Vous avez extrait des hachages de mots de passe. Comment les cassez-vous ?
Réponse courte
Identifiez d'abord le format du hachage (hashid ou contexte), puis lancez hashcat ou John avec le mode correct contre une wordlist comme rockyou, en appliquant des règles pour muter les candidats. Utilisez le bon flag de format (NTLM, sha512crypt, NetNTLMv2, etc.) pour que l'outil hache les essais de la même façon que la cible.
Les hachages apparaissent partout à l'examen — /etc/shadow, la SAM Windows, les bases de données d'applications web, les fichiers de configuration, les NetNTLMv2 capturés via une session Responder. Les casser est un processus déterministe, pas une devinette, et la première étape est celle que les gens sautent.
Identifier le hachage
Vous ne pouvez pas casser ce que vous ne pouvez pas classer. Utilisez le contexte (un préfixe Linux $6$ signifie sha512crypt ; une chaîne de 32 hex issue de la SAM est probablement du NTLM) et des outils comme hashid ou un identificateur de hash en ligne pour cerner le format. Le format dicte le flag de mode exact à donner au casseur — trompez-vous et chaque essai sera haché différemment de la cible, donc rien ne correspondra.
Choisir l'outil et le mode
- hashcat est accéléré par GPU et le plus rapide ; vous passez un mode numérique (
-m 1000NTLM,-m 1800sha512crypt,-m 5600NetNTLMv2) et un mode d'attaque (-a 0pour wordlist). - John the Ripper détecte automatiquement de nombreux formats et est pratique sur les machines à CPU uniquement ;
unshadowfusionne d'abord passwd et shadow.
Le piloter avec wordlists et règles
L'attaque par dictionnaire standard utilise rockyou.txt. Ajoutez un jeu de règles (le best64 de hashcat ou le --rules de John) pour muter chaque mot — ajout d'années, mise en majuscule, leetspeak — ce qui attrape l'écrasante majorité des mots de passe humains sans recourir au lent brute force pur.
Casser ou relayer ?
Les hachages lents (sha512crypt, bcrypt) peuvent ne pas se casser dans le temps de l'examen, alors pesez les alternatives. Un hachage NetNTLMv2 capturé, par exemple, est souvent plus rentable relayé vers un autre hôte que cassé, car il est délibérément lent à attaquer hors ligne. (Pour le flux précis d'extraction puis de cassage des hashs SAM/NTLM, voir extraire puis casser le NTLM avec hashcat.)
Ce que recherchent les recruteurs
L'ordre rigoureux — classer le hachage, régler le mode correct, puis wordlist plus règles — et savoir quand les hachages lents ou le relais changent le plan. « Je le déchiffrerais » révèle une incompréhension du fonctionnement des hachages.
Questions de suivi probables
- Pourquoi devez-vous sélectionner le bon mode de hachage avant de casser ?
- Quand casseriez-vous hors ligne plutôt que de relayer un hachage NetNTLMv2 capturé ?