HashCat 密码破解工具入门与实战指南

输出格式

1 = hash[:salt] 2 = plain 3 = hash[:salt]:plain 4 = hex_plain 5 = hash[:salt]:hex_plain 6 = plain:hex_plain 7 = hash[:salt]:plain:hex_plain 8 = crackpos 9 = hash[:salt]:crackpos 10 = plain:crackpos 11 = hash[:salt]:plain:crackpos 12 = hex_plain:crackpos 13 = hash[:salt]:hex_plain:crackpos 14 = plain:hex_plain:crackpos 15 = hash[:salt]:plain:hex_plain:crackpos

支持破解的 hash

因为比较多所以就不一一列举，可以 hashcat64.exe –help 查看。

常见的包括：

• MD4, MD5, SHA1, SHA2-224, SHA2-256, SHA2-384, SHA2-512
• WPA-EAPOL-PBKDF2, Kerberos 5 AS-REQ Pre-Auth etype 23
• MySQL CRAM, PostgreSQL CRAM, TACACS+

掩码设置

• l | abcdefghijklmnopqrstuvwxyz 纯小写字母
• u | ABCDEFGHIJKLMNOPQRSTUVWXYZ 纯大写字母
• d | 0123456789 纯数字
• h | 0123456789abcdef 常见小写字母和数字
• H | 0123456789ABCDEF 常见大写字母和数字
• s | !"#$%&'()*+,-./:;<=>?@[]^_`{|}~ 特殊字符
• a | ?l?u?d?s 键盘上所有可见的字符
• b | 0x00 - 0xff 可能是用来匹配像空格这种密码的

掩码示例

• 八位数字密码：?d?d?d?d?d?d?d?d
• 八位未知密码：?a?a?a?a?a?a?a?a
• 前四位为大写字母，后面四位为数字：?u?u?u?u?d?d?d?d
• 6-8 位字母密码：--increment --increment-min 6 --increment-max 8 ?l?l?l?l?l?l?l?l

实战案例

一、数字破解 (8 位:12345678)

hashcat64.exe -m 0 -a 3 25d55ad283aa400af464c76d713c07ad ?d?d?d?d?d?d?d?d

二、小写字母 (6 位:abcdef)

hashcat64.exe -m 0 -a 3 e80b5017098950fc58aad83c8c14978e ?l?l?l?l?l?l

三、字母 + 数字 (8 位:1a31fa1c)

hashcat64.exe -a 3 -m 0 --force b54e53e2f21b7260df895bc885ceaa3e --increment --increment-min 1 --increment-max 8 ?h?h?h?h?h?h?h?h

四、字典破解

-a 0 是指定字典破解模式，-o 是输出结果到文件中。

hashcat64.exe -a 0 ede900ac1424436b55dc3c9f20cb97a8 password.txt -o result.txt

五、字典组合破解

hashcat64.exe -a 1 25f9e794323b453885f5181f1b624d0b pwd1.txt pwd2.txt

六、Zip 压缩包破解

使用 zip2john 获取密码哈希值。 设置 hash 类型：win-zip 扫描模式：掩码模式。

hashcat64.exe -m 13600 -a 3 $zip2$*0*3*0*b71633a9a7fc15682a0dad00d17f1a43*2cee*1d*4c55a370878091d08bd637730ae11c1abdcdbcdbe099d14c166826216d*770b0e7ff9bbc5e4149c*$/zip2$ ?d?d?d?d?d?d --show

七、破解 Windows hash

使用 mimikatz 获取 windows hash：需要管理员权限。

mimikatz.exe log
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
mimikatz # exit

NT-hash:

hashcat64.exe -a 3 -m 1000 b4814903533072474831d4791b7d4a9c ?l?l?l?d?d?d?s

八、破解 RAR 压缩密码

首先 rar2john 获取 rar 文件 hash 值。

rar:$rar5$16$639e9ce8344c680da12e8bdd4346a6a3$15$a2b056a21a9836d8d48c2844d171b73d$8$04a52d2224ad082e

hashcat64.exe -a 3 -m 13000 --force $rar5$16$639e9ce8344c680da12e8bdd4346a6a3$15$a2b056a21a9836d8d48c2844d171b73d$8$04a52d

九、破解 Office 密码

获取 office 的 hash 值：python office2john.py 1.docx。

hashcat64.exe -a 3 -m 9600 $office$*2013*100000*256*16*e4a3eb62e8d3576f861f9eded75e0525*9eeb35f0849a7800d48113440b4bbb9c*577f8d8b2e1c5f60fed76e62327b38d28f25230f6c7dfd66588d9ca8097aabb9 --force ?d?d?d?d?d?d

十、破解 WIFI 密码

首先先把我们的握手包转化为 hccapx 格式，现在最新版的 hashcat 只支持 hccapx 格式了。 官方在线转化：https://hashcat.net/cap2hccapx/

hashcat64.exe -a 3 -m 2500 1.hccapx 1391040?d?d?d?d

Hashcat 规则编写知识

只要有效利用 Hashcat 的规则，就可对长度超过 8 个字符的密码进行高效破解。官方提供了一些规则的说明。

基础和调试

创建一个包含 spring 的简单字典： echo spring> dict.txt 创建一个新文件，这将是我们的规则文件（我命名为 test.rule）。在规则文件中输入 c 并保存。注意，c 规则将单词的第一个字母大写，其余字母小写，因此 spring 应该成为 Spring。测试如下： hashcat64.exe -r test.rule --stdout dict.txt Spring

基础规则

• c: 首字母大写
• $: 追加字符
• ^: 前置字符

例如，将字符附加到单词的开头或结尾： c $2$0$1$9 -> Spring2019 将 123 添加到单词的开头： ^3^2^1 -> 123spring

复制规则

在需要设定很长的密码时，人们通常会通过复制来解决这个问题。 c d $2$0$1$9 --> SpringSpring2019

替换规则

规则 ss$ 会将 password 转换为 pa$$word。

自动生成规则

用脚本去生成脚本通常是在明确知道所需的规则类型的情况下，为了减轻手动操作，节约时间而执行的操作。

规则生成器——Maskprocessor

Hashcat 团队中的某个开发人员开发了一个名为 maskprocessor 的工具，可以让你轻松创建复杂的规则文件。

mp64.exe -o test.rule "$?a"
mp64.exe -o test.rule "$?a $?a"
mp64.exe -o test.rule -1 ?s?d "$?a $?1 $?1"

等效于下面的三种攻击：

hashcat64.exe -a 6 -m 0 md5_hashes.txt wordlist.txt ?a
hashcat64.exe -a 6 -m 0 md5_hashes.txt wordlist.txt ?a?a
hashcat64.exe -a 6 -m 0 md5_hashes.txt wordlist.txt -1 ?s?d ?a?1?1

虽然看起来更加简洁了，但它并没有赋予我们新能力。但是，我们还是可以发现它有两种非常重要的能力： 1）我们可以在密码的两侧放置掩码。 2）你还想让字符串的首字母大写吗？

生成规则文件的命令： mp64.exe -o test1.rule "c ^?d $?a"

你可以进行你想要的任何操作，当然，产生的规则越多，攻击所需的时间就越长。