John the ripper +

pwdump
[Escribir el subtítulo del documento]

En el presente documento trataremos sobre el

uso de la herramienta John the ripper para el
crackeo de contraseñas de Windows, de la
mano de pwdump.

Julián Gamarra Balbutin

29/03/2011
Descripción: John the Ripper es un programa de criptografía que aplica
fuerza bruta para descifrar contraseñas. Es capaz de romper varios
algoritmos de cifrado o hash, como DES, SHA-1 y otros. Es una
herramienta de seguridad muy popular, ya que permite a los
administradores de sistemas comprobar que las contraseñas de los
usuarios son suficientemente buenas.

John the Ripper es capaz de auto detectar el tipo de cifrado de entre

muchos disponibles, y se puede personalizar su algoritmo de prueba de
contraseñas. Eso ha hecho que sea uno de los más usados en este
campo.

Características:

• Optimizado para muchos modelos de procesador.

• Funciona en muchas arquitecturas y sistemas operativos.
• Ataques de diccionario y por fuerza bruta.
• Muy personalizable (es software libre).
• Permite definir el rango de letras que se usará para construir las
palabras, y las longitudes.
• Permite parar el proceso, y continuarlo más adelante.
• Permite incluir reglas en el diccionario para decir cómo han de
hacerse las variaciones tipográficas.
• Se puede automatizar; por ejemplo, ponerlo en cron.

Procedimiento: Descargar y ejecutar la herramienta (John the Ripper

usa un ataque por diccionario: tiene un diccionario con palabras que
pueden ser contraseñas típicas, y las va probando todas. Para cada
palabra, la cifra y la compara con el hash a descifrar. Si coinciden, es
que la palabra era la correcta.

Esto funciona bien porque la mayor parte de las contraseñas que usa la
gente son palabras de diccionario. Pero John the Ripper también prueba
con variaciones de estas palabras: les añade números, signos,
mayúsculas y minúsculas, cambia letras, combina palabras, etc.

Además ofrece el típico sistema de fuerza bruta en el que se prueban

todas las combinaciones posibles, sean palabras o no. Éste es el sistema
más lento, y usado sólo en casos concretos, ya que los sistemas
anteriores (el ataque por diccionario) ya permiten descubrir muy
rápidamente las contraseñas débiles.)
Lo primero que vamos a hacer es descargar la aplicación de su web oficial
(http://www.openwall.com/john/).

Imagen 1. Página oficial del proyecto John the ripper

Una vez descargada la aplicación descomprimimos el archivo y accedemos a

este desde la línea de comandos así:

Imagen 2. Abriendo el directorio donde esta John the ripper.

En una ventana paralela abriremos una línea de comandos para hacer uso de
la herramienta PwDump
(http://www.foofus.net/~fizzgig/pwdump/downloads.htm), con ella extraeremos
los hashes de las contraseñas de Windows a auditar. (Método utilizado caso de
no tener el archivo de contraseñas hasheadas).

En ese caso se auditaran las contraseñas almacenadas en el propio equipo,

además guardaremos el resultado en un archivo de texto plano llamado
pass1.txt así:

Imagen 3. Corriendo pwdump hacia nuestra maquina.

Verificamos el resultado del dump de passwords abriendo el archivo de texto

plano así:
 Imagen 4. Verificando el archivo de texto creado.

Luego de tener el archivo de contraseñas “hasheadas” (requisito de este

laboratorio), procedemos a auditar las contraseñas mediante ataque de
diccionario (recomendado en primera instancia). Desde la consola donde
teníamos el John the ripper tecleamos lo siguiente:

john-386 –wordlist=password.lst pass1.txt así:

imagen 5. Corriendo el john the ripper.

El tiempo en realizar este tipo de ataques depende de la longitud del

diccionario, sumado a las reglas que le asignemos (Mayusculas, mínusculas,
etc), generalmente es muy corto. (muy diferente a un ataque de fuerza bruta
por combinación donde auditará con todas las combinaciones posibles de
letras, números, signos, etc.).

Al cabo de un tiempo (mientras John the ripper termina el ataque) Pasamos a

ordenarle a la herramienta que nos muestre los resultados, mediante la
instrucción jonh-386 –show pass1.txt así:

Imagen 6. Mostrando los resultados obtenidos.

Las contraseñas desencriptadas serán mostradas en pantalla, los datos irán

separados del signo (:).

• Nombre de usuario

• Contraseña

• ID del usuario

Es importante recordar que los usuarios llevan ligados un ID único, siendo el

más importante el (500, administrador)