您好,登錄后才能下訂單哦!
這篇文章主要介紹“怎么用Hashcat暴力破解Linux磁盤加密”,在日常操作中,相信很多人在怎么用Hashcat暴力破解Linux磁盤加密問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”怎么用Hashcat暴力破解Linux磁盤加密”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!
獲取硬盤鏡像可以通過雷電接口、連接其他Mac電腦、或者以目標磁盤模式來實現(xiàn),這個步驟比較簡單,我們這里不進行贅述。
當我們將鏡像文件(取證文件)加載進EnCase之后,我們就可以直接看到啟動分區(qū),但是hda2似乎是一個“未分配的卷蔟”,格式為EXT2分區(qū)。
但是,我們可以直接在下方區(qū)域查看到LUKS頭信息,而這段信息告訴我們它使用的是XTS-plain64的AES加密。
為了解密并加載這個分區(qū),我們首先需要以原始鏡像的形式導出這個加密分區(qū)。我發(fā)現(xiàn),這一步使用FTK Imager實現(xiàn)起來最簡單,但是你也可以用EnCase來將這個分區(qū)以模擬磁盤的形式進行加載,但是FTK Imager更簡單一些。
加載成功之后,右鍵點擊已加密的分區(qū),并選擇“導出磁盤鏡像”(Export Disk Image),然后把fragmentation設(shè)置為0。
接下來,到hashcat(一款支持Windows和Linux平臺的密碼破解軟件)上場了。一般來說,hashcat是用來破解密碼哈希的,所以我們需要加載一個哈希值或者在文本文件中寫入多個哈希。
但是對于LUSK來說,我們則需要對整個分區(qū)運行hashcat,因為LUKS會在整個磁盤區(qū)域內(nèi)存儲用于解密數(shù)據(jù)的主密鑰。幸運的是,hashcat只需要大約2MB來破解密碼,因此我們就可以使用FTK Imager來創(chuàng)建一個2MB的Header,然后使用運行下列命令:
sudo dd if=LUKS_Partition.001 of=LUKS_Header.dd bs=512 count=4079
FTK方法:
Fragmentation設(shè)置為2,如果你想用dd命令的話,請參考上面給出的方法。
這一步可以在Windows或Linux上進行,但是為了方便起見,我這里選擇使用Linux來解密并加載分區(qū)。
下載hashcat 3.5+【點我下載】,hashcat的破解密碼選項有非常多,但最常用的就是暴力破解,不過這種方法效率就非常低了,有可能你花了幾個月的時間都破不了一個密碼。這里我們需要使用的是字典攻擊(自定義字典),你可以從【這里】下載各種非常強大的密碼字典。
當你將分區(qū)鏡像文件以及header鏡像拷貝到Linux并設(shè)置好了hashcat之后,你需要切換到鏡像文件所在目錄并在終端運行下列命令(使用了一個名叫“Dictionary.txt“的字典文件):
./hashcat-3.5.0/hashcat64.bin-m 14600 -a 0 -w 3 LUKS_Partition.001 Dictionary.txt -o luks_password.txt
常用的hashcat語句如下:
hashcat <METHOD> <HASH> <DICTIONARY> <OUTPUT>
我們的場景配置如下:
-m =哈希算法 - 14600 為 LUK加密 -a =破解方法 - 0 為標準字典破解 (3 為暴力破解) -w =r資源分配 - 3 為‘高’ LUKS_Partition.001= Encrypted partition Dictionary.txt= dictionary -o =output luks_password.txt
如果一切順利的話,你就可以查看到密碼的破解結(jié)果了。
我們現(xiàn)在已經(jīng)得到了密碼,我們就可以使用cryptsetup來解密這個‘容器’了!運行下列命令:
sudo cryptsetup luksopen LUKS_Partition.001 Decrypted_partition
輸入你的管理員密碼,然后輸出hashcat給你提供的LUKS密碼。該命令將會創(chuàng)建一個解密分區(qū)文件,文件路徑為/dev/mapper/Decrypted_partition。接下來,你就可以使用ls命令來查看文件了。
首先,你需要創(chuàng)建一個需要掛載鏡像文件的位置:
sudo mkdir /mnt/Decrypted_partition
如果你使用下列命令實現(xiàn)掛載的話:
sudo mount /dev/mapper/Decrypted_partition /mnt/Decrypted_partition
你可能會得到一條錯誤提示:“mount: Unknown Filesystem type”
如果出現(xiàn)的話,你可以運行下列命令解決該問題:
sudo apt-get install lvm2
然后運行:
sudo lvscan
這樣一來,你就可以查看到解密分區(qū)的邏輯卷了,接下來使用下列命令掛載root分區(qū):
sudo mount /dev/macdeb-vg/root /mnt/Decrypted_partition –r
注:-r,即只讀!
我們還可以使用相同的mkdir以及mount命令來掛載swap分區(qū)。
我們可以直接瀏覽/mnt/Decrypted_partition,并查看我們之前的隱藏數(shù)據(jù)了!
現(xiàn)在,我們就可以直接使用“dd”或“dc3dd”命令來為解密后的數(shù)據(jù)制作鏡像了,請確保你將其設(shè)置為指向/dev/mac-deb-vg。我建議大家使用下列命令:
sudo dc3dd if=/dev/macdeb-vg/root of=/media/Patrick/KINGSTON/decrypted_partition.dd
得到解密后的分區(qū)鏡像后,我們就可以把它加載進EnCase(或其他工具),然后你就會發(fā)現(xiàn)所有的數(shù)據(jù)都是直接可讀的了。
到此,關(guān)于“怎么用Hashcat暴力破解Linux磁盤加密”的學習就結(jié)束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續(xù)學習更多相關(guān)知識,請繼續(xù)關(guān)注億速云網(wǎng)站,小編會繼續(xù)努力為大家?guī)砀鄬嵱玫奈恼拢?/p>
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。