Writeup Переработки стоит держать в секрете - forensic (writeup)

Всем привет! Хотел бы показать решение таска «Переработки стоит держать в секрете» с площадки codeby.games из раздела forensic.

При решении таска я сначала обратил внимание на:

1.В файлах встречается слово codeby
2.При анализе жёсткого диска злоумышленника в файлах встречаются различные цифры и пароли только по 8 символов.

Теперь заходим в программу для подбора паролей, у меня это -

Advanced Archive Password Recovery Pro​

На основе этих данных я пробовал брут-форсить пароль по маске, но никчему хорошему это не привело(
После поставил подбор пароля только по маленьким символам и цифрам, а также указал длину пароля 8 символов

Ну собственно начинаем наш брут-форс и ждём результата.
И вот спустя 2 821 109 907 456 попыток наконец вылез долгожданный пароль.
Надеюсь помог хотя бы чуть-чуть разобраться с решением данной задачи, если кто-то знает более быстрый метод решения будет очень интересно<3

 

[ALT1RE]

Сколько времени занял брут?

 

[damned]

Сколько времени занял брут?

Точно не помню(ставил на ночь),думаю около 3х - 4х часов

 

[ALT1RE]

Точно не помню(ставил на ночь),думаю около 3х - 4х часов

Попробуй hashcat и john - быстрее перебирают.
У меня хешкатом на слабом ноуте без CUDA подобралось за 1 мин 8 сек, а джон 6 мин 42 сек (но по словарю из 10 цифр и 6ти известных букв). На видюхе вроде гораздо быстрее подберет.

 

[damned]

Попробуй hashcat и john - быстрее перебирают.
У меня хешкатом на слабом ноуте без CUDA подобралось за 1 мин 8 сек, а джон 6 мин 42 сек (но по словарю из 10 цифр и 6ти известных букв). На видюхе вроде гораздо быстрее подберет.

Спасибо, обязательно попробую

 

[ex5loid]

Попробуй hashcat и john - быстрее перебирают.
У меня хешкатом на слабом ноуте без CUDA подобралось за 1 мин 8 сек, а джон 6 мин 42 сек (но по словарю из 10 цифр и 6ти известных букв). На видюхе вроде гораздо быстрее подберет.

а какой режим использовался, джон долго но делает свое дело. а хэшкат не принимает 17200 и другие режимы

 

[Exited3n]

а какой режим использовался, джон долго но делает свое дело. а хэшкат не принимает 17200 и другие режимы

Может потому что там 17210...

 

[ALT1RE]

а какой режим использовался, джон долго но делает свое дело. а хэшкат не принимает 17200 и другие режимы

└─$ hashcat -h | grep PKZIP
формат 17210

 

[Exited3n]

Вообще с каких то там версий HC сам умеет:

hashcat --identify secret.hash

Если это zip'ы, то предварительно надо "почистить файл" после zip2john

zip2john file.zip > zip.tmp

cat zip.tmp | grep -E -o '(\$pkzip\$.*\$/pkzip\$)|(\$zip\$.*\$/zip\$)' > zip.hash
или
cat zip.tmp | grep -E -o '(\$pkzip2\$.*\$/pkzip2\$)|(\$zip2\$.*\$/zip2\$)' > zip.hash

 

[ex5loid]

17200 и другие моды, до 17230 весь pkzip пробовал, ошибку выдает будто хэш не загружен
Попробую с домашнего компа сейчас.Джоном прошло, вот интересно стало что с хэшкетом не так.Сам хэш чистил от лишнего написание, которое от джона осталось.
Да. сейчас дома сработало.Спасибо

 

[zxssss]

го гайд на бурт через хэшкат

 

[Exited3n]

го гайд на бурт через хэшкат

# powershell
.\hashcat.exe -a 3 -1 codeby?d  -m 17210 .\secret.hash '?1?1?1?1?1?1?1?1'

# bash
hashcat -a 3 -1 codeby?d  -m 17210 secret.hash '?1?1?1?1?1?1?1?1'