Du hast einige Passwort-Hashes ausgelesen. Wie knackst du sie?
Kurzantwort
Bestimme zuerst das Hash-Format (hashid oder Kontext), führe dann hashcat oder John mit dem korrekten Modus gegen eine Wortliste wie rockyou aus und wende Regeln an, um Kandidaten zu mutieren. Nutze das richtige Format-Flag (NTLM, sha512crypt, NetNTLMv2 usw.), damit das Werkzeug die Versuche genauso hasht wie das Ziel.
Hashes tauchen in der Prüfung überall auf — /etc/shadow, die Windows-SAM, Webapp-Datenbanken, Konfigurationsdateien, erbeutete NetNTLMv2 aus einer Responder-Sitzung. Sie zu knacken ist ein deterministischer Prozess, kein Raten, und der erste Schritt ist der, den die Leute überspringen.
Den Hash bestimmen
Du kannst nicht knacken, was du nicht klassifizieren kannst. Nutze den Kontext (ein Linux-$6$-Präfix bedeutet sha512crypt; eine 32-Hex-Zeichenkette aus der SAM ist wahrscheinlich NTLM) und Werkzeuge wie hashid oder einen Online-Hash-Identifizierer, um das Format einzugrenzen. Das Format bestimmt das genaue Modus-Flag, das du dem Cracker gibst — liegst du falsch, wird jeder Versuch anders gehasht als beim Ziel, also passt nichts.
Werkzeug und Modus wählen
- hashcat ist GPU-beschleunigt und am schnellsten; du übergibst einen numerischen Modus (
-m 1000NTLM,-m 1800sha512crypt,-m 5600NetNTLMv2) und einen Angriffsmodus (-a 0für Wortliste). - John the Ripper erkennt viele Formate automatisch und ist auf reinen CPU-Maschinen praktisch;
unshadowführt zuerst passwd und shadow zusammen.
Mit Wortlisten und Regeln steuern
Der Standard-Wörterbuchangriff nutzt rockyou.txt. Füge ein Regelwerk hinzu (hashcats best64 oder Johns --rules), um jedes Wort zu mutieren — Jahre anhängen, Großschreibung, Leetspeak —, was die überwältigende Mehrheit menschlicher Passwörter erfasst, ohne auf langsames reines Brute Force zurückzugreifen.
Knacken oder relayen?
Langsame Hashes (sha512crypt, bcrypt) knacken in der Prüfungszeit womöglich nicht, also wäge Alternativen ab. Ein erbeuteter NetNTLMv2-Hash zum Beispiel zahlt sich oft schneller aus, wenn er an einen anderen Host relayed statt geknackt wird, da er bewusst langsam offline anzugreifen ist. (Für den konkreten SAM/NTLM-Ablauf von Extrahieren bis Cracken siehe die NTLM extrahieren und mit hashcat cracken.)
Worauf Interviewer achten
Die disziplinierte Reihenfolge — Hash klassifizieren, korrekten Modus setzen, dann Wortliste plus Regeln — und das Wissen, wann langsame Hashes oder Relaying den Plan ändern. „Ich würde ihn einfach entschlüsseln“ verrät ein Missverständnis darüber, wie Hashes funktionieren.
Wahrscheinliche Anschlussfragen
- Warum musst du vor dem Knacken den korrekten Hash-Modus wählen?
- Wann würdest du offline knacken, statt einen erbeuteten NetNTLMv2-Hash zu relayen?