[모의해킹] 암호 크랙

1. 서버 포트 스캔

nmap -sV -O -F 192.168.10.134

 

2. 사전 파일 생성하기

2-1. 구글 검색 : "inurl:github fuzzdb"

2-2. kaliLinux 상의 사전 파일 : /usr/share/wordlist

2-3.  참고 사이트

• https://github.com/wick2o/Dump-Monitor-WordLists
• https://github.com/danielmiessler/SecLists/tree/master/Passwords
• https://archive.org/details/pastebinpastes
• https://wiki.skullsecurity.org/Passwords
• http://www.leakedin.com/tag/emailpassword-dump

 

2-4. 직접 생성한 사전 파일 (crunch CMD)

# crunch <min> <max> [options]

crunch 1 3 : 1글자에서 3글자까지 문자로 나올 수 있는 모든 경우

crunch 1 3 ' a1' : ' a1' 이 세문자중 1글자에서 3글자까지 만들 수 있는 경우

 

※ "직접 생성한 파일 + 인터넷 상의 파일" 시 중복 제거 필수! (sort -u)

 

xhydra (GUI) / hydra (CLI)

hydra -f : 찾으면 종료하는 옵션

 

3. 공격 추적 방법

- 주요 파일

/var/log/messages

/var/log/vsftpd.log

/var/log/auth.log

 

 - 주요 명령어

who

last

lastb

lastlog

 

<취약한 암호 알아보기> - 자신의 패스워드 한번 써보기!

https://howsecureismypassword.net

http://www.passwordmeter.com/

다음 사이트에서 brute force attack 통해 암호가 얼마의 시간안에 크랙이 되는지 계산해 보자.

http://lastbit.com/pswcalc.asp