Ade Rainbow Tables, Hallo GPU Brute-Force

Heyho,

ihr kennt sicher das Problem, ihr habt euer PW vergessen und nur noch den Hash davon da (ja.. was fuer ein scheiß, ich weiß, dieser fall trifft normal nie zu). Aufjedenfall Beispielsweise ihr macht eine SQL Injection oder aehnliches, bekommt einen MD5 Hash raus. So, super, cracken lassen. Schnell auf hashkiller.com oder milw0rm mal nachschauen ob er gecrackt werden kann. Nun wenn es keinen Erfolg gab, kann man sich ja mal drueber gedanken machen, seine PW-Hashes selber zu cracken. Doch wie? Eine Moeglichkeit waere Rainbow Tables. Doch a) dauert das ewig, b) verbraucht das unmengen an Speicherplatz auf der Festplatte. Was nun? Brute-Force ueber CPU?

Nachdem ich nun den Artikel von -tmh- gelesen hatte, bei dem es um GPU Brute-Force ging, wollte ich das gleich mal ausprobieren..

Was ist GPU Brute-Force ?
Um es kurz zu sagen, hierbei wird der Grafikprozessor zum Bruten eines Passwords genommen. Was sicher viele nicht wissen ist, dass der Grafikprozessor wesentlich schneller ist als die CPU.Eine genaue Beschreibung, was GPGPU ist findet ihr im folgenden Wikipedia Artikel

Werd euch daher 5 Programme + Crack Ergebnisse vorstellen mit jeweils Vor- und Nachteil des Programmes. Ahja vorweg noch, ich benutzte fuer/waehrend meine Tests eine Nvidia GeForce GTX 280.

Als PW Hash nehme ich “c79b730cf5c8856702fbd8277483c2e3” (MD5) welches verschluesselt “johnxer” heißt, also 7 stellig jedoch nur lower-case.

Dann fang ich mal mit dem ersten Tool an:

GPU MD5 Crack:

Speed: 330 Mhash/s

Dauer: 1.11 min

Ergebnis:

MD5 Cracked pwd=johnxer, hash=c79b730cf5c8856702fbd8277483c2e3

Vorteile:

+ schneller Brute-Force
+ kostenlos
+ Brute-Force Methode ist Kleinbuchstaben + Zahlen
+ Ascii PW Funktion
+ Enthaelt im Vergleich zu den anderen eine GUI

Nachteile:

– Man kann die Brute-Force Methode nicht aendern (Großbuchstaben, Sonderzeichen,..)
– Start bei Nr. und Max. Nummer von Passwoertern ist unverstaendlich und meiner Meinung nach Mist. Das sollte der Coder irgendwie anders machen

BarsWF:

Speed, Dauer und Ergebnis laesst sich ja aus dem Screenshot entnehmen. Jedoch moechte ich dazu sagen, dass der Titel der Seite recht hatte! Das ist in diesem Test der schnellste Brute-Forcer!

Vorteile:

+ schnellster Brute-Force in diesem Test (5sek fuer 7 stelliges PW aus Kleinbuchstaben)!
+ Kostenlos
+ Auswahl von charset waehlbar (“-c 0aA~ Set charset. 0 – digits, a – small chars, A – capitals, ~ – special symbols”, -c a = Kleinbuchstaben, welches ich auch verwendet hatte)
+ Nettes Design in der Console

Nachteile:

Lightning Hash Cracker:

Hatte ich vor zu testen, jedoch ohne Erfolg, die Usage ist erst beim 3ten Lesen verstaendlich und das File, welches man auswaehlen, welches auch den MD5 Hash beinhaltet, konnte nicht gelesen/geladen werden. Ich kam mit diesem Tool irgendwie gar nicht zurecht.

Vorteile:
+ Kostenlos

Nachteile:
+ wahrscheinlich schwer fuer Anfaenger
+ Usage ist nicht gut geschrieben und auch die ReadMe hilft meiner Meinung nach nur gering weiter.

Vielleicht kann es ja jemand anderes testen 😉

nvCUDA:

So das ist nen Tool ausm Russischen Forum, jedoch braucht man noch eine extra .dll sonst bekommt man diese Fehlermeldung:

Hab das Tool daher nicht getestet, jedoch wuerde die Bewertung so aussehen:

Vorteile:
+ Große Charset auswahl
+ MySQL Hash moeglich
+ kostenlos

Nachteile:
– Russische Seite, d.h. wenn man kein russich kann, wird man den DL etwas suchen muessen ^.^
– Programm benoetigt eine zusaetzliche .dll datei

Extreme GPU Bruteforcer:

Speed: 425 Mhash/s

Dauer: 0.14 min

Ergebnis:

c79b730cf5c8856702fbd8277483c2e3:johnxer
All passwords found!

Vorteile:
+ zweitschnellster Brute-Force im Test
+ verdammt große Auswahl an Hash Arten (dazu auf der Hersteller Page mehr): MD5, MySQL, MD4, NTLM, SHA-1, MySQL5, Domain Cached Credentials, md5(md5($pass)), md5($pass.$salt), md5($salt.$pass), md5(md5($pass).$salt), md5(md5($salt).$pass), md5($salt.$pass.$salt), md5($salt.md5($pass)), md5(md5($salt).md5($pass)), md5(md5($pass).md5($salt)), sha1($username.$pass), DES(Unix),..
+ Charset Auswahl und andere Einstellungen leicht zu aendern im Setting file
+ Simple Usage

Nachteile:
– Kostenpflichtig
(- Design sieht etwas zu schlecht aus, ist aber in ordnung, daher in Klammern)
– Verbraucht extrem viel Leistung der Grafikkarte, wenn ich etwas im Chat oder woanders schreibe, merk ich das es “ruckelt” und der Text langsamer in der Textbox ankommt.

Fazit:
Ich bin mit diesem Ergebnis sehr zufrieden, da die meisten Programme gut funktioniert haben und die Brute-Force Methode um einiges schneller ist als Rainbow Tables und weniger Platz auf der Festplatte benoetigt. Klar, es kommt immer darauf an, was man fuer eine Grafikkarte hat, jedoch denke ich wird jeder mit seiner Grafikkarte mit BarsWF die besten Ergebnisse erhalten. Daher ist fuer mich BarsWF die beste Wahl und an zweiter Stelle der kostenpflichtige Extreme GPU Bruteforcer von Inside Pro, aufgrund der großen Auswahl an verschiedenen PW hashes.

8 Replies to “Ade Rainbow Tables, Hallo GPU Brute-Force”

  1. Ich verstehe dein Problem mit LHC nicht …
    Erstellt mal in dem Verzeichnis in dem die lhc.exe liegt eine bat Datei mit folgendem Inhalt: lhc.exe -i0 -caA0 -l4 -L10 crack.md5
    Dies soll sagen, dass Passwörter mit Groß-/Kleinbuchstaben und Zahlen verwendet werden sollen. Die Länge soll dabei von 4 bis 10 Zeichen sein.
    Die crack.md5 sieht z.B. so aus:
    1:d3262d84462cf88bde1b4e44025294ce
    :
    Macht bei mir keine Probleme 😉

  2. Werd den ganzen test mal ueberarbeiten muessen. Hab inzwischen mehr Erfahrungen mit GPU bruteforce gemacht :>

  3. Nice 🙂
    Bekomm da ~1100MHashs/s *_*
    3min für ein lowercase pw mit 8 Stellen is schon schnell

Leave a Reply

Your email address will not be published.