practica de laboratorio de seguridad 3
DESCRIPTION
Practica de Laboratorio de Seguridad 3TRANSCRIPT
Seguridad Informatica
PRACTICA DE LABORATORIO SSH Y FIRMAS DIGITALES ATAQUES DE FUERZA BRUTA
Parte II
Realizado por: ___________________________________________________
Revisada por: Luis Madera
En este punto nos enfocaremos a la seguridad de las contraseñas, para ello es importante que tengan conceptos básicos sobre temas como: ataque diccionario, programar script, John The Ripper, con estos conceptos podremos haremos el ejercicio de atacar contraseñas. Suponiendo que contamos con el siguiente alfabeto:
Alfabeto 1: a b c d e f g h i j k l m n o p q r s t u v w x y z Alfabeto 2: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O
P Q R S T U V W X Y Z Alfabeto 3: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O
P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # Alfabeto 4: a b c d e f g h i j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O
P Q R S T U V W X Y Z : . ; , _ + < > ? = ( ) / % # 0 1 2 3 4 5 6 7 8 9
Utilizaremos un script que suministraré. Este script tiene una característica que permite realizar un ataque de fuerza bruta para encontrar contraseñas de tres caracteres sobre el Alfabeto
1. El programa tiene como parámetro de entrada o Input el "Salt" y el “hash” de la contraseña, estos datos están descritos en la tabla que visualizarán más adelante. A continuación encontraremos un ejemplo de cómo ejecutar el script en Debian 8.0, recuerden que esto lo deben ejecutar desde el terminal de Debian y tener permisos de súper root, el script también deberá tener permisos para poder ser ejecutado:
Por ejemplo: time ./script ok ok961FcL7R4oU
Donde ok es el salt y ok961FcL7R4oU es el hash de la contraseña, el resultado Dará como salida: tst , qué hace referencia a la contraseña encontrada.
PARA TENER EN CUENTA:
Luis Madera Página 1
Seguridad Informatica
Este "script" debe ser ejecutado (deben proporcionar permisos para ejecutarlo) en una consola de comandos de Debian 8.0 y utilizar "OpenSSL". En la plataforma Linux que hemos ´preparado ya está instalada. A continuación se muestra una tabla que contiene algunos datos como el número de caracteres que contiene la contraseña ya cifrada, también se cuenta con los hash de cada contraseña, para el ejercicio deberán hacer uso del hash y el salt de la tabla.
Realizar los ataques de fuerza bruta con el script para conseguir la contraseña en cada caso:
ALFABETO NRO. CARACTERE
S
SALT HASH CONTRASEÑA
TIEMPO
Alfabeto 1 3 zz zzxro5xjinmvMAlfabeto 2 3 OO OOxtB6h5YruaA Alfabeto 3 3 U. U./Se8tPqytD2Alfabeto 4 3 4Y 4Yy77AHdCPNqYAlfabeto 1 5 bb bbzNErQvUSZOIAlfabeto 1 6 uu uuFPJnWAcNys2
Nota:
Para los 2 últimos utilizar John the Ripper.
Cada estudiante deberá presentar el informe con las captura de pantalla de la ejecución del script en cada caso y el resultado en el cuadro superior.
Luis Madera Página 2