在取证知识里挖呀挖呀挖---【蘇小沐】

【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程1.实验环境2.RAR加密压缩包（一）john软件1.使用CMD命令： run\rar2john.exe（二）hashcat1、hashcat参数2、hashcat字符集3、hashcat命令：.\hashcat.exe -m 13000 -a 3 ''?d?d?d?d总结

| 系统 | 版本 | | :---------------- | :---------------- | | Windows 11 专业工作站版 | 22H2（22621.1702）； | | hashcat | 6.2.6； | | john | 1.9.0； |

已知RAR压缩包的密码规则：wlzhg\@xxxx\@xn，其中xxxx部分是需要破解的部分。

【john软件官网】John the Ripper password cracker (openwall.com)

下载 john软件，定位到 release目录下，找到RAR压缩格式对应的程序rar2john.exe。（不同的文件类型对应不同的软件及命令）

程序会自动提取出压缩包内容的哈希值并输出哈希值，如下面显示：

文本如下：

对应压缩包内的五个文件哈希值。

有了哈希值，我们便可以使用 hashcat 进行暴力破解了。

【hashcat官网】hashcat - advanced password recovery

| 参数 | 说明 | | :------------------ | :-------------------------------------------------------------------------------------------------- | | -a | 选择攻击方式，一般使用参数 -a 3 即掩码攻击（有规则约束的暴力穷举） | | -m | 选择攻击模式，针对不同的 hash 算法选择规定的值，参见 Example hashes | | --increment | 自增遍历模式（不确定密码长度的情况） | | --increment-min | 规定自增模式密码最短的长度 | | --increment-max | 规定自增模式密码最长的长度 |

| 字符集 | 类型 | 说明 | | :-- | :------------------------------------------ | :--------- | | ?l | abcdefghijklmnopqrstuvwxyz | 小写字母 | | ?u | ABCDEFGHIJKLMNOPQRSTUVWXYZ | 大写字母 | | ?d | 0123456789 | 纯数字 | | ?h | 0123456789abcdef | 数字+小写字母 | | ?H | 0123456789ABCDEF | 数字+大写字母 | | ?s | «space»!"#\$%&'()*+,-./:;?@[]^_{|}~ | 特殊字符集 | | ?a | ?l?u?d?s | ASCII字符集 | | ?b | 0x00 - 0xff | 2-Byte 字符集 |

【自定义字符集】除此之外，还可以自定义字符集，参见 Mask Attack。

举个栗子g：?u?l?l?d?d?d 代表第1位为大写字母，第2-3位为小写字母，第4-6位为数字。

复制 rar2john 得到的哈希值，执行命令：.\hashcat.exe -m 13000 -a 3 '文件哈希' ?d?d?d?d -o out.txt。

【注意1】：去掉hash值前后的文件名称及冒号。

改前：

改后：已经去掉了文件路径及冒号。

【注意2】：在Windows下Bash 和 Powershell 等终端中，$ 的含义为变量，需要用单引号括起来才可以使用！】

最后等着执行就可以，最后得到类似于下面所示：Status………..: Cracked：代表已找到密码。

最后在输出的文档中查看密码。

HashCat系列软件在硬件上支持使用CPU、NVIDIA GPU、ATI GPU来进行密码破解，并且需要安装官方指定版本的显卡驱动程序，如果驱动程序版本不对，可能导致程序无法运行。

书写片面，纯粹做个记录，有错漏之处欢迎指正。

【著作所有权归作者 [蘇小沐] 所有，转载请注明文章出处】

| 名称 | 时间 | | :----- | :--------------- | | 开始编辑日期 | 2023 年 05 月 10 日 | | 最后编辑日期 | 2023 年 05 月 11 日 |