CSVHashCrack wird zur Passwort-Cracking Suite

02.10.2017, 19:07 - Autor: Mark B.

... wenn die Wortliste nicht reicht

Schlechte Passwörter lassen sich mit Worklisten in Windeseile knacken - das wissen auch Administratoren und Webseitenbetreiber! Daher wird heutzutage in der Regel von einem Passwort ein Mindestmaß an Komplexität und eine Mindestlänge verlangt.

Damit würden Wortlisten um ein vielfaches länger und auch langsamer und dennoch würden viele Passwörter nicht aufgedeckt werden. Um diesem Rakt Rechnung zu tragen habe ich auf B/asis von CSVHashCrack ein weiteres Tool erstellt, dass jede mögliche Passwort-Kombination ausprobiert. Bei einer Länge von 6-8 Zeichen (-l 6-8) und Passwörtern, die nur aus Ziffern und Kleinbuchstaben (-s alphaNumLow) bestehen sollten Sie schon ca. 1 Monat lang Zeit haben um alle entsprechenden Passwörter aufzudecken.

Jeder der Interesse hat kann die CSVHashCrackSuite selbst auszuprobieren und unter https://sourceforge.net/projects/csvhashcracksuite/ downloaden.

Genug der Worte - sehen wir uns ein etwas kleineres Beispiel an:

user@kali:~$ ./csvbrutforce.php -i TEST.csv -l 6-6 -s alphaNumLow -c 14

INFO: Algorithm not set - using md5 
INFO: Output-file not set - using TEST.csv.cracked 
INFO: Delimiter-char not set - using , 
INFO: Enclosure-char not set - using " 
INFO: Quotechar-char not set - using \ 

LOADING CSV: 17.227 LINES TOTAL 

INFO: TEST.csv.cracked exists - appending new cracked lines 

2.176.782.336 PASSWORDS TO TEST TOTAL 

 ... Ausgabe gekürzt
 96.6508 % TESTED ::  27.92 % OF PASSWORDS CRACKED :: 0 d 00 h 01 m 20 s LEFT :: 1b03bcb7cbf74d6ebf854515fbce7d88 == yslemi 
 96.7409 % TESTED ::  27.93 % OF PASSWORDS CRACKED :: 0 d 00 h 01 m 18 s LEFT :: 65524a1c294718652cc4abf7bd1e76fd == ytreza 
 96.8682 % TESTED ::  27.95 % OF PASSWORDS CRACKED :: 0 d 00 h 01 m 15 s LEFT :: efb02011d94efa80ae173716e51bad47 == yvette 
 97.5432 % TESTED ::  27.96 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 59 s LEFT :: ad858b3c2012930c6f5dc965936d116f == z45qrp 
 97.9963 % TESTED ::  27.96 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 48 s LEFT :: 977e9d63cf37276faec31ec115a3208c == za1502 
 98.0340 % TESTED ::  27.97 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 47 s LEFT :: b3a1588a2abd58f05a3bd253ffa5bfe3 == zairi7 
 98.0388 % TESTED ::  27.98 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 47 s LEFT :: 0e85b83723c008aaef5471cda9f2c732 == zakzak 
 98.0431 % TESTED ::  27.99 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 47 s LEFT :: d0db05aabb991942a64e1b599ce379f9 == zamzam 
 98.0440 % TESTED ::  27.99 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 47 s LEFT :: 10a9583d659c02b6c4d0995a8ee706d3 == zaneli 
 98.0703 % TESTED ::  28.00 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 47 s LEFT :: f2c9c4cb89b7909c649b61aaaae25eb7 == zazois 
 98.3486 % TESTED ::  28.00 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 40 s LEFT :: 5da1cd6507593af551fe68c03cd3dfb1 == zelink 
 98.3571 % TESTED ::  28.01 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 40 s LEFT :: 779f8a3a8c60f325a2171a2653d27f6e == zephyr 
 98.5731 % TESTED ::  28.01 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 35 s LEFT :: e5951803a135d04cc013b9bf01ced265 == zhia26 
 98.6396 % TESTED ::  28.02 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 33 s LEFT :: 7c50a2551b0ed04ca7a62cd6a0b6ddc1 == zidane 
 98.6468 % TESTED ::  28.03 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 33 s LEFT :: 89cad1e983b197b2cc72bf87b20c0867 == zignum 
 98.6555 % TESTED ::  28.03 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 33 s LEFT :: 689f6762bef3c8938de62fa6dcb1e3e6 == zikour 
 98.6619 % TESTED ::  28.04 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 32 s LEFT :: f50a98a92947afea620fe053510a2a4c == zinowo 
 98.6876 % TESTED ::  28.04 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 32 s LEFT :: 85ee12965957a7eaeaa46ff8e6ef37fb == zizous 
 98.6883 % TESTED ::  28.05 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 32 s LEFT :: b2d20258969bb552084a964b1137e9de == zizzou 
 98.8824 % TESTED ::  28.05 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 27 s LEFT :: a12d2502ea027bbf22e43808a25d4a4b == zlikas 
 98.9645 % TESTED ::  28.06 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 25 s LEFT :: af4e76b99155560486dd61d549730d3d == zmkwas 
 99.1272 % TESTED ::  28.07 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 21 s LEFT :: 78eb43ff94d6b944c248c8d46cac826c == zooroo 
 99.1326 % TESTED ::  28.07 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 21 s LEFT :: 6c3e2e9b9e15473b3aa02605331a3ba9 == zorate 
 99.1348 % TESTED ::  28.08 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 21 s LEFT :: 0853e0b4c14095d20011e15a0faaef4a == zoscar 
 99.1397 % TESTED ::  28.09 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 21 s LEFT :: d0675bd89bea2799e6f49a2984b3d8a9 == zoulou 
 99.1401 % TESTED ::  28.10 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 21 s LEFT :: ea9556177bc12a8d37132557b396e006 == zoutte 
 99.1405 % TESTED ::  28.13 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 21 s LEFT :: e40e0944d4ee8b6a1134dd220053d00c == zouzou 
 99.4831 % TESTED ::  28.14 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 13 s LEFT :: 36e39238ef24fae9143bec6ba18e1d34 == ztattb 
 99.6001 % TESTED ::  28.14 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 10 s LEFT :: e24f2f65f0ec6b5f25df0024639b3b82 == zutess 
 99.7712 % TESTED ::  28.15 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 06 s LEFT :: d028d34933fcdc6fb277a053aa3146bf == zx19td 
 99.8268 % TESTED ::  28.15 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 05 s LEFT :: 02ed4d358fb4452d99f26136f07041b1 == zxr750 
 99.8966 % TESTED ::  28.16 % OF PASSWORDS CRACKED :: 0 d 00 h 00 m 03 s LEFT :: bee8a53986d3ed9ed3af8ad60f59704c == zynrik 

DONE IN 0 d 00 h 39 m 45 s! 

Nicht ganz 40 Minuten um über 2 Milliarden Passwörter auszuprobieren ist schon nicht schlecht obwohl PHP keine Höchstleistungen in Punkto Performance liefert! Auf der anderen Seite zeigt die Text-Datei, die in der CSVHashCrackSuite enthalten ist recht eindrucksvoll was passiert wenn man Usern keine sinnvollen Vorgaben für Passwörter macht!

Diese anonymisierte Datei stammt aus einem Webseiten-Pentest eines Kunden der keinerlei Passwort-Richtlinien verwendet hatte.