Blackhash – 没有哈希的审计密码

华盟原创文章投稿奖励计划

Blackhash - 没有哈希的审计密码

Blackhash是一种限制审核密码的工具,即检查系统文件中的弱密码摘要,而无需访问完整的摘要。它的工作原理是从系统密码摘要构建Bloom过滤器。
常见的Blackhash用法:
系统管理器提取密码摘要,然后使用Blackhash构建过滤器。过滤器保存到文件中,然后压缩并提供给审计小组。审计小组维护一组弱密码字典,用于测试密码摘要。 
收到过滤器后,审核员只需检查字典的每个条目,无论它是否存在于过滤器中。如果发现过滤器中存在弱密码,则安全团队会创建这些密码的弱过滤器并将其发送回系统管理器。 
最后,系统管理器根据系统摘要测试弱过滤器,以识别具有弱密码的各个用户。
Blackhash会加载哪些哈希格式?如何提取密码哈希值?
加载器假定它正在读取一行中每个条目的纯文本文件,并将以这些格式加载哈希:
哈希用户:哈希
用户:ID:LMHash:NTHash:注释:Homedir : (这是Samba定义的pwdump格式)
Blackhash不提取密码哈希值。它只是创建和测试过滤器。要提取密码哈希值,请使用Internet上免费提供的任何常用的传统密码哈希提取工具。当然,您使用的工具取决于您要提取的密码存储(本地SAM,Active Directory数据库等)。一些示例哈希提取程序是pwdump,fgdump,NTDSXtract等。
Blackhash可以破解什么类型的密码哈希?任何简单的,无盐的单轮密码哈希。一些常见的例子是LM,NT,MD5和SHA1哈希。基本上,Blackhash可以破解Rainbow Table可以使用的任何类型的密码哈希。但是,Blackhash为遭受哈希攻击的哈希提供了更多的好处。基本上,这些哈希值是密码相同的,应该被视为纯文本密码。
Blackhash会使用盐渍的多轮哈希,但我从来没有在那些上使用它。不需要对代码进行修改即可。系统管理员只需提供盐和轮次数,以便安全审计员可以使用该信息创建弱测试哈希值。过滤器的创建和测试不会改变。
Bloom Filter中使用的值是什么?多少误报?
在最坏的情况下,误报率P应该大约为0.0008。
位数 M = 67,108,864
哈希数 N = 1,000,000(通常远低于此)
散列函数的数量 K = 2(散列函数是MD4和MD5)
为什么不直接转储密码哈希值并将其发送给安全审计员?这是传统的方法,但是,有些组织的政策禁止这样做。即使是出于安全审核的目的,他们也无权向第三方发送密码哈希值。或者,他们有内部安全团队,与生产支持团队分开,不应该访问生产密码哈希。此外,将密码哈希值发送给其他人也存在很大的风险,特别是对于密码等效的哈希(通过哈希攻击)。在这种情况下,Blackhash可能会有用。
为什么叫“Blackhash”?该名称取自Black Box Testing。“一种软件测试方法,可以检查应用程序的功能,而不会窥视其内部结构或工作。” 使用Blackhash,安全审核员可以测试您的Microsoft Active Directory哈希,而无需访问哈希。
我怎么知道我正在运行的Blackhash版本?不带任何参数执行它,它将显示版本号。
Blackhash编写的编程语言是什么?它会在我的电脑上运行吗?我可以下载源代码吗?
Blackhash是用C 编写的。它使用Boost和Crypto 库。它可以构建在大多数现代桌面或服务器操作系统(Windows,Mac,Linux,BSD系统等)上。版本0.2及更高版本需要C 11编译器,因此不需要增强。Blackhash根据GPL许可证分发,并提供完整的源代码。
优点:

  • 密码哈希永远不会离开系统。

  • 适用于任何简单,无盐的哈希。LM,NT,MD5,SHA1等

  • 安全审核员不必传输,处理或保护密码哈希值。

  • 华盟知识星球入口

    匿名用户。过滤器根本不包含有关用户的数据

缺点:

  • 比传统的密码破解方法慢。

  • 比传统的密码破解方法更复杂。

  • 布置过滤器可能会产生一些误报(在这种情况下很少)。

下载地址:https://github.com/kholia/Blackhash

本文原创,作者:congtou,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/223415.html

发表评论