Linux shadow файл расшифровать

How to decode the hash password in /etc/shadow

I don’t know much of Ubuntu, but is Ubuntu able to decode these sort of things? Or do I need to install some program? If I don’t, how do I use Ubuntu to read the file?

I think what you really want is, is there a way to find the password for a given hash in the /etc/shadow file. The answer is yes. If the hash is an md5, try searching on hash-killer, hashkiller.co.uk/md5-decrypter.aspx.

7 Answers 7

You need to install «John the Ripper».

$ unshadow /etc/passwd /etc/shadow > mypasswd.txt $ john mypasswd.txt 

When it is finishes (in 1-5 min for password with 4 numbers), you’ll see password you need.

It is likely that a dictionary attack will have better chance to make it. You can use rockyou.txt file from github.com/danielmiessler/SecLists/tree/master/Passwords/… then john mypasswd.txt —wordlist=/usr/share/wordlists/rockyou.txt

/etc/shadow stores a hashed version of the password. This is, for all intents and purposes, impossible to recover because hashing is a one way operation.

This stops malicious people being able to read the passwords of users on the system.

Let’s make it simple : No. Passwords are not meant to be decrypted, what would be the point ? No technique, no utility will allow you to do such a thing. Behind those passwords are huge algorithms meant to be one-way only.

However, you can read the file (and see encrypted passwords) by doing :

You’ll need to be a sudoer, or root himself (in which case, sudo is useless)

here’s the deal. You can’t decrypt a hashed password, that would ruin the point of hashing.

Hashing works in basic terms, that you take a random string and mix that up (using a certain algorithm) with the password so that it becomes totally unreadable. Then you store this password + hash in a database.

Then how do you know what the correct password is? Well you enter the password and take that same hash string and then you will get the same hash. Then simply compare those hashes and you know if the password is correct.

You can find out what password the user used, but then you need to know what hash string was used to hash it and also you need to know what hashing algorithm was used. Then in the end the solution is still to brute-force the password(try every combination) then hash it and see if it matches the hash that’s stored in the database. So for a conclusion, you can «decrypt» a hashed password, but it’s not easy.

useful links on the topic:

@mtk if you know the hash and the hashed password then you can just bruteforce. If you try enough passwords you will get the correct hash after a while. Hashing is just a way to slow the process once your server has been hacked. You still need to change the passwords that were leaked.

Ubuntu can’t decrypt passwords but you may find john useful:

Yes you can

If you want to decode this password then you need to install john the ripper in your ubuntu with sudo apt-get install john . you just need to copy line of that hash code and create a new file with .PASSWD extension and insert that file into john the ripper tool. It will automatically crack those hashes and give you the password of that particular user.

Are you sure that this is not just to test for weak passswords? Can you add an example of a user with a (let’s say) 16 or even 32 char password that John can crack?

The answer is technically incorrect because John the Ripper is unable to decrypt hashes — nothing can — it only attempts to find the string (or a string) that generates that hash on a brute force basis. This means as the above comment points out, sufficiently secure passwords will not be able to be cracked in this way.

Never assume a «hashed» password is always safe, not decryptable and uncrackable.

It all depends how the passwords has been «hashed» and what cryptographic algorithm was used, what techniques was used to hash a password and so on. There are dedicated hardware just to crack weak hashed passwords.

Most common way to figure out a hashed password is to use brute force dictionary program to decrypt and figure out a hashed password. This by no means it always works but it is useful. You’ll be surprised how many people uses common easy to figure passwords and the brute force dictionary has tons of common passwords which are hashed and it compares it’s value with the hashed password to find a match.

Because of this cryptographic developers came up with the «salt» and «pepper» hashing. Basically makes the common easy to guess passwords harder to crack since they will always be a unique hashed password.

End of the day, yes hashed passwords can be cracked if it is weakly hashed.

Here is a video on how to crack hashed passwords using «Hashcat»: https://www.youtube.com/watch?v=eq097dEB8Sw

Many factors comes to play when you want a hashed password uncrackable, making it extremely difficult to decrypt.

Источник

Как расшифровать пароль из /etc/shadow?

Забыл пароль. Сменил его, загрузившись в single-mode, но интересно, какой был старый пароль. В начале хэша стоит $1$, что, как я понял, означает шифрование md5. Вопрос: чем расшифровать этот хэш?

Re: Как расшифровать пароль из /etc/shadow?

Гипотеза: Для криптостойкого алгоритма хеширования существует бесконечное количество комбинаций символов, которым может быть сопоставлено любое заданное значение хеша.

Re: Как расшифровать пароль из /etc/shadow?

> Забыл пароль. Сменил его, загрузившись в single-mode, но интересно, какой был старый пароль. В начале хэша стоит $1$, что, как я понял, означает шифрование md5. Вопрос: чем расшифровать этот хэш?

$ apt-cache show john
Package: john
Priority: optional
Section: admin
Installed-Size: 476
Maintainer: John Packaging Team
Architecture: amd64
Version: 1.7.2-3
Depends: libc6 (>= 2.7-1), libssl0.9.8 (>= 0.9.8f-5), john-data (= 1.7.2-3)
Suggests: wenglish | wordlist
Filename: pool/main/j/john/john_1.7.2-3_amd64.deb
Size: 178528
MD5sum: 265abe3c846885527e24cd2a70e87723
SHA1: 8720141ed351b39d82f8e4fbf33123ae008b0b56
SHA256: 2c90da82adbde7fe5291b377389bcf9f730df1068d0285e9655c34386447542a
Description: active password cracking tool
john, mostly known as John the Ripper, is a tool designed to help systems
administrators to find weak (easy to guess or crack through brute force)
passwords, and even automatically mail users warning them about it, if it
is desired.
.
It can also be used with different cyphertext formats, including Unix’s
DES and MD5, Kerberos AFS passwords, Windows’ LM hashes, BSDI’s extended DES,
and OpenBSD’s Blowfish.

Re: Как расшифровать пароль из /etc/shadow?

Источник

Program for decrypt linux shadow file

Passwords on a linux system are not encrypted, they are hashed which is a huge difference.

It is not possible to reverse a hash function by definition. For further information see the Hash Wikipedia entry.

Which hash function is used, depends on your system configuration. MD5 and blowfish are common examples for used hash functions.

So the «real» password of a user is never stored on the system.

If you login, the string you enter as the password will be hashed and checked against your /etc/shadow file. If it matches, you obviously entered the correct password.

Anyway there are still some attack vectors against the password hashes. You could keep a dictionary of popular passwords and try them automatically. There are a lot of dictionaries available on the internet. Another approach would be to just try out all possible combinations of characters which will consume a huge amount of time. This is known as bruteforce attack.

Rainbowtables are another nice attack vector against hashes. The idea behind this concept, is to simply pre calculate all possible hashes and then just lookup a hash in the tables to find the corresponding password. There are several distributed computing projects to create such tables, the size differs on the characters used and is mostly several TB.

To minimize the risk of such lookup tables its a common practice and the default behaviour in Unix/Linux to add a so called «salt» to the password hash. You hash your password, add a random salt value to the hash and hash this new string again. You need to save the new hash and the salt to be able to check if a entered value is the correct password. The huge advantage of this method is, that you would have to create new lookup tables for each unique salt.

A popular tool to execute dictionary or brute force attacks against user passwords of different operating systems is John The Ripper (or JTR). See the project homepage for more details:

John the Ripper is a fast password cracker, currently available for many flavors of Unix, Windows, DOS, BeOS, and OpenVMS. Its primary purpose is to detect weak Unix passwords.

Источник

Понимание файла /etc/shadow

Добавить в избранное

Главное меню » Linux » Понимание файла /etc/shadow

С уществует несколько разных схем аутентификации, которые можно использовать в системах Linux. Наиболее часто используется и стандартная схема для выполнения аутентификации файлов /etc/passwd и /etc/shadow.

/etc/shadow — это текстовый файл, содержащий информацию о паролях пользователей системы. Он принадлежит пользователю root и группе shadow и имеет 640 разрешений.

Формат /etc/shadow

Файл /etc/shadow содержит одну запись в каждой строке, каждая из которых представляет собой учетную запись пользователя. Вы можете просмотреть содержимое файла с помощью текстового редактора или команды, такой как cat:

Как правило, первая строка описывает пользователя root, затем системные и обычные учетные записи пользователей. Новые записи добавляются в конец файла.

Каждая строка файла /etc/shadow содержит девять полей, разделенных запятыми:

mark:$6$.n.:17736:0:99999:7. [--] [----] [---] - [---] ---- | | | | | |||+-----------> 9. Неиспользованный | | | | | ||+------------> 8. Срок годности | | | | | |+-------------> 7. Период бездействия | | | | | +--------------> 6. Период предупреждения | | | | +------------------> 5. Максимальный возраст пароля | | | +----------------------> 4. Минимальный возраст пароля | | +--------------------------> 3. Последнее изменение пароля | +---------------------------------> 2. Зашифрованный пароль +----------------------------------------> 1. Имя пользователя

1. Имя пользователя. Строка, которую вы вводите при входе в систему. Учетная запись пользователя, которая существует в системе.
2. Зашифрованный пароль. Пароль использует формату $type$salt$hashed. $type является методом криптографического алгоритма хеширования и может иметь следующие значения:
   • $1$ — MD5
   • $2a$ — Blowfish
   • $2y$ — Eksblowfish
   • $5$ — SHA-256
   • $6$ — SHA-512

Если поле пароля содержит звездочку ( *) или восклицательный знак ( !), пользователь не сможет войти в систему с использованием аутентификации по паролю. Другие методы входа, такие как аутентификация на основе ключей или переключение на пользователя, по-прежнему разрешены

Файл /etc/shadow не стоит редактировать вручную, если вы не знаете, что вы делаете. Всегда используйте команду, которая предназначена для этой цели. Например, чтобы изменить пароль пользователя, используйте команду passwd, а для изменения информации об устаревании пароля используйте команду chage.

Пример записи

Давайте посмотрим на следующий пример:

andreyex:$6$zHvrJMa5Y690smbQ$z5zdL. 18009:0:120:7:14::

Запись выше содержит информацию о пароле пользователя andreyex:

• Пароль зашифрован с помощью SHA-512 (пароль сокращен для лучшей читаемости).
• Последний раз пароль изменялся 23 апреля 2019 года 18009.
• Минимального срока действия пароля нет.
• Пароль необходимо менять как минимум каждые 120 дней.
• Пользователь получит предупреждающее сообщение за семь дней до истечения срока действия пароля.
• Если пользователь не попытается войти в систему через 14 дней после истечения срока действия пароля, учетная запись будет отключена.
• Нет срока действия аккаунта.

Вывод

Файл /etc/shadow хранит запись о паролях зашифрованы пользователями, а также других паролях связанной с ними информацию.

Если у вас есть какие-либо вопросы или отзывы, не стесняйтесь оставлять комментарии.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник