Skip to content

Has volcado algunos hashes de contraseñas. ¿Cómo los crackeas?

Respuesta breve

Primero identifica el formato del hash (hashid o contexto) y luego ejecuta hashcat o John con el modo correcto contra un diccionario como rockyou, aplicando reglas para mutar los candidatos. Usa el flag de formato correcto (NTLM, sha512crypt, NetNTLMv2, etc.) para que la herramienta hashee los intentos igual que lo hizo el objetivo.

Los hashes aparecen por todas partes en el examen: /etc/shadow, la SAM de Windows, bases de datos de aplicaciones web, archivos de configuración, NetNTLMv2 capturados desde una sesión de Responder. Crackearlos es un proceso determinista, no una adivinanza, y el primer paso es el que la gente se salta.

Identificar el hash

No puedes crackear lo que no puedes clasificar. Usa el contexto (un prefijo Linux $6$ significa sha512crypt; una cadena de 32 hex de la SAM es probablemente NTLM) y herramientas como hashid o un identificador de hashes en línea para acotar el formato. El formato dicta el flag de modo exacto que le das al crackeador: si te equivocas, cada intento se hashea de forma distinta a la del objetivo, así que nada coincide.

Elegir la herramienta y el modo

  • hashcat está acelerado por GPU y es el más rápido; le pasas un modo numérico (-m 1000 NTLM, -m 1800 sha512crypt, -m 5600 NetNTLMv2) y un modo de ataque (-a 0 para diccionario).
  • John the Ripper detecta automáticamente muchos formatos y resulta cómodo en máquinas solo con CPU; unshadow fusiona primero passwd y shadow.

Dirígelo con diccionarios y reglas

El ataque por diccionario estándar usa rockyou.txt. Añade un conjunto de reglas (el best64 de hashcat o el --rules de John) para mutar cada palabra —añadir años, poner mayúsculas, leetspeak—, lo que captura la inmensa mayoría de las contraseñas humanas sin recurrir a la lenta fuerza bruta pura.

¿Crackear o relevar?

Los hashes lentos (sha512crypt, bcrypt) pueden no crackearse en el tiempo del examen, así que sopesa las alternativas. Un hash NetNTLMv2 capturado, por ejemplo, a menudo rinde más relevado a otro host que crackeado, ya que está deliberadamente diseñado para ser lento de atacar offline. (Para el flujo concreto de extraer y crackear el NTLM de la SAM, consulta extraer el NTLM y crackearlo con hashcat.)

Qué buscan los entrevistadores

El orden disciplinado —clasificar el hash, fijar el modo correcto y luego diccionario más reglas— y saber cuándo los hashes lentos o el relevo cambian el plan. «Lo descifraría sin más» revela una incomprensión de cómo funcionan los hashes.

Posibles preguntas de seguimiento

  • ¿Por qué debes seleccionar el modo de hash correcto antes de crackear?
  • ¿Cuándo crackearías offline en lugar de relevar un hash NetNTLMv2 capturado?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.