#1 24. März 2008 Hallo! Wenn bruteforce nach passwörter brutet, nimmt er die Passwörter stück für stück aus der passwordlist oder macht er auch kombinationen? z.B: PW.txt: ABCD1234 p5oVz'4; etc bruteforce: ABCD1234 p5oVz'4; ABCD p5oV ABCD z'4 ABCD oVz' oV AB '4 CD oder werden die einfach nur nacheinander abgefragt ? also: bruteforce: ABCD1234 p5oVz'4; fertig! DANKE! + Multi-Zitat Zitieren
#2 24. März 2008 AW: Frage zu bruteforce Also soweit ich weiß macht der bei ner Liste alle nacheinander und keine Kombinationen aus einzelnen Wörtern! Also kommt drauf an womit du brutest. Musst uns schon sagen. Sagen wir du brutest MSSQL mit SQLck.exe, dann keine Kombis greez //edit: Das würde sonst auch viiiiiel zu lange dauern. Da gäbs ja zig Möglichkeiten! + Multi-Zitat Zitieren
#3 24. März 2008 AW: Frage zu bruteforce Er nimmt nur die Pws di inner List stehen sonst wäre das ja nen heilloses durcheinander + Multi-Zitat Zitieren
#4 24. März 2008 AW: Frage zu bruteforce Wie schon gesagt : Mach mal genauere angaben ! Mit was Brutetest du? Was willst du bruten? Hängt nämlich wirklich von dem Tool ab dass du benutzt! Als Beispiel JTR : Bei der dicitionary-attacke geht er alle in der wordlist angegebenen PWs durch. Dabei steht pro Zeile ein PW und dieses wird unverändert, so wie is in der Wordlist steht, genutzt. Natürlich gibt es jetzt Tools die die Funktion bieten mit , z.T. auch veränderbaren Regeln, die PWs on-the-flow zu verändern. Bei JTR wäre das z.B. die -rules Funktion. Bei AD die onflow word manipulation. greetz + Multi-Zitat Zitieren
#5 24. März 2008 AW: Frage zu bruteforce das bedeutet also, das passwort, welches geknackt werden soll muss 1zu1 in der list stehen ! man bräuchte dann doch pw lists mit min 10 gb ! + Multi-Zitat Zitieren
#6 24. März 2008 AW: Frage zu bruteforce Es gibt natürlich noch andere Bruter die sachen aus der liste Kombinieren. "Joa solche lists gibt es auch, hab hier noch auf irgendnem server ne 29gb liegen. ^^ Was natürlich völliger schwachsinn ist und zu nichts zu gebrauchen." Kleine Brutlists sind immer besser da es nicht so viel Zeit kostet es zu bruten und weil man in eine kleine einfach alle häufigstens pw's abspeichern kann und somit sie auch viel effizienter erscheinen. cheers + Multi-Zitat Zitieren
#7 25. März 2008 AW: Frage zu bruteforce wie heißen diese buter ? also wenn ich ein z.B. passwort hab das so aussieht: A2i3kk29dad3 dann kann man es doch vergessen zu bruten? + Multi-Zitat Zitieren
#8 25. März 2008 AW: Frage zu bruteforce sagen wir mal, du brutest mit folgendem charset: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890 dann beträgt die anzahl der möglichen kombinationen: 62^12 = 3.226.266.762.397.899.821.056 (wenn du genau die enthaltenen buchstaben kennen würdest wären es nur noch 8^12 = 68.719.476.736 möglichkeiten, deshalb ist es ja so sinnvoll lange passwörter mit allen möglichen sonderzeichen zu haben) das letzte mal als ich gebrutet habe (md5-hash-kollisionen), hab ich wenn ich mich richtig erinnere ungefähr 140 passes pro sekunde gehabt (bin mir aber nicht mehr so sicher; schon lange her)... nun kannst du dir ausrechnen, wie lange zu bruten musst... achja: bruten ist alle möglichen kombinationen aus einem bestimmten zeichenvorrat ausprobieren, dictionary-attack ist das ausprobieren mit einer bereits erstellten wortliste, so wie du es meinst (den unterschied solltest du dir merken ) + Multi-Zitat Zitieren
#9 25. März 2008 AW: Frage zu bruteforce bruteforce heisst eigentlich alle möglichen kombinationen auszuprobieren... das was du da oben erwähnst nennt man eher dictionary-attack (Wörterbuch-attacke)... je nach programm werden normal beide methoden unterstützt... gibst an für bruteforce länge z.b. 6 und zeichen z.b. 0123456789 (alle zahlen), dann generiert das programm alle möglichen kombinationen bis 6 stellen mit den zahlen und probiert sie natürlich aus also: 0 bis 999999 geht natürlich auch mit buchstaben, sonderzeichen etc.^^ wenn ein programm diese brute-force attacke von haus aus nicht unterstützt (nur wörterlist-attacke) gibt es noch genug programme die bruteforce-wörterlisten generieren... z.b. DICTMAKE hab mir damit auch welche generiert....z.b: Alle.Zahlen.Kombinationen.bis.6.Stellen.txt 8,35MB (wie das oben genannte beispiel) Alle.Buchstaben.Kombinationen.bis.4.Stellen.txt 2,70MB (wäre dann von a bis zzzz) für das passwort: A2i3kk29dad3 bräuchteste also bruteforce bis mind. Länge 12 mit allen buchstaben und zahlen... würde sehr lange dauern zum bruten wie gesagt entweder das programm unterstützt diese methode oder du machst dir so eine wörterliste... + Multi-Zitat Zitieren
#10 25. März 2008 AW: Frage zu bruteforce Ich mag jetzt nicht klug n.... Aber eine Kombination aus einer Liste sind Rainbow-Tables... Eine BruteForce ist eine schleife die das alphabet oder das ascii table in einer schleife heraufläuft. Brutforce (Länge irrelevant) Like : aaaaaaaaa aaaaaaaab aaaaaaaac ... aaaaaaaaz aaaaaaaba aaaaaaabb ... aaaaaaabz ... aaaaaaaca aaaaaaacb Kann mich auch irren aber eine BruteForce ist in meinen augen DEFINITIV NICHT eine Kombination aus in einer Liste eingetragener wörter/phrase. + Multi-Zitat Zitieren
#11 25. März 2008 AW: Frage zu bruteforce meinst du nicht es fällt einem admin auf wenn er mit einer flut von 2gb passes auf seinen admin account zugeballert wird? + Multi-Zitat Zitieren
#12 25. März 2008 AW: Frage zu bruteforce wenn du dich nun auf meinen beitrag beziehst irrst du dich^^ ob das programm nun die wörter selber generiert oder ob sie nun schon generiert in einer liste drin stehen ist doch total egal, das ergebnis ist das gleiche.. ich hoffe du weisst was hashes sind hat mit diesem thema aber nichts zu tun, weil es überhaupt nicht gleichzusetzen ist mit einer wordlist^^ + Multi-Zitat Zitieren
#13 25. März 2008 AW: Frage zu bruteforce bis ich das Passwort hätte, würde ich ja nicht mal mehr leben.... also ist bruteforce eher dafür gedacht, irgendeinen usernamen mit irgendeinem pw zu erraten. statt ein bestimmten user ?! welche möglichkeiten gibt es noch, einen wpa handshake also *.cap habe, zu cracken ?bzw zu bruten ? ich habe mir mit passwordpower ein paar listen erstellt, aber machen die auch sinn ? hat jmd ein paar gute alphanummerische passwortlisten ? + Multi-Zitat Zitieren
#14 25. März 2008 AW: Frage zu bruteforce BruteForce ist ja wie der Name schon sagt, bloß "Rohe Gewalt" und daher die letzte alle Möglichkeiten, wenn keine anderen Angriffe Erfolg haben oder erfolgversprechend sind! Heutzutage ist es Möglich 2^56 (DES Schlüssellänge) Schlüssel in durchschnittlich einer Woche zu knacken! Die 62^12 entsprechen 2^~71.5 was mit genügend Kapital heutzutage - meiner Meinung nach - auch in dem Bereich des Möglichen liegen mag! WPA kann man NICHT knacken! Man kann lediglich ein unsicheres Passwort finden, also eines was in Wörterbüchern existiert oder sehr sehr kurz ist! Eine spezielle Linux Distribution glaube ich hat viele Funktionen die solche Angriffe möglich machen bzw beschleunigen. Dort sind auch gute Wörterbücher vorhanden! + Multi-Zitat Zitieren