John the Ripper ist ein bekanntes Passwort-Cracking-Tool, das für eine Vielzahl von Betriebssystemen verfügbar ist, darunter Windows, Linux und macOS. Das Hauptziel besteht darin, verschlüsselte Passwörter zu entschlüsseln, indem es sie mit Wörtern aus Wörterbüchern des Hash-Wert abgleicht.
INHALTSVERZEICHNIS
Wie funktioniert John the Ripper?
John the Ripper ist ein Open-Source-Projekt und wird von einer aktiven Community von Entwicklern und Benutzern weiterentwickelt. Es ist ein kostenloses Tool, das jedoch einige leistungsstarke Funktionen bietet, die in kommerziellen Passwort-Cracking-Tools nicht verfügbar sind.
Um ein Passwort mit John the Ripper zu knacken, wird zunächst der so genannte Hashwert von dem hinterlegten Passwort ausgelesen. Dieser Hashwert wird dann mit jedem der Einträge aus der angegeben Wordlist verglichen. Nur wenn das Passwort in dieser Wörterliste vorkommt, besteht die Möglichkeit, das Passwort zu knacken. Daher wird einem auch immer empfohlen, ein sicheres Passwort zu vergeben.
Tipps für ein sicheres und merkbares Passwort
Statt das Passwort selbst zu speichern, wird in Systemen der Hashwert des Passworts gespeichert. Jedes Passwort hat einen eindeutigen Hash-Wert, der durch einen Hash-Algorithmus generiert wird. Ein Hashwert kann nicht zurück zum ursprünglichen Passwort berechnet werden, aber es ist möglich, das Passwort durch Vergleich des Hashwerts von anderen Passwörtern zu erraten.
Ein Hashwert wird jedoch normalerweise mit einem sogenannten Salt verschlüsselt. Dadurch hat jedes Passwort nicht mehr nur einen möglichen Hashwert, sondern theoretisch endlos viele. Mithilfe einer Bruteforce-Attacke kann John the Ripper jedoch trotzdem systematisch alle möglichen Passwörter berechnen und auch verschiedene Hash-Algorithmen anwenden.
Vorbereitung
Herunterladen kannst du John the Ripper von openwall.com. Lade die neueste Version für Windows herunter und entpackt das Archiv.
Neben John the Ripper wird auch nich eine Wordlist benötigt, mit welcher das Programm versucht, Passwörter zu knacken. Hier gibt es beispielsweise die Wordlist rockyou. Desto mehr Wörter sie beinhaltet, umso besser. Kopiere die Wordlist in den Ordner run in den entpackten Ordner von John the Ripper.
Kopiere ebenfalls die Excel-Datei in den run-Ordner.
Da es in diesem Beitrag um das Knacken von einer Office-Software geht, wird zusätzlich Python benötigt: python.org/downloads/windows/
Jetzt muss noch in der Datei office2john.py eine kleine Änderung vorgenommen werden. Editier die Datei mit einem beliebigen Editor und ersetzte das Wort getiterator mit iter. Speichere die Datei ab.
Passwort einer Excel-Tabelle knacken
John the Ripper ist ein Kommandozeilen-basiertes Programm. Starte daher eine Eingabeaufforderung unter Windows. Öffne dazu das Startmenü von Windows und gib in der Suche cmd ein. Öffne den ersten Treffer.
Navigiere in den run-Ordner in dem zuvor entpackten Ordner von John the Ripper:
C:\Users\BENUTZERNAME\Downloads\john-1.9.0-jumbo-1-win64\run
Verwende jetzt folgenden Befehl, um den Hashwert der Excel-Datei auszulesen. Die Versionsnummer von Python muss ggf. angepasst werden.
"C:\Users\BENUTZERNAME\AppData\Local\Programs\Python\Python311\python.exe" office2john.py EXCEL_DATEI.xlsx > password.hash
Nun startet der Bruteforce-Angriff auf den Hashwert mithilfe der Wörterliste:
john.exe password.hash --wordlist=wordlist.txt
Dieser Vorgang kann nun einige Minuten, Stunden oder gar Tage dauern - je nach Größe der Wordlist und Komplexität des Passworts. Beachte aber auch, dass das exakte Passwort in der Wordlist vorkommen muss, damit John the Ripper das Passwort knacken kann.
Den aktuellen Fortschritt darüber, wie viele Wörter bereits von der Wordlist abgearbeitet wurden und wie lange es noch maximal dauern wird, kannst du durch einen beliebigen Tastendruck in Erfahrung bringen, beispielsweise S.
Hat John the Ripper das Passwort erfolgreich geknackt, sieht die Ausgabe wie folgt aus:
C:\Users\Janis\Downloads\john-1.9.0-jumbo-1-win64\run>john.exe password.hash --wordlist=wordlist.txt Warning: detected hash type "Office", but the string is also recognized as "office-opencl" Use the "--format=office-opencl" option to force loading these as that type instead Using default input encoding: UTF-8 Loaded 1 password hash (Office, 2007/2010/2013 [SHA1 256/256 AVX2 8x / SHA512 256/256 AVX2 4x AES]) Cost 1 (MS Office version) is 2013 for all loaded hashes Cost 2 (iteration count) is 100000 for all loaded hashes Will run 8 OpenMP threads Press 'q' or Ctrl-C to abort, almost any other key for status falcon (test.xlsx) 1g 0:00:00:00 DONE (2023-02-11 12:45) 5.050g/s 323.2p/s 323.2c/s 323.2C/s 12345..golf Use the "--show" option to display all of the cracked passwords reliably Session completed
Das geknackte Passwort wird hier ausgegeben und steht außerdem in der Datei john.pot. Hier wird der Hash anzeigt, gefolgt von einem Doppelpunkt und dem Passwort im Klartext:
$office$*2013*100000*256*16*443aabd92cdb75988dea6ea3c80dc679*bf9b60ec711e8a0d515f1594cc309955*0ea88c7de84ac16288a62eb50f39380cc1564eb1d21408419fe3c0685ab1e7c5:falcon
Bei Fragen oder Anregungen freue ich mich natürlich über eure Kommentare.
