web-dev-qa-db-ja.com

John the RipperでSHA512 hexdigestパスワードをクラックする方法?

私はJohn The Ripper(JtR)と遊んで、SHA-512でハッシュされたソルトパスワードを20回の操作でクラック/監査しようとしました ソースによると (好奇心のために、これはa Railsアプリ、authlogic gem付き)。

私が正しく理解した場合、JtRはファイル内のハッシュを期待します。各ハッシュは特定の形式に従います。 SHA512の場合、この形式は次のようになります。

username:$6$SALT$HASH

これは、passwd/shadowファイルと互換性のある形式のようです。

私の問題は、JtRがBase64で期待しているハッシュのようですが、私のDBにあるハッシュは16進数であるということです。

私はこの断言で正しいですか? 20回「ストレッチ」された16進数のハッシュ(パスワード+ソルトで構成される)を認識するようにJtRに指示する方法はありますか?

ありがとうございました。

passwordsauditpassword-cracking
2
edmz

あなたの説明からは、ソルトとハッシュがどのようにDBのhexdigestにエンコードされるかは明らかではありません。まず、ダイジェストからソルトとハッシュを抽出する必要があります。それより、 http://www.vidarholen.net/contents/blog/?p= で説明されているsha512-cryptを作成できます。

2
DanielE