Введение в Hashtopolis: Управление ****форсом на профессиональном уровне Disclaimer: Все действия, описанные ниже, предназначены для тестирования безопасности собственных сетей и систем. Любое использование информации в злонамеренных целях – это плохо и незаконно! Помните об этом! --- Что это за зверь такой - Hashtopolis и с чем его едят? Hashtopolis — это мощное решение для управления процессом ****форса хешей. Представьте себе дирижера оркестра, только вместо музыкантов у нас hashcat и другие "хешкоты". Это инструмент, который позволяет вам распределить задачи между несколькими машинами, следить за прогрессом, получать уведомления и анализировать результаты. --- Зачем он вообще нужен? Централизованное управление: Больше не нужно ковыряться в куче консолей и файликов, чтобы запустить **** на нескольких машинах. Все в одном месте! Параллельный взлом: Распределяем задачи между несколькими хостами, чтобы ускорить процесс. Удобное хранение результатов: Больше не нужно мучительно искать в potfile, что там уже взломано. Уведомления: Получаем оповещения о взломанных хешах в Telegram или другим способом. Это просто must have, когда у тебя параллельно что-то крутится! Статистика и отчетность: Смотрим красивые графики и анализируем, что и как у нас идет. --- Альтернативы, но не то... В статьях упоминаются еще Hashpass и Hashview. Это тоже интересные штуки, но у них есть свои недостатки: Hashpass: Богат функциями, но "из коробки" не умеет распределенный взлом. И похоже, что проект немного заброшен. Hashview: Визуально приятный, но официально поддерживает старые версии hashcat. Тоже с признаками "заморозки". Именно поэтому выбор пал на Hashtopolis. Он активно развивается и предлагает все необходимые фишки. --- Установка и настройка Hashtopolis: Пошаговая инструкция для самых чайников Шаг 1: Подготовка сервера Нам понадобится сервер с установленным LAMP (Linux, Apache, MySQL, PHP) или LEMP (Linux, Nginx, MySQL, PHP). В идеале – чистая Ubuntu 16.04 или 18.04. Можно и на другой дистрибутив, но там придется немного поковыряться. Требования: Операционная система: Linux (рекомендуется Ubuntu 16.04/18.04) Веб-сервер: Apache2 или Nginx СУБД: MySQL PHP: Версия, поддерживаемая веб-сервером Оперативная память: Минимум 1GB, лучше больше Дисковое пространство: Минимум 25GB, в зависимости от количества словарей и хешей Важно! Перед установкой обновите пакеты на сервере: sudo apt update sudo apt upgrade Code sudo apt update sudo apt upgrade Шаг 2: Установка необходимых пакетов Установите Apache2, PHP и MySQL (если у вас еще не установлено): sudo apt install apache2 php libapache2-mod-php mysql-server phpmyadmin Code sudo apt install apache2 php libapache2-mod-php mysql-server phpmyadmin Во время установки MySQL вас попросят ввести пароль для пользователя root. Запомните его! Шаг 3: Скачивание и установка Hashtopolis Переходим в каталог, где будет лежать наш Hashtopolis: cd /var/www/ sudo git clone https://github.com/s3inlc/hashtopolis cd hashtopolis/src sudo chown -R www-data:www-data /var/www/hashtopolis sudo chmod -R 755 /var/www/hashtopolis Code cd /var/www/ sudo git clone https://github.com/s3inlc/hashtopolis cd hashtopolis/src sudo chown -R www-data:www-data /var/www/hashtopolis sudo chmod -R 755 /var/www/hashtopolis Шаг 4: Настройка веб-сервера Настраиваем Apache2 для работы с Hashtopolis. Создаем файл конфигурации: sudo nano /etc/apache2/sites-available/hashtopolis.conf Code sudo nano /etc/apache2/sites-available/hashtopolis.conf Вставляем в него следующее: <VirtualHost *:80> ServerName ваш_домен_или_IP DocumentRoot /var/www/hashtopolis/src <Directory /var/www/hashtopolis/src> Options Indexes FollowSymLinks MultiViews AllowOverride All Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/hashtopolis_error.log CustomLog ${APACHE_LOG_DIR}/hashtopolis_access.log combined </VirtualHost> Code <VirtualHost *:80> ServerName ваш_домен_или_IP DocumentRoot /var/www/hashtopolis/src <Directory /var/www/hashtopolis/src> Options Indexes FollowSymLinks MultiViews AllowOverride All Require all granted </Directory> ErrorLog ${APACHE_LOG_DIR}/hashtopolis_error.log CustomLog ${APACHE_LOG_DIR}/hashtopolis_access.log combined </VirtualHost> Замените ваш_домен_или_IP на ваш реальный домен или IP-адрес сервера. Включаем сайт и перезапускаем Apache: sudo a2ensite hashtopolis.conf sudo a2enmod rewrite # Enable rewrite module sudo systemctl restart apache2 Code sudo a2ensite hashtopolis.conf sudo a2enmod rewrite # Enable rewrite module sudo systemctl restart apache2 Шаг 5: Настройка MySQL Заходим в консоль MySQL: sudo mysql -u root -p Code sudo mysql -u root -p Вводим пароль root, который указали при установке MySQL. Создаем базу данных для Hashtopolis: CREATE DATABASE hashtopolis; GRANT ALL PRIVILEGES ON hashtopolis.* TO 'hashtopolis'@'localhost' IDENTIFIED BY 'ваш_пароль'; FLUSH PRIVILEGES; EXIT; Code CREATE DATABASE hashtopolis; GRANT ALL PRIVILEGES ON hashtopolis.* TO 'hashtopolis'@'localhost' IDENTIFIED BY 'ваш_пароль'; FLUSH PRIVILEGES; EXIT; Замените ваш_пароль на надежный пароль для пользователя базы данных. Шаг 6: Установка через веб-интерфейс Открываем в браузере http://ваш_домен_или_IP. Должна появиться страница установщика Hashtopolis. Следуйте инструкциям на экране. Вам понадобится: Данные для подключения к MySQL (имя базы, пользователь, пароль). Информация о веб-сервере (путь к каталогу Hashtopolis). Данные для создания учетной записи администратора. Шаг 7: Настройка безопасности (ВАЖНО!) НИ В КОЕМ СЛУЧАЕ не оставляйте веб-интерфейс без защиты! HTTP Basic Authentication: Простейший способ, но не самый безопасный. Можно настроить через .htaccess и .htpasswd. Инструкции есть в статье, но лучше поискать более подробные гайды в интернете. Firewall: Закройте все порты, кроме 80 и 443 (если используете HTTPS). Регулярные обновления: Следите за обновлениями Hashtopolis и устанавливайте их как можно быстрее. Шаг 8: Установка и настройка агента Агент – это программа, которая запускается на машинах, которые будут взламывать хеши. Установка агента на Linux: sudo apt install python3 python3-pip sudo pip3 install requests psutil Code sudo apt install python3 python3-pip sudo pip3 install requests psutil Скачиваем скрипт агента из веб-интерфейса Hashtopolis (в разделе "Agents"). Запускаем агент: python3 hashtopolis-agent.py --server http://ваш_домен_или_IP --worker-name имя_агента --worker-type CPU/GPU --hashcat-path /usr/bin/hashcat Code python3 hashtopolis-agent.py --server http://ваш_домен_или_IP --worker-name имя_агента --worker-type CPU/GPU --hashcat-path /usr/bin/hashcat Установка агента на Windows: Установите Python 3.6.6 (x64) обязательно эту версию! Установите необходимые модули: pip install requests psutil. Скачайте скрипт агента из веб-интерфейса Hashtopolis. Запускайте агент через PowerShell: python.exe hashtopolis-agent.py ... (параметры аналогичны Linux). --- Как это работает: ****форсим по-взрослому После установки и настройки агентов можно начинать ****ить! Создаем hashlist: Загружаем файл с хешами в веб-интерфейсе Hashtopolis (раздел "Hashlists"). Выбираем тип хеша. Создаем задачу (task): В разделе "Tasks" создаем новую задачу. Выбираем hashlist, правила, маски, словари и другие параметры. Запускаем задачу: Нажимаем кнопку "Start" и наблюдаем за процессом. --- Траблшутинг: Что делать, если что-то пошло не так? Агент не подключается к серверу: Проверьте firewall, настройки сети, правильность указанных параметров в скрипте агента. Ошибка в веб-интерфейсе: Проверьте **** Apache, MySQL. Возможно, проблема с правами доступа или настройками базы данных. hashcat выдает ошибку: Проверьте правильность указанного пути к hashcat, наличие необходимых библиотек и драйверов. Замедление работы: Проверьте загрузку CPU и GPU. Возможно, нужно добавить больше агентов или оптимизировать задачу. --- Сленг и советы от JeeTee: Хеш (hash): Отпечаток данных, полученный с помощью криптографической функции. Грубо говоря, это "отпечаток пальца" пароля. ****форс (*****force): Метод взлома, основанный на переборе всех возможных вариантов. Hashcat: Мощный инструмент для ****форса хешей. Наш главный помощник! Словарь (wordlist): Файл со списком возможных паролей. Правило (rule): Инструкция для мутации слов из словаря. Маска (mask): Шаблон для подбора паролей. Хэндшейк (handshake): Процесс обмена данными между устройствами при установлении соединения. Нам нужен хэндшейк Wi-Fi сети, чтобы взломать пароль. Potfile: Файл, в котором hashcat сохраняет взломанные пароли. Советы: Не используйте один и тот же пароль на разных сайтах! Используйте сложные пароли, состоящие из букв, цифр и символов. Включите двухфакторную аутентификацию везде, где это возможно. Регулярно меняйте свои пароли. --- Заключение Hashtopolis – мощный инструмент для управления ****форсом. Он позволяет централизованно управлять агентами, распределять задачи и получать уведомления о взломанных хешах. Конечно, установка и настройка требуют времени и усилий, но результат того стоит. Помните, что использовать эти знания нужно только в законных целях! Надеюсь, эта статья была полезной. Если у вас есть вопросы, задавайте их в комментариях! Всем удачи и безопасных паролей!