PASSWORD  ATTACK

हेल्लो Friends आज हम पासवर्ड Attacks के बारे में जानेंगे। आज के इस Chapter में हम जानेंगे की Passwords को कैसे Crack करे मतलब हम Password Attack के बारे में आज बहुत कुछ सीखेंगे।

Password attack 2 प्रकार के होते है :
1. Online Password Attacks
2. Offline Password Attacks

ONLINE PASSWORD ATTACKS

जैसे की हमने पहले ही tools की Help से Vulnerability Scan करि थी ऐसे ही कुछ Tools की मदद से हम Password Guess कर सकते है । इन Tools की मदद से हम Automatic Passwords लगा कर देखते है। ये अपने आप हमारे दिए हुए पासवर्ड्स इस्तेमाल करते है और जब सही Password मिल जाता है तब ये उस Password को Show कर देते है, इसे हम Brute Forcing कहते है। ये Tools जितने भी username और passwords होते है उन्हें एक एक करके Check करते है जब तक सही username और Password नहीं मिल जाता। Brute Force में एक ये Problem है की अगर आपके Target ने Strong Password इस्तेमाल कर रखा है तो उसे Hack होने में बहुत ज्यादा Time लग जाता है।

WORDLIST

इन Tools को इस्तेमाल करने से पहले आपको कुछ List चाहिए जिनमे कुछ Username और Password लिखे हो क्योकि ये tools उन्ही username और password को ही फिर इस्तेमाल करेंगे।

USER LISTS

User Lists में आप उन username को डाल सकते है जो आपको लगता है की आपका Target उन username में से कोई एक डाल सकता है। जैसे की मैंने अपनी File userlist.txt में कुछ username डाल रखे है क्योकि हम यहाँ ये सब सिख रहे है तो मैंने थोड़े ही डाले है, इनमे मैंने जो असली username है वो भी डाला है। 

PASSWORD LISTS

ISME आपको Password की List डालनी है आप कोई भी Text Editor का इस्तेमाल कर सकते है ये List बनाने के लिए, मैंने ये Password List बनायीं है जिसमे मैंने असली पासवर्ड डाला है, क्योकि हमे बस ये सीखना की इसे इस्तेमाल कैसे करते है।

आप भी ऐसी ही 2 File बना लीजिये और उन्हें Save कर लीजिये। हम Hydra नाम का एक Tool का इस्तेमाल करेंगे जो काफी अच्छा Tool है।

अगर आपको पहले से ही बानी हुयी password और userlist  चाहिए तो आप http://packetstormsecurity.com/Crackers/wordlists/ या http://www.openwall.com/wordlists/ पर जा सकते है। कुछ Target ऐसे होते है जो ऐसे Password इस्तेमाल करते है जो आसानी से याद हो सके और ये ज्यादातर Password Dictionary में से होते है, इसलिए इस Attack को Dictionary Attack भी कहते है।

GUESSING USERNAME AND PASSWORD WITH HYDRA

OK, अगर अब आपके पास userlist and passwordlist है तो आप Hydra Attack करने की लिए तयार हो जाइये तो सबसे पहले Kali Linux में Terminal को ओपन करे और उसमे Type करे :=
hydra -t 1 -L userlist.txt -P passlist.txt -vV 192.168.43.160 ftp

इसमें हमने Hydra Attacks किया है, ऊपर दिए हुए Example में हमने सबसे पहले Hydra Type किया हैं, जो Hydra की Command है उसके बाद हमने -t 1 Type किया है जो एक बार में एक ही 1 बार में एक ही Attack कर रहा है, ये हमने इसलिए किया क्योंकि कई बार ऐसा होता है की FTP 1 से ज्यादा बार किये हुए Attacks को सहन नहीं कर पाता और कुछ देर के लिए बंद हो जाता है, -L userlist के लिए और -P password list के लिए use होते है। -v Verbose Mode के लिए और -V जितने भी इसने password Try किये है उन्हें हमे दिखने के लिए इस्तेमाल हुआ है। इसके बाद हमारी Windows XP का IP Address है और आखिर में FTP जैसा की आपने देखा इसने सारे Password Try किये और जो सही Password था वो हमे दिखा दिया।

अब हम इसी पे एक और Attack करेंगे जिसमे हमे पहले से username यानी की Target का पता हो तो उसके लिए हमे userlist की जरुरत नहीं होती तो हम -l <username> लिख देते है और फिर अपनी Password List डाल देते है।
hydra -l target -P passlist.txt -vV 192.168.43.160 ftp

इसमें -l के बाद हम सीधा अपने Target का Username लिख देते है बाकी तो Same ही है।

HOW TO CREATE WORDLIST

आप Kali Linux में खुद भी अपने लिए Wordlist बना सकते है। जैसे की अगर आपको लगता है की आपका Target 7 Word का पासवर्ड लगा सकता है जिसमे वो सिर्फ AB को ही Use करेगा तो आप Crunch नाम के एक बहुत ही अच्छे Tool से ये काम कर सकते है, ये तो हमने एक छोटा सा Example लिया है आप AB की जगह कुछ भी लिख सकते है फिर Crunch आपको उन्ही words से मिलकर password list बना के दे देगा लेकिन एक बात याद रखना ये Password List कभी कभी बहुत बड़े Size में भी आ जाती है जितना आप Password List बनाना चाहते है।
तो Crunch को इस्तेमाल करने के लिए आपको नीचे दी गयी Command टाइप करनी होगी।
crunch 7 7 AB

इसमें पहले Crunch को स्टार्ट किया है इस Command की मदद से आप 7 words की जिसमे A or B के use से बानी है Wordlist बना सकते है।

CEWL

ये भी एक अच्छा Tool है Kali Linux में। ये टूल पूरी Website को Check करता है और उनमे से आपके लिए Wordlist बनाता है जैसे की नीचे Screen-Shot में दिखाया है।

  Command:-
cewl -w mywordlist.txt -d 1 -m 5 www.kaliattacks.com

इस Command में -w आपकी wordlist को सेव करता है जैसे की यह वो mywordlist.txt के नाम से सेव कर देगा उसके बाद -d 1 का मतलब है ये depth में website से Words ढूंढेगा और -m 5 का मतलब है कि ये कम से कम 5 Words की list बनाएगा। 

इस बात का ध्यान रखे की Online Password Attack की एक सबसे बड़ी ये Problem है की कई services ऐसी होती है, जो ज्यादा बार Try करने से बंद हो जाती है। जैसे की ज्यादा बार Login Password गलत डालने से आपका IP Address Block हो जायगा।

OFFLINE PASSWORD ATTACKS

इस Attack की अच्छी बात ये है की इसमें आपका IP Address Block नहीं होता। इसमें आपको कैसे भी करके Password की Hash Files को Copy करके अपने System पर उसे Plain Text में Decode करना होता है ताकि आपको Password मिल जाए लेकिन अगर Hash Compromised है तो आप उसे Decode नहीं कर सकते है इसके लिए आपको कोई भी Password लगा कर देखना होगा की वो Encrypt होने के बाद क्या Hash से मैच हो रहा है ।

OPHCRACK

ये एक Offline Password Cracker है ये कुछ Tables का इस्तेमाल करता है जिन्हें Rainbow Tables कहते है। उन Tables के इस्तेमाल से बहुत जल्दी Password Crack करने में Help करता है। OPH Crack में आप चाहे तो कोई भी Single Hash File या Encrypt SAM File भी Decrypt कर सकते है। इसके लिए आपको Hash Tables को Download करनी पड़ेगी। इसके लिए सबसे पहले Terminal में ophcrack लिखे इससे ophCrack Open हो जायगा। अब उसमे SAM File को Load करे और उसके बाद Tables बटन पर Click करके Tables को Install कर ले । फिर Crack बटन पर Click करे कुछ देर बाद आपको Password Plain Text में मिल जायगा।

Online और Offline Password Crack करने के और भी बहुत Tools है जिन्हें आप Try कर सकते है जैसे John The Ripper और भी आपको वो सब Kali Linux में मिल जाएंगे।
आप और भी Tools Google भी कर सकते है। आगे हम अपनी Classes को आगे बढ़ाते हुए और भी बहुत कुछ सीखेंगे। Please मेरे इस Blog को जरूर Share करे। Hope आपको मेरी ये Ethical Hacking की Classes में आपको बहुत कुछ सिखने को मिल रहा होगा।
H4pPY H4Ck1Ng 😛

4 thoughts on “Password Attacks

Leave a Reply

Your email address will not be published. Required fields are marked *