怎么用Hashcat暴力破解Linux磁盤(pán)加密
發(fā)布時(shí)間:2021-09-27 17:30
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
這篇文章主要介紹“怎么用Hashcat暴力破解Linux磁盤(pán)加密”�����,在日常操作中��,相信很多人在怎么用Hashcat暴力破解Linux磁盤(pán)加密問(wèn)題上存在疑惑����,小編查閱了各式資料����,整理出簡(jiǎn)單好用的操作方法��,希望對大家解答”怎么用Hashcat暴力破解Linux磁盤(pán)加密”的疑惑有所幫助�!接下來(lái)����,請跟著(zhù)小編一起來(lái)學(xué)習吧����!
一���、制作Macbook磁盤(pán)鏡像并加載進(jìn)EnCase
獲取硬盤(pán)鏡像可以通過(guò)雷電接口�����、連接其他Mac電腦���、或者以目標磁盤(pán)模式來(lái)實(shí)現����,這個(gè)步驟比較簡(jiǎn)單���,我們這里不進(jìn)行贅述��。
當我們將鏡像文件(取證文件)加載進(jìn)EnCase之后���,我們就可以直接看到啟動(dòng)分區�����,但是hda2似乎是一個(gè)“未分配的卷蔟”�����,格式為EXT2分區�。
但是����,我們可以直接在下方區域查看到LUKS頭信息�����,而這段信息告訴我們它使用的是XTS-plain64的AES加密����。
二���、導出加密分區
為了解密并加載這個(gè)分區�����,我們首先需要以原始鏡像的形式導出這個(gè)加密分區�����。我發(fā)現���,這一步使用FTK Imager實(shí)現起來(lái)最簡(jiǎn)單����,但是你也可以用EnCase來(lái)將這個(gè)分區以模擬磁盤(pán)的形式進(jìn)行加載�����,但是FTK Imager更簡(jiǎn)單一些�����。
加載成功之后�,右鍵點(diǎn)擊已加密的分區���,并選擇“導出磁盤(pán)鏡像”(Export Disk Image)���,然后把fragmentation設置為0���。
三�、分區頭-hashcat ‘hash’文件
接下來(lái)�,到hashcat(一款支持Windows和Linux平臺的密碼破解軟件)上場(chǎng)了�����。一般來(lái)說(shuō)��,hashcat是用來(lái)破解密碼哈希的��,所以我們需要加載一個(gè)哈希值或者在文本文件中寫(xiě)入多個(gè)哈希����。
但是對于LUSK來(lái)說(shuō)���,我們則需要對整個(gè)分區運行hashcat�,因為L(cháng)UKS會(huì )在整個(gè)磁盤(pán)區域內存儲用于解密數據的主密鑰���。幸運的是�,hashcat只需要大約2MB來(lái)破解密碼��,因此我們就可以使用FTK Imager來(lái)創(chuàng )建一個(gè)2MB的Header��,然后使用運行下列命令:
sudo dd if=LUKS_Partition.001 of=LUKS_Header.dd bs=512 count=4079
FTK方法:
Fragmentation設置為2�����,如果你想用dd命令的話(huà)��,請參考上面給出的方法����。
四�����、Hashcat
這一步可以在Windows或Linux上進(jìn)行�,但是為了方便起見(jiàn)���,我這里選擇使用Linux來(lái)解密并加載分區�����。
下載hashcat 3.5+【點(diǎn)我下載】����,hashcat的破解密碼選項有非常多�����,但最常用的就是暴力破解�,不過(guò)這種方法效率就非常低了���,有可能你花了幾個(gè)月的時(shí)間都破不了一個(gè)密碼��。這里我們需要使用的是字典攻擊(自定義字典)�,你可以從【這里】下載各種非常強大的密碼字典�����。
當你將分區鏡像文件以及header鏡像拷貝到Linux并設置好了hashcat之后���,你需要切換到鏡像文件所在目錄并在終端運行下列命令(使用了一個(gè)名叫“Dictionary.txt“的字典文件):
./hashcat-3.5.0/hashcat64.bin-m 14600 -a 0 -w 3 LUKS_Partition.001 Dictionary.txt -o luks_password.txt
常用的hashcat語(yǔ)句如下:
hashcat <METHOD> <HASH> <DICTIONARY> <OUTPUT>
我們的場(chǎng)景配置如下:
-m =哈希算法 - 14600 為 LUK加密
-a =破解方法 - 0 為標準字典破解 (3 為暴力破解)
-w =r資源分配 - 3 為‘高’
LUKS_Partition.001= Encrypted partition
Dictionary.txt= dictionary
-o =output luks_password.txt
如果一切順利的話(huà)�,你就可以查看到密碼的破解結果了�。
五�、解密分區
我們現在已經(jīng)得到了密碼�����,我們就可以使用cryptsetup來(lái)解密這個(gè)‘容器’了���!運行下列命令:
sudo cryptsetup luksopen LUKS_Partition.001 Decrypted_partition
輸入你的管理員密碼���,然后輸出hashcat給你提供的LUKS密碼���。該命令將會(huì )創(chuàng )建一個(gè)解密分區文件����,文件路徑為/dev/mapper/Decrypted_partition���。接下來(lái)�,你就可以使用ls命令來(lái)查看文件了��。
六��、掛載分區
首先���,你需要創(chuàng )建一個(gè)需要掛載鏡像文件的位置:
sudo mkdir /mnt/Decrypted_partition
如果你使用下列命令實(shí)現掛載的話(huà):
sudo mount /dev/mapper/Decrypted_partition /mnt/Decrypted_partition
你可能會(huì )得到一條錯誤提示:“mount: Unknown Filesystem type”
如果出現的話(huà)����,你可以運行下列命令解決該問(wèn)題:
sudo apt-get install lvm2
然后運行:
sudo lvscan
這樣一來(lái)��,你就可以查看到解密分區的邏輯卷了�����,接下來(lái)使用下列命令掛載root分區:
sudo mount /dev/macdeb-vg/root /mnt/Decrypted_partition –r
注:-r����,即只讀��!
我們還可以使用相同的mkdir以及mount命令來(lái)掛載swap分區���。
七���、瀏覽數據
我們可以直接瀏覽/mnt/Decrypted_partition�����,并查看我們之前的隱藏數據了��!
八����、制作解密分區鏡像
現在�����,我們就可以直接使用“dd”或“dc3dd”命令來(lái)為解密后的數據制作鏡像了���,請確保你將其設置為指向/dev/mac-deb-vg��。我建議大家使用下列命令:
sudo dc3dd if=/dev/macdeb-vg/root of=/media/Patrick/KINGSTON/decrypted_partition.dd
九�、在EnCase中查看磁盤(pán)數據
得到解密后的分區鏡像后�,我們就可以把它加載進(jìn)EnCase(或其他工具)����,然后你就會(huì )發(fā)現所有的數據都是直接可讀的了����。
