Crackeo

Seguridad Informática Dr.
Roberto Gómez Cárdenas
Kali y crackeo de contraseñas
Roberto Gómez Cárdenas

rogoca@gmail.com
http://cryptomex.org
Lámina 1 Dr. Roberto Gómez Cárdenas
Distribución Kali
• Distribución Linux orientada a pruebas de penetración.

• Desarrollada por Offensive Security
• Cuenta con cerca de 300 herramientas de seguridad
• Dirigida a auditoria de seguridad y forensia
• A diferencia de otras distribuciones de Offensive Security, Kali
esta basado en Debian 7.0
• Sitio web
– http://www.kali.org/
Crackeo de contraseñas 1
Seguridad Informática Dr. Roberto Gómez Cárdenas
Ejemplo herramientas
John The Ripper
• Crack de contraseñas más común para

Unix (junto con crackV5.0).
• Existe versión tanto para Unix como
para Windows.
• Puede romper contraseñas de sistemas
Unix y Windows.
• Utiliza tanto diccionario como fuerza
bruta.
Versiones “oficiales” creadas
• Es modular y esto es lo más, y es lo por Solar Designer
que le hace el craqueador más

avanzado
Sintaxis y salida
• Sintaxis
./john [ opciones ] archivos_contraseñas
• Ejemplos:
./john passwd
./john passwd1 passwd2
./john *passwd* *.pwd
• Salida
Loaded 9 passwords with different salts (Standard DES [24/32 128k])
toto (cachafas)
guesses: 1 time: 0:00:00:06 100% c/s 76500 trying: Yarmouth - zygote
• Nota
– Las cuentas con passwords detectados se almacenan, si se vuelve a ejecutar
john NO tomara en cuenta estas cuentas para llevar a cabo la verificación
Interpretando la salida
Número de
contraseñas a Cuenta a la que
Algoritmo cifrado
trabajar pertenece la
Contraseña contraseña contraseñas
encontrada encontrada
Loaded 9 passwords with different salts (Standard DES [24/32 128k] )
Fase en la que se encuentra

toto (cachafas) corriendo, cuando no se
especifica el modo
guesses: 1 time: 0:00:14:06 (3) 100% c/s 76500 trying: Yarmouth - zygote
Tiempo Comparaciones por

Número de Porcentaje segundo.
contraseñas transcurrido
de Combinaciones de
encontradas desde que contraseñas cuenta y contraseña por
arrancó la trabajadas segundo, no cifrados
aplicación
Modos de “crackeo”
Modos de crackeo
Por diccionario Simple Por fuerza bruta Externo

(wordlist) (campo GECOS ) (incremental) (definido usuario)
john –w john -single john -i john
Ejecutando john sin opciones
• Si no se proporciona opción alguna, john lleva a

cabo todos los modos
• Por ejemplo
john passwd
– Primero intenta el modo single

– Después va con wordlist y reglas
– Por último intenta modo incremental
Creando un script de limpia
• Crear un archivo llamado limpia, con el contenido siguiente
rm /root/.john/john.pot
touch /root/.john/john.pot
• Una vez creado asigne permisos de ejecución
# chmod 755 limpia
• El script creado se usará para borrar el archivo de

contraseñas encontradas y poder llevar a cabo las prácticas.
El modo single
• Utiliza información contenida dentro del archivo de

contraseñas:
– Login names
– GECOS
– Nombre del directorio hogar
• Aplica conjunto reglas para mezclar la información.
• Información usada para probar la cuenta de la que fue
tomada.
– Proporciona rapidez
• Ejemplo:
john -single passwd
Probando el modo single
• Teclee los siguientes comandos

john -single passwd1
john -single passwd2
• En otra terminal, despliegue el contenido de los archivos

de contraseñas.
more passwd1
more passwd2
• Saque sus conclusiones
El modo wordlist
• Se debe proporcionar el nombre de un archivo que

contenga una lista de palabras, por ejemplo:
john -w:wordlist passwd
• También se puede definir una serie de reglas que
mezclen las palabras contenidas en el archivo
john -w:dico -rules passwd
• Posible ver la lista de palabras usadas y no hacer
ninguna verificación
john -w:dico -rules -stdout
• Con la opción stdin se puede introducir la lista de
palabras a través de la línea de comandos
Probando el modo wordlist
• Verifique el contenido de los diccionarios dico1 y dico2

more passwd1
more passwd2
• Ejecute john con los archivos de contraseñas y los

archivos de diccionario. Primero sin reglas y después con
reglas. Compare el número de contraseñas encontradas
john –w:dico1 passwd1 john –w:dico1 –rules passwd1

El modo incremental
• Modo de crackeo mas potente, ya que probará todas las

combinaciones de caracteres posibles
• Se asume que nunca terminara debido a que el número
de combinaciones es muy largo
– Puede terminar si se define una longitud de password pequeña
o si se usa un pequeño conjunto de caracteres
• Cuenta con cuatro modos y es necesario especificar los
parámetros del modo elegido
• Si no se especifica ningún modo intentara el modo All
en el que se probará todo el conjunto de 95 caracteres
ASCII imprimibles y todos los passwords de longitud 0
a 8.
john –i passwd
Opciones modo incremental
• Archivo John.conf cuenta con 4 opciones

incrementales diferentes
– All : Minúsculas, mayúsculas, dígitos, puntuación,
– Alpha : Minúsculas.
– Digits : Del 0 al 9.
– LANMan : Similar al All, pero sin minúsculas
• Cada opción cuenta con cuatro campos dentro
del archivo John.conf
Parámetros modo incremental
• Parámetros soportados
– File: especificar archivo de conjunto caracteres
– MinLen: longitud mínima password (0 default)
– MaxLen: longitud máxima password (8 default)
– CharCount: limita el número de diferentes caracteres
usados, (todos los caracteres por default)
– Extra: permite utilizar más caracteres que los
definidos en el archivo de caracteres
Ejemplos parámetros
john –i:alpha passwd john –i:all passwd
Probando el modo incremental
• Teclee lo siguiente y analice el resultado

– Si no hay respuesta de un minuto aborte la ejecución
presionando las teclas CTRL y C al mismo tiempo.
– Recuerde que debe correr el script de limpia. antes
john –i:digits passwd1

john –i:alpha passwd1
john –i:all passwd1
john –i:digits passwd2

john –i:alpha passwd2
john –i:all passwd2
El modo externo
• Posible definir un modo de crackeo externo para ser

usado con john.
• El modo es definido en el archivo john.config en la
sección:
[List.External:MODE]
– donde MODE es cualquier nombre que se le asigne al modo
• La sección debe contener código de algunas funciones
que john usara para generar las palabras a probar.
• Funciones son codificadas en un subconjunto de C y son
compiladas por john al arrancar este y solicitar el modo
externo definido.
Funciones frecuentes usadas en john
Función Descripción
init() Invocada al arranque, usada para inicializar variables globales.

filter() Invocada por cada palabra a ser procesada, puede filtrar algunas
palabras.
generate() Invocada para generar palabras, cuando no se usan otros modos
de crackeo.
restore() Llamada cuando se reestablece y se interrumpe una sesión.
• Todos son de tipo void, sin argumentos

• Se usa la variable global word" (pre-definida como "int word[]").
• La variable word contiene la palabra actual a ser probada como posible
contraseña.
Ejemplo modo externo
[List.External:A2011]
• Se configura para void filter()
{
que cada palabra del
/* calcular longitud palabra*/
diccionario se le int length;
añada el año “2011”. length = 0;
• Dentro de john.conf while (word[length]) length++;
habría que añadir:
word[length] = '2';
word[length+1] = '0';
Una regla sobre el diccionario word[length+2] = '1';
puede hacer lo anterior. word[length+3] = '1';
word[length+4] = 0; /* fin string*/
}
Llamando al modo externo definido
• Para llamar el modo externo definido, se teclea lo

siguiente:
john --wordlist=dico --external=A2011 passwd1
• Analice las siguientes salidas

john --wordlist=dico --external=A2011 -stdout
john --wordlist=dico -rules --external=A2011 -stdout
Definiendo su propio modo incremental
• Abrir el archivo john.pot y añadir los caracteres que conformarán el charset,

precedidos del carácter “:”
– Ejemplo
:AEIOUaeiou
– En el archivo solo deben de encontrarse estos caracteres, ningún otro.
– Importante: en el caso de windows, no almacenarlo como un archivo de texto (seleccionar “all
files types”)
• Correr john con opción --makechars y el nombre del archivo del charset
john --make-charset=vocales.chr
• Se realizan cálculos y se indica cuantos caracteres se usaron
root# john --make-charset=vocales.chr
Loaded 6 plaintexts
Generating charsets... 1 2 3 4 5 6 7 8 DONE
Generating cracking order... DONE
Successfully written charset file: vocales.chr (10 characters)
root#
Dando de alto un nuevo archivo de

caracteres: últimos pasos
• Editar john.conf e ir a la sección incremental y añadir las

siguientes líneas:
[Incremental:vocales]
File = $JOHN/vocales.chr
MinLen = 1
MaxLen = 8
CharCount = 10
• En campo charcount se anota el dato que john calculó y

desplegó cuando se creó el archivo de charset
• Lanzar john con el nombre del nuevo modo incremental
john –i:vocales passwd
El archivo johh.conf
• Comportamiento programa puede ser

configurado editando este archivo.
• Se pueden definir:
– opciones globales,
– definir listas de palabras y reglas de crackeo simple,
– definir parámetros para modo incremental
– definir un nuevo modo de crackeo.
• Definido en secciones
– cada línea empieza con su nombre entre corchetes
Parte del archivo john.ini
# This file is part of John the Ripper password cracker,

# Copyright (c) 1996-98 by Solar Designer # Simple rules come first...
:
[Options] -s x**
# Wordlist file name, to be used in batch mode -c (?acQ
Wordfile = ~/password.lst -c lQ
# Crash recovery file saving delay in seconds -s-c x**MlQ
Save = 600
# Beep when a password is found (who needs this anyway?)
Beep = N
# "Single crack" mode rules

[List.Rules:Single]
Secciones
• "Single crack" mode rules

– [List.Rules:Single]
• Wordlist mode rules
– [List.Rules:Wordlist]
• Some pre-defined word filters
– [List.External:Filter_Alpha]
– [List.External:Filter_Digits]
• A simple cracker for LM hashes, similar to L0phtCrack
– [List.External:LanMan][List.External:Filter_LanMan]
• Useful external mode example[
– List.External:Double]
• Simple parallel processing example
– [List.External:Parallel]
Opciones generales
• Wordfile
– definir diccionario a ser usado en modo batch
– cuando se corre con archivos de password pero sin especificar
un modo de crackeo.
• Idle
– si esta asignado a Y, el programa solo utilizara los ciclos
muertos del sistema
• Save
– almacenamiento del archivo de recuperación cada n segundos
• Beep
– si esta asignado a Y, programa producira un beep cuando
encuentre un password
Las reglas
• Se cuenta con reglas que permiten combinar los

caracteres de las palabras candidatas en
diferentes formas.
• Otras reglas definen filtros para que palabras con
ciertas características no sean consideradas como
candidatas para ser una contraseña.
• Se cuenta con un preprocesador que permite
combinar reglas similares en una sola línea.
Clases caracteres
Comandos simples
Comandos clases caracteres
Gramática ingles y conversión de

caracteres
Ejemplos
Formatos archivos passwords

soportados
• John acepta tres formados de archivos de contraseñas

diferentes.
• Puede trabajar con cualquier tipo de contraseña que se
encuentre en el formato de la opción –test.
john –test
• En algunos casos es necesario convertir los passwords

a uno de los formatos aceptados por la aplicación
• Si se esta usando el archivo passwd de Unix o el
resultado de la herramienta pwddump no es necesario
modificar el formato del archivo.
Utilerías extras
• unshadow PASSWORD-FILE SHADOW-FILE

– combina el passwd y el shadow (cuando se tiene
acceso a ambos) para ser usados por john.
– la información del GECOS no será usada por el
modo simple de crackeo
• mailer PASSWORD-FILE
– es un script de shell para enviar un mail a todos los
usuarios de los que obtuviste sus passwords.
– es necesario editar un mensaje dentro antes de usarlo
Otra opción de crackeo
Las tablas del arcoiris
Rainbow tables
• Una rainbow table es una representación

compacta de las cadenas de contraseñas
relacionadas
Generando cadenas
Textos
planos Hash
Texto H
Plano R1
Inicial H
R2
H
• Funcion hash (H) R3
• Funciones de H
reducción (Ri)
Hash final
Al final
Textos Hashes
Planos finales
Iniciales
estos hashes no son almacenados

pero pueden ser generados y buscados
iaisudhiu -> 4259cc34599c530b1e4a8f225d665802

oxcvioix -> c744b1716cbf8d4dd0ff4ce31a177151
9da8dasf -> 3cd696a8571a843cda453a229d741843
[...]
sodifo8sf -> 7ad7d6fa6bb4fd28ab98b3dd33261e8f
Un ejemplo
63617 6e69
686f7
hotel casino 3696e nikko 6b6b tele 74656
4656c
6f 6f c65
H R1 H R2 H R3 H
616c6 63617 70617 67617

algo carro paris gato 46f
76f 2726f 26973
H R1 H R2 H R3 H
736563
746f7 766f6 726f6
toto 46f
secreto 726574 vodka 46b61
ron e
6f
H R1 H R2 H R3 H
Texto Ultimo
plano valor hash
La búsqueda
73656372
65746f
hotel 7465 R3
6c65 63616368 73656372
61666173 cachafas 65746f
algo 6761 H
746f
766f64 73656372
6b61
vodka 65746f
H R2
toto 726f6e toto 746f746f secreto 73656372

65746f
H R1 H
Texto Hash
Lámina 42 plano Dr. Roberto Gómez Cárdenas
¿Por qué arcoiris?
• Cada una de las columnas usa una función

de reducción diferente.
• Si cada función reducción fuera de un color
diferente y el texto plano se pone en la parte
superior y el hash abajo.
– Se vería como un arcoiris
Funciones reducción y hash
• Uno de los secretos de esta técnica se encuentra en la

funciones de reducción.
• Recordemos que esta función convierte una cadena de
caracteres en un conjunto de bits que representa un valor
hash.
Implementaciones
• El proyecto RainbowCrack
– http://project-rainbowcrack.com/
• La herramienta Ophcrack
– SourceForge
– http://ophcrack.sourceforge.net/es.index.php
Ophcrack
Ophcrack
• Live CD: obtiene los hashes de los archivos

SAM y SYSTEM y no se requiere ser
administrador
Raibow tables
• Ventajas sobre las tablas clásicas:

– Búsquedas t(t-1)/2 contra t^2
– Fusiona el resultado en puntos finales idénticos y son
detectables
– No hay loops ya que cada función de reducción
aparece una vez
– Longitud constante de las cadenas rainbow
Ophcrack
• Limitantes de las rainbow tables

– La generación de tablas lleva mucho tiempo
– Ocurren muchas falsas alarmas
Características tablas
• LM Rainbow Tables
Tabla Charset Long. Texto Taza de Tamaño
Plano éxito
mm_alpha-numeroc#1-7 alpha-numeric 1a7 0.999 3 GB
lm_ascii-32-65-123-4#1-7 ascii-32-65-123-4 1a7 0.999 64 GB
ascii-32-65-123-4 = [ !"#$%&'()*+,-./0123456789:;<=>?@
ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`{|}~]
• NTLM Rainbow Tables
Tabla Charset Long. Texto Taza de Tamaño
Plano éxito
ntlm_numeric#1-11 numérico 1 a 11 0.999 4 GB
ntlm_numeric#1-12 numérico 1 a 12 0.999 20 GB
numérico = [0123456789 alpha = [ABCDEFGHIJKLMNOPQRSTUVWXYZ]

• NTLM Rainbow Tables

Tabla Charset Longitud Taza de Tamaño
Texto éxito
Plano
ntlm_loweralpha#1-8 loweralpha 1a8 0.999 6 GB
ntlm_loweralpha#1-9 loweralpha 1a9 0.999 56 GB
ntlm_loweralpha-numeric#1-8 loweralpha-numeric 1a8 0.999 36 GB
ntlm_loweralpha-numeric#1-9 loweralpha-numeric 1a9 0.968 80 GB
ntlm_ascii-32-95#1-6 ascii-32-95 1a6 0.999 16 GB
ntlm_ascii-32-95#1-7 ascii-32-95 1a7 0.999 128 GB
ascii-32-95 = [ !"#$%&'()*+,-./0123456789:;<=>?@
ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~]
loweralpha = [abcdefghijklmnopqrstuvwxyz]
• MD5 Rainbow Tables

Tabla Charset Longitud Taza de Tamaño
Texto éxito
Plano
md5_numeric#1-11 numérico 1 a 11 0.999 4 GB
md5_numeric#1-12 numérico 1 a 12 0.999 20 GB
md5_loweralpha#1-8 loweralpha 1a8 0.999 6 GB
md5_loweralpha#1-9 loweralpha 1a9 0.999 56 GB
md5_loweralpha-numeric#1-8 loweralpha-numeric 1a8 0.999 36 GB
md5_loweralpha-numeric#1-9 loweralpha-numeric 1a9 0.968 80 GB
md5_ascii-32-95#1-6 ascii-32-95 1a6 0.999 16 GB
md5_ascii-32-95#1-7 ascii-32-95 1a7 0.999 128GB
loweralpha-numeric = [abcdefghijklmnopqrstuvwxyz0123456789]
Usando Ophcrack
• Escenario:
– Sistema operativo Windows XP
– Usuario "Administrador" con contraseña "Hola“
– Usuario "Usuario1" con contraseña "!1234?“
• Se configuró la máquina a través del BIOS para
que arranque desde el CD.
Se arranca desde el CD
Visualización de contraseñas
• Se carga el programa y aparece una ventana en la que el proceso

de visualización de contraseñas comienza automáticamente.
Encontrando contraseñas
• El programa actúa durante un tiempo, dependiendo de

la complejidad de las contraseñas.
• En la versión gratuita solo aparecen las contraseñas
que tengan los caracteres alfanuméricos.
• Si la puede encontrar despliega “not found”.
• Si la cuenta no tiene contraseña aparece “empty”.
• Después de unos minutos aparecen las contraseñas
sencillas.
Primeras contraseñas encontradas
Terminando la sesión
El top 10 de password crackers
• Cain & Abel

• John the Rippper
• THC Hydra
• Aircrack
• L0phtcrack
• Airsnort
• SolarWinds
• RainbowCrack
• Brutus
• Medusa
• Fgdump
• Wfuzz
¿Y donde obtengo los diccionarios?
Otra fuente
Más ligas
• Más diccionarios
– http://www.openwall.com/passwords/wordlists/
– http://www.skullsecurity.org/wiki/index.php/Passwords
– http://erikmusick.com/content/dl/WholeLottaPasswords.7z
– http://www.insidepro.com/eng/download.shtml
• Artículo sobre hash
– http://www.codinghorror.com/blog/2012/04/speed-
hashing.html
• La herramientas TrueCrack
• La herramienta Passfault del proyecto OWASP
– http://passfault.com/passwords.shtml#menu

Crackeo

Cargado por

Copyright:

Formatos disponibles

Crackeo

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Crackeo

Cargado por

Copyright:

Formatos disponibles

Seguridad Informática Dr.

Roberto Gómez Cárdenas

Kali y crackeo de contraseñas

Roberto Gómez Cárdenas

Lámina 1 Dr. Roberto Gómez Cárdenas

• Distribución Linux orientada a pruebas de penetración.

Lámina 2 Dr. Roberto Gómez Cárdenas

Lámina 3 Dr. Roberto Gómez Cárdenas

John The Ripper

• Crack de contraseñas más común para

que le hace el craqueador más

Loaded 9 passwords with different salts (Standard DES [24/32 128k] )

Fase en la que se encuentra

Tiempo Comparaciones por

Por diccionario Simple Por fuerza bruta Externo

Lámina 7 Dr. Roberto Gómez Cárdenas

Ejecutando john sin opciones

• Si no se proporciona opción alguna, john lleva a

– Primero intenta el modo single

Lámina 8 Dr. Roberto Gómez Cárdenas

Creando un script de limpia

• Crear un archivo llamado limpia, con el contenido siguiente

• Una vez creado asigne permisos de ejecución

# chmod 755 limpia

• El script creado se usará para borrar el archivo de

Lámina 9 Dr. Roberto Gómez Cárdenas

• Utiliza información contenida dentro del archivo de

Probando el modo single

• Teclee los siguientes comandos

john -single passwd2

• En otra terminal, despliegue el contenido de los archivos

• Saque sus conclusiones

Lámina 11 Dr. Roberto Gómez Cárdenas

• Se debe proporcionar el nombre de un archivo que

Probando el modo wordlist

• Verifique el contenido de los diccionarios dico1 y dico2

• Ejecute john con los archivos de contraseñas y los

john –w:dico1 passwd1 john –w:dico1 –rules passwd1

• Modo de crackeo mas potente, ya que probará todas las

Opciones modo incremental

• Archivo John.conf cuenta con 4 opciones

Lámina 15 Dr. Roberto Gómez Cárdenas

Parámetros modo incremental

Lámina 16 Dr. Roberto Gómez Cárdenas

john –i:alpha passwd john –i:all passwd

Lámina 17 Dr. Roberto Gómez Cárdenas

Probando el modo incremental

• Teclee lo siguiente y analice el resultado

john –i:digits passwd1

john –i:digits passwd2

Lámina 18 Dr. Roberto Gómez Cárdenas

• Posible definir un modo de crackeo externo para ser

Funciones frecuentes usadas en john

init() Invocada al arranque, usada para inicializar variables globales.

• Todos son de tipo void, sin argumentos

Lámina 20 Dr. Roberto Gómez Cárdenas

Ejemplo modo externo

Llamando al modo externo definido

• Para llamar el modo externo definido, se teclea lo