Cracking Password SSHA


Setelah terbukti banyak orang yang bisa meng-crack hash dari md5 , tetap saja masih saja banyak orang tetap mempergunakannya, selain hash md5, terdapat pula hash SHA yang lebih kuat dari pada md5. Hash tersebut bisa di crack dengan menggunakan metoda brute force, dictionary attack, atau lookup table pada rainbow table.
SSHA ( Salted SHA)

SHA (Secure Hash Algorithm)SHA Family adalah merupakan algoritma hash function yang dibuat oleh National Security Agency (NSA) dan dipublikasikan sebagai standar oleh pemerintah USA.. Algoritma SHA family yang paling banyak digunakan adalah SHA-1 dan telah banyak diaplikasikan pada berbagai macam aplikasi keamanan dan protokol keamanan seperti SSL, PGP, SSH, S/MIME dan IPSec.

=============================================
| Algoritma Hash | Ukuran Digest | Ukuran Internal| Ukuran Blok |
|                                  | Hash (bits)        | State (bits)           |  (bytes)           |   =============================================
|    SHA-0                |   160                    |                                  |                            |
|    SHA-1                 |   160                    |      160                    |     64                 |
|   SHA-224            |   224                    |      256                    |     64                 |
|   SHA-256            |   256                    |      256                    |     64                 |
|   SHA-384            |   384                    |      512                    |     128               |
|   SHA-512            |   512                     |      512                    |     128               |
——————————————————————————–
ref : http://ezine.echo.or.id/ezine16/04_hash.txt

Salt bagi seorang attacker berfungsi sebagai pembantu dalam pencarai password.
md5(x + salt) = hash

Dalam artikel ini, kita mempergunakan tools “ssha_attack-0.3.tar.gz” diciptakan oleh Andres Andreu pada bulan september 2007, dan metode yang kita gunakan adalah “Brute-Force incremental”. Brute force sebuah teknik serangan terhadap sebuah sistem keamanan komputer yang menggunakan percobaan terhadap semua kunci yang mungkin, Cara kerja metode ini sangat sederhana yaitu mencoba semua kombinasi yang mungkin.

“Crack da Password”

Silahkan download toolsnya di http://www.mirrorservice.org/sites/download.sourceforge.net/pub/sourceforge/s/ss/ssha-attack/ssha_attack-0.3.tar.gz
dan libssh .

Ekstrak file tersebut,

root@slacker:~/cryptography# tar xvzf ssha_attack-0.3.tar.gz
alphabet.h
CREDITS
functions.c
hash_stuff/
hash_stuff/genSSHA_py25.py
hash_stuff/example_hashes.txt
hash_stuff/generatehashes.txt
includes.h
Makefile
README
ssha_attack.c
root@slacker:~/cryptography#

Lalu compile,

root@slacker:~/cryptography# make
cc -O3 -c -o functions.o functions.c
cc -O3 -c -o ssha_attack.o ssha_attack.c
cc -O3 functions.o ssha_attack.o -lssl -o ssha_attack
root@slacker:~/cryptography#

Misal kita mendapatkan suatu hash SSHA dengan nilai {SSHA}UcllwOyc6eIWdzslyI37dFtf/TY0YjBl akan kita crack dengan metode Brute Force

root@slacker:~/cryptography#./ssha_attack -m brute-force -l 3 -u 6 -a 9 -s {SSHA}UcllwOyc6eIWdzslyI37dFtf/TY0YjBl

Hash Algorithm Detected: SHA1

Trying Word Length: 6
No hits for Word Length: 6

Trying Word Length: 7
No hits for Word Length: 7

Trying Word Length: 8
No hits for Word Length: 8

Trying Word Length: 9
No hits for Word Length: 9

Trying Word Length: 10
No hits for Word Length: 10

Trying Word Length: 11
No hits for Word Length: 11

Trying Word Length: 12

There is a match on value “unamedplayer”

Elapsed time in seconds for successful attack: 157716

Metode Brute Force attack dengan karakter yang bisa kita tentukan, seperti karakter #$%!&*^, dengan SSHA 256 bit

root@slacker:~/cryptography# ./ssha_attack -m brute-force -3 -u 6 -a 20 -c “#%!” -s {SSHA224}422kn77MASrGFTCbLq8xJNGl8LEMy4V76wvWzjY0OTE=

Trying Word Length: 3
No hits for Word Length: 3

Trying Word Length: 4
No hits for Word Length: 4

Trying Word Length: 5
No hits for Word Length: 5

Trying Word Length: 6

There is a match on value “w#$ty”

Elapsed time in seconds for successful attack: 201796

Opsi-opsi yang bisa kita gunakan

-m metoda yang kita gunakan, pilih “brute-force” atau “dictionary” (mempergunakan kamus password) -l karakter minimum password, jika anda tahu password tak mungkin kurang dari 3 huruf contohnya -l 3
-u karakter maksimum, jika anda tahu berapa huruf password gunakan -u 6
-a tipe karakter yang digunakan, pilihan 1 sampai 10
1. Hanya Nomor
2. hex huruf kecil
3. HEX Kapital
4. Karakter huruf kecil
5. Karakter Kapital
6. Karakter nomor kecil
7. Karakter nomor dengan Kapital
8. Karakter huruf kecil dan kapital
9. Karakter nomor kecil dan kapital
10. Semua karakter ASCII
11. Huruf kecil dan Kapital Karakter huruf dan angka atau seperti:
!”£$%^&*()_+-=[]{}’#@~,.<>?/|
20. Karakter sendiri ditambah opsi -c

Solusi ;

1. Selalu gunakan password yang tidak ada hubungan dengan hidup anda, contoh ; nama ibu atau bapak, nama pacara, tanggal lahir, tanggal jadian dengan pacar anda atau nama selingkuhan anda.

2. Gunakan Password lebih dari enam karakter di kombinasikan dengan karakter huruf dengan angka atau simbol-simbol (~!@#$%^&*).

Masihkan anda berfikir Hash SHA lebih kuat dari pada md5 ?🙂

One thought on “Cracking Password SSHA

  1. bro kloe error ky gini . gmn cr ngatasi nya?

    bash-4.2$ make
    cc -O3 -c -o functions.o functions.c
    cc -O3 -c -o ssha_attack.o ssha_attack.c
    cc -O3 functions.o ssha_attack.o -lssl -o ssha_attack
    /usr/lib64/gcc/x86_64-slackware-linux/4.7.0/../../../../x86_64-slackware-linux/bin/ld: functions.o: undefined reference to symbol ‘EVP_DigestFinal_ex’
    /usr/lib64/gcc/x86_64-slackware-linux/4.7.0/../../../../x86_64-slackware-linux/bin/ld: note: ‘EVP_DigestFinal_ex’ is defined in DSO /lib64/libcrypto.so.0 so try adding it to the linker command line
    /lib64/libcrypto.so.0: could not read symbols: Invalid operation
    collect2: error: ld returned 1 exit status
    make: *** [all] Error

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s