Practica 3.2.
Averiguar contraseñas con Pwdump y John the ripper
Abrimos una
máquina de Windows 7, comprobamos los usuarios que tenemos en ese equipo, en mi
caso tengo:
Las claves
de cada usuario son:
Administrador: admin
|
Alumno: alumno
|
Carlos: carlitos15
|
Lali: Asir2lali
|
Una vez
tenemos claro nuestros usuarios para comprobar si realmente funciona,
Copiamos
dentro del disco C:
El programa
pwdump7 y el John the ripper:
Es importante
que las carpetas tengan un nombre sencillo para acceder a ellas desde el
terminal cmd.
Abrimos el
terminal como administrador y nos cambiamos al raíz, después nos cambiamos a la
carpeta pwdump7.
Usando el
tabulador: ejecutamos Pwdump7.exe>claves.txt
y le enviamos el resultado a un fichero llamado claves.txt:
Se nos crea un fichero llamado claves.txt dentro de la
carpeta pwdump7, con las claves de todos los usuarios del equipo:
Tenemos
que copiar este fichero de claves.txt a la carpeta de john:
Una vez copiado el
fichero a John, nos volvemos al terminal y volvemos al raíz, después nos
metemos en john/run
Una vez dentro de
esta carpeta, ejecutamos el comando: john /claves.txt
Automáticamente comienza
a descifrar las claves de los usuarios del equipo:
Después de unos
minutos comprobamos todas las claves que nos ha recuperado:
Solamente nos queda
apuntarnos el usuario y su clave y ya podemos iniciar el equipo con la clave
correctamente y normal.
Las claves sencillas nos las
encuentra prácticamente al instante de ejecutar el comando, pero las que son
algo más complejas tarda varios minutos en encontrarlas, o incluso es capaz de
no ser capaz de encontrarlas con esta prueba, ya que se trata de un programa
gratuito y además está realizando un ataque de fuerza bruta que tiene muchísimas
posibles combinaciones posibles.
Podemos encontrar información en
Internet sobre el tiempo que tarda un ataque por fuerza bruta como el que hemos
usado, para encontrar contraseñas de 4, 5, 6 o más caracteres, y que además contengan
mayúsculas minúsculas y símbolos… puede tardar hasta miles de años en encontrar
una contraseña con más de 14 caracteres que contenga mayúsculas minúsculas y
caracteres especiales.
Con esto quedaría terminada la
práctica de averiguar contraseña con john the ripper.
ok. Notable Alto.
ResponderEliminar