John the Ripper Multicore unter Ubuntu/Debian

Passwörter knacken für deren zugrundeliegenden Hash-Algorithmus es noch keinen GPU-Cracker gibt, ein kurzweiliger Spaß bei dem man eine Menge Zeit und eine Menge Strom verbrauchen kann. In unserem Labor steht ein kleines 16 Kern Monster, dass nicht nur virtuelle Server befeuern soll, sondern auch Passwörter knacken. Das geht mit Debian und Ubuntu ganz einfach.

1. Notwendige Pakete installieren

apt-get install libmpich2-dev mpich2

Die verfügbaren (öffentlichen) Patches für John the Ripper verwenden das Message Passing Interface um untereinander zu kommunizieren. Mit MPICH2 das als Paket vorhanden ist, ist man gut ausgerüstet, um auch später weitere Hosts hinzu zu fügen.

2. MPICH2 mit Minimal-Konfiguration einrichten

touch ~/.mpd.conf && echo "MPD_SECRETWORD=secret" > ~/.mpd.conf && chmod 600 ~/.mpd.conf

3. MPICH2 Cluster starten

mpdboot

4. John the Ripper mit MPI-Unterstützung herunterladen und kompilieren

wget http://www.bindshell.net/tools/johntheripper/john-1.7.2-bp17-mpi8.tar.gz
tar xzf john-1.7.2-bp17-mpi8.tar.gz && cd john-1.7.2-bp17-mpi8/ && make linux-x86-64
cd ../run/

Jetzt kann eine vorbereitete Benutzerliste in das run Verzeichnis kopiert werden. Zum Beispiel eine MD5-Liste ohne Salt im Format Username:Passwort.

5. Bruteforce Spaß!

mpiexec -np 16 ./john  --format=raw-MD5 benutzerliste_md5.txt | tee benutzerliste_md5_john-log.txt

Hier muss allerdings die Anzahl 16 durch die Anzahl der verfügbaren Kerne aus /proc/cpuinfo (+1 da dort von 0 an gezählt wird) ersetzt werden.

2 Kommentare

bla 24. Oktober 2013 Antworten

Netter Guide, aber:
mpdboot: command not found

Und der Flashkram beim Code ist echt nervig.

josen 9. November 2013 Antworten

Hallo,

wenn du einen Syntax Highlighter kennst, der kein JavaScript benötigt und sich leicht in WordPress integrieren kann, steige ich gerne um. Ich konnte bisher keinen finden.

Grüße

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.