Descifrando password encriptadas con shadow (md5 + salt)

En Linux las password o claves de los usuarios (incluyendo root) se almacenan en el fichero /etc/shadow, encriptadas y con un salt, que nos complica el descifrado. En pocas palabras una shadow password es un hash del password mas un salt (hashed and salted password).
Un ejemplo de una clave shadow es root:$1$xOqq7NEt$vDOA0jbLcaiRbGsj3ddz30:13911::::::, si la analizamos podemos darnos cuenta de lo siguiente:

Lo que nos interesa es solamente root:$1$xOqq7NEt$vDOA0jbLcaiRbGsj3ddz30.
Lo que esta antes de “:” corresponde al usuario: root; y lo que sigue es la password.
Si descomponemos la password podemos obtener:
$1$: Nos indica que corresponde a una encriptacion md5.
xOqq7NEt: Es el SALT que se usa para generar el hash del password
vDOA0jbLcaiRbGsj3ddz30.: Es el hash salteado de nuestra password.

Si analizamos todos estos datos podemos darnos cuenta que teniendo el salt podemos encriptar una palabra o frase y generar un hash similar al que estaba en el fichero /etc/shadow, por lo que solo nos queda crear un script y tener un diccionario de palabras a mano para empezar a crackear o descifrar las password en shadow.

El comando mkpasswd nos permite generar un password segun un salt especificado.
Ejemplo:

machine:~$ mkpasswd -H md5 miPassword -S DSfdsdaA
$1$DSfdsdaA$kOxgZsSAshG4W.dgGp28Y/

He creado un script para hacer mas eficiente y automatiza un poco el proceso.

#!/bin/bash
################################################################
#
# Crack for SHADOW PASSWORDS.
# Usage:
# crack.sh SALT ENCRYPTED_PASS WORD_LIST
# Example:
# crack.sh mAsCaLaZ 8E6sMbq.fRDo6nbQqIh.z1 wordlist.txt
#
# by Zerial - http://blog.zerial.org - fernando@zerial.org
################################################################
__SALT=$1;
__HASH="md5";
__FILE=$3;
__RPWD=$2;
echo "Cracking $__RPWD …";
echo "Attempts: `wc -l $3 |cut -f1 -d ‘ ‘`";
for lista in `cat $__FILE`
do
pass_temp=`mkpasswd -H $__HASH "$lista" -S $__SALT |cut -f4 -d ‘$’`;
#echo "Probing $lista …";
if [ "$__RPWD" = "$pass_temp" ]; then
echo ""
echo "Password Cracked."
echo "Decrypted password is: $lista"
exit
fi
i=`expr $i + 1`;
done
echo "Password not found. :-(";

Funcionamiento: Lee palabras desde un fichero y por cada palabra leida genera un hashed and salted password y la compara con los parametros pasados al script.

machine:~$ sh crack.sh DSfdsdaA .NySZJPYFdPr0ETVpMeKx1 wordlist
Cracking .NySZJPYFdPr0ETVpMeKx1 …
Attempts: 161597

Password Cracked.
Decrypted password is: test

Descargar script

jcarlosn

Dice:
Octubre 18th, 2008 at 11:04 am

Hola!

No sería mas fácil utilizar:

http://www.openwall.com/john/

el archiconocido john the ripper?

Seguro que es muchísimo mas rápido.

Está interesante el script, un saludo!

Zerial

Dice:
Octubre 18th, 2008 at 1:31 pm

Hola @jcarlosn:
Si, es mucho mas rapido usar john, tiene muchas optimizaciones que hacen que los procesos sean mas rapidos.
Estos codigos los hago muchas veces para entender y dar a conocer como funcionan estas cosas, sabiendo que existen cosas mucho mas optimas y “mejores”, no estoy pensando en reinventar la rueda.

saludos!

Dice:
Octubre 18th, 2008 at 2:53 pm

Claro, entiendo… está muy interesante este tipo de cosas, ya que mucha gente no sabe como funciona el john, ni nada de esto, y estos scripts lo ilustran muy bien.

Felicidades por el blog, tienes un nuevo lector asiduo