Vamos a ver cómo crackear contraseñas utilizando Johnny, una interfaz gráfica de usuario (GUI) del programa de criptografía John the Ripper.

Tendríamos que hablar de John The Ripper, pero por lo pronto haremos del hermano pequeño: Johnny. Éste es en realidad una interfaz gráfica del mayor. Disponible en Linux y Windows, este software te permitirá descifrar contraseñas sin escribir una línea de código.

1. Introducción a Johnny

Disponible en la versión completa de Kali Linux (pero también en Windows), Johnny es solo una interfaz gráfica. Antes de ver métodos complejos en un próximo artículo, nos centraremos en el ataque de diccionario sobre el hash. De hecho, la mayoría de los usuarios de computadoras no son rigurosos al elegir sus contraseñas. A veces optan por palabras que significan algo, pero suelen ser demasiado fáciles de adivinar (barcelona78, feisbuk123, starwars96, etc.).

Diccionarios vs Tu contraseña

Los buenos 'diccionarios' que se encuentran en la red tienen en cuenta las tendencias; además los hackers también agregan regularmente contraseñas robadas o de un sitio hackeado en particular. Si crees que eres original con MasterChampions123, algo va mal...

Si quieres mejorar la seguridad de tu contraseña te recomiendo los siguientes artículos:


Ahora, antes de saber cómo usar Johnny, veamos rápidamente un pequeño glosario:

  • Crack: Cuando hablamos de crackear una contraseña es “romperla” o dar con ella. Logrará obtenerla usando su cerebro y software (¡y sí, se necesitan ambos!)
  • Diccionario: Esta es una lista de palabras que el software usará con la esperanza de encontrar su felicidad en ella. Hay muchos diccionarios en Internet en todos los idiomas.
  • Hash: Las contraseñas nunca se escriben en texto claro/plano en una base de datos o computadora, sino que están codificadas con una función hash (funciones pseudoaleatorias). Hay varios: MD5, SHA256, NTML, etc. Tenga en cuenta que un hash como 728a9b52bfceacc503c056e3b9b93cfa solo corresponde a una sola contraseña. El software analizará estos “hashs” y deducirá la contraseña.

2. Preparando el Ataque de Contraseñas

Johnny en Kali Linux

Johnny en Kali Linux

Johnny se puede encontrar en la sección de Ataque de Contraseñas del menú de Aplicaciones. Para probar el software en modo “ataque de diccionario”, necesitará un … diccionario: un archivo de texto lleno de palabras potencialmente válidas que se probarán una por una. Puede encontrarlos en la carpeta usr/share/wordlists. Por supuesto, puede agregar cualquier otra (tenga cuidado con las estafas en internet). Para este ejemplo, el diccionario SQLMap es muy bueno. Tenga en cuenta que es necesario un salto de línea para cada palabra.

Wordlist de sqlmap Linux

Wordlists de sqlmap en Linux

Justo para ti:


También necesitará otro archivo de texto en formato .lst (simplemente cambiando la extensión de un archivo .txt) que contiene los hash(es) que deberá tratar de descifrar. Si ya lo tienes, perfecto!. Si no, puede buscar en la red. Como queríamos utilizar el tipo SHA-512, utilizamos este sitio: www.online-convert.com.

Hash Converter para Johnny

Hash Converter

Nuestras contraseñas a descifrar serán: starwars90, Jesus_1969 y dalia15. (elegimos esas porque primero, sabíamos que estaban presentes en el diccionario y luego porque son comunes. El primero puede ser utilizado por un fanático de Star Wars nacido en el 90, y así…)

Password Hash

Password Hash

3. Johnny al ataque!

Cómo usar Johnny

Cómo usar Johnny

En Johnny, haga clic en Open Password File y luego Open password file (PASSW format). Seleccione su archivo con su hash (como contraseñas, necesita un salto de línea con cada secuencia alfanumérica). El tipo de hash debe ser reconocido automáticamente, pero a veces hay fallas. Puede ir a Options y en Current hash format, puede seleccionarlo manualmente.

Johnny Hash Password

Hash en Johnny

En la pestaña Wordlist (en la sección Options), busque para encontrar su diccionario. Puede agregar reglas de exclusión, filtros o una máscara para agregar un prefijo o un sufijo para las contraseñas. Uno también puede asegurarse de probar las palabras con una primera letra en mayúsculas, por ejemplo. Tenga en cuenta que Johnny también permite ataques que no sean por diccionario: Incremental (fuerza bruta), Mask, Markov y Prince. Volveremos a esto en otro artículo.

Johnny Options Wordlist

Johnny – Options – Wordlist

Haga clic en Start new attack y eche un vistazo a la consola de salida para ver los posibles mensajes de error y el progreso de su proyecto. En nuestro ejemplo, las tres contraseñas se encontraron en menos de un segundo. No tenemos ningún mérito ya que el diccionario era bastante ligero (11 MB es un poco más de un millón doscientas mil palabras) y nos encargamos de evitar el fracaso en este ejemplo de cracking.

Cracking de Contraseñas con Johnny

Cracking de Contraseñas con Johnny

La próxima vez veremos otros métodos. Ahora que sabe cómo usar Johnny, comparta con los demás 😉 ¡y no lo use para fines ofensivos!

¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos su email.