サマリ
パスワードクラッキングツールのJohn the Ripperを使って、
以下2パターンを試してみました。
- zipファイルのクラック
- sshの秘密鍵ファイルのクラック
※パスワードクラックとは
パスワードクラック(password crack)とは、データ分析によって他人のパスワードを割り出すことです。
背景
過去記事にて、Kali Linuxのデフォルトソフトを色々触りたいと言ったので、
まずJohn the Ripperを試してみることにしました。
John the Ripperを選択したのは、パスワード解読は親近感がわいただけで
深い理由は特にないです(おい)
ゴール
- zipファイルのクラック
- sshの秘密鍵ファイルのクラック
対象読者
- John the Ripperが気になっている方
前提
必須:PC、インターネット環境など
推奨:Kali linuxのインストール
環境
- ホストOS:Window10 Home
- Kali Linux:2023.3リリース版
手順
Kali linuxとは、や導入手順は過去に記事にしましたので、
今回は割愛いたします。
John the Ripperとは、Wiki先生によると以下です。
John the Ripperは、パスワードクラッキングのための自由ソフトウェアツールである
ようはパスワードを割り出すためのツールということですね。(怖い…)
今回実施の内容は以下の記事に沿って実施しました。
ありがとうございました。
zipファイルのクラック
参考記事の通り、zipファイルを作成します。
(zipコマンドのオプションについてはこちらで勉強しました。)
解凍しようとして、適当なパスワードを入れると(当たり前ですが)失敗します。
zip2johnコマンドにてzipファイルから(Johnが解析できる形式の)ハッシュ値を生成して、参考記事通りhash.txtに保存します。
hash.txtは以下のような内容になっていました。
johnコマンドにて解析をしようとすると以下の結果になりました。
あれ、失敗…?と思っていたら
rockyou.txt.gzと圧縮形式になっていました。
gunzip *ファイル名.gz*コマンドにて解凍すると、テキストファイルがでました。
再度試すと、設定したパスワードが解析の結果出てきました。
一瞬ですね。(安直なパスワードだからですが)
ちなみに、別のパスワードにしてみても解読できました。
さすがに意味不明なパスワードにしたら解読できていないようでした。
(辞書に載っていないからですかね)
sshの秘密鍵ファイルのクラック
無事、秘密鍵と公開鍵が作成されています。
ハッシュ値を見てみます。
1,2秒かかった感じですが、無事解読できました。
余談
参考にさせていただいた記事にはPDFのクラックもありましたが、
自分の勉強不足でKali Linux上でpdfの作成とパスワード設定がすぐできなかったので、
今回は割愛させていただきました(おい)
結果
zipファイルとssh秘密鍵ファイルのクラックに成功しました。
煩雑なパスワード設定だと不可でした。
学び
いかによくあるパスワードにすることによるリスクがあるか身に沁みました。。
まとめ
まだ仕組みの理解が不十分なのでJohn the Ripperをもう少し深堀りしたいのと、
引き続きKali Linuxのデフォルトソフトいろいろいじってみたいです。