下:
高级选项:
在PRINCEprocessor中,我们可以使用–elem-cnt-min和–elem-cnt-max选项,增加输入字典的单词/元素的链接数。
在Hashcat的随机规则生成中,我们可以使用–generate-rules-func-min和–generate-rules-func-max选项,增加或减少每个规则的函数数量。
七、典型应用
让我们举个简单的例子,介绍如何配置Purple Rain攻击及运行环境。
- 从rockyou字典中随机提取30,000个密码:
while read line; do echo -n $line | md5sum; done hashes.txt
-
使用md5算法处理test_rockyou.txt,将生成的哈希值存入文件中(需要一定时间才能完成):
-
创建一个小型字典,以便测试刚才生成的哈希值:
-
我们也可以获取Google上前20,000个英文单词,加入前面那个字典中:
shuf test_dict.txt | pp64.bin | hashcat -a 0 -m 0 -w 4 -O hashes.txt -r dive.rule
- 先使用dive.rule规则,花1个小时执行Purple Rain攻击:
运行过程中,您可以观察到Hashcat中不断出现的各种候选密码。
- 接下来,使用随机生成的200,000条规则,花8个小时执行Purple Rain攻击:
通过8小时的运行时间,您可以了解到这种方法不需要过多人工参与,可以持续、自主完成攻击过程。您会看到一些您根本无法想到的密码组合。请记住一点:不确定的输出结果是您最好的朋友。
在破解过程中,差之毫厘则失之千里,我们不能放弃丝毫的可能性。
八、总结
希望Purple Rain攻击方法对您有所帮助,并能加入您的知识储备笔记本。对于刚接触密码破解的新手来说,这种攻击方法非常简单方便,无需人工参与,可以取得较好的效果。如果有时间,您可以阅读一下《Hash Crack v2.0: Password Cracking Manual》这本手册,其中包含许多类似的攻击方法和其他有用的参考资料。请记住一点:在破解过程中,随机性可以拓宽您的视野,带来新的可能性和无法预测的结果。另外,请关注即将发布的新型破解平台:Portable Cracking Rig(如下图所示),只需1,000美元即可享受其强大功能。这个价格非常实惠,毕竟搭建一个价值15,000美元、使用8个GPU的破解阵列并非易事。请关注我们的Twitter @netmux,获取后续更新和相关文章。
