profjulianoramos.github.io /linux/servidor/linux/2020/06/16/descobrirsenhas.

html

Unknown Title
profjulianoramos ⋮ ⋮ 16/06/2020

Quebrar senhas com John the Ripper

Jun 16, 2020

servidor
linux

Você tem certeza de que seus usuários estão trabalhando com senhas seguras em seus servidores
linux? Se não. Deixe o “estripador” responder.

Eu demonstrarei o uso da ferramenta como um meio de testar as senhas de seus usuários

em um servidor interno. O uso desta ferramenta fora desta intenção pode ter implicações
legais.

A instalação

1/2
John the Ripper, pode ser instalado em praticamente todas as distribuições, no caso do Debian/Ubuntu e
derivados, abra um terminal e digite:

sudo apt-get install john -y

Precisamos também de uma lista de palavras, para o John testar. No google encontrei com facilidade
várias listas deste tipo. Mas existe uma no repositório.

sudo apt-get install wportuguese

Mesclar o arquivo shadow com passwd

O primeiro passo é unir o arquivo shadow com passwd. Para isto, executamos:

/usr/sbin/unshadow /etc/passwd /etc/shadow > /tmp/crack.senhas.db

Agora, execute o comando:

john /tmp/crack.senhas.db

Este comando leva um bom tempo, hora do café. Apertando alguma tecla ele vai informando o status e
se já conseguiu quebrar alguma senha.

Meus usuários e suas senhas 123…

Crie um usuário com senha do tipo “123456” acreditem, eu tinha alguns destes. O John pegou em 15
segundos. Quando o John terminar de executar, ele vai criar um log. Você visualiza com:

john --show /tmp/crack.senhas.db

Conclusão
Use esta ferramenta com responsabilidade. Ela é importante para garantirmos uma melhor segurança
para nossos servidores. Usar de forma irresponsável, pode garantir a você, sérios problemas.

Commits:

Edição do texto: 16/06/2020 - 14:00

Editado erro na refência do arquivo crack.senhas.db - 16/06/2020 - 14:19 (leitor Marcos, informou).

2/2