John the Ripper (III): comprueba la fortaleza de tu contraseña en las últimas versiones de Ubuntu y Fedora

logo_jackJohn the Ripper es un programa que permite averiguar (comprobar la fortaleza) las contraseñas de los usuarios de multitud de sistemas. En Slice of Linux ya hemos visto en artículos anteriores como hacerlo tanto en Windows como en Ubuntu (versiones previas a la 9.04).

Sin embargo, las últimas versiones de a Ubuntu y Fedora utilizan sha-512 como sistema de encriptación de claves y, de momento, no está disponible ni en la versión que hay en los repositorios de John the Ripper ni en la disponible en la web de openwall. Cada vez que queremos conocer las contraseñas en la última versión de Ubuntu con este programa nos encontramos con el siguiente mensaje de error: “No password hashes loaded“.

Pero afortunadamente existe una solución que nos va a permitir seguir usando John the Ripper en Ubuntu y Fedora sin problemas. Además, el método para compilar John the Ripper sirve para cualquier otra distribución de GNU/Linux.

Los pasos para hacer que John the Ripper funcione en Ubuntu 9.04 y  9.10 son los siguientes:

  1. Abrimos un Terminal (Aplicaciones > Accesorios > Terminal).
  2. Nos descargamos John the Ripper desde la página oficial con el siguiente comando:

    wget http://www.openwall.com/john/g/john-1.7.3.4.tar.gz

  3. Descargamos el parche también desde la página de openwall:

    wget http://openwall.info/wiki/_media/john/john-1.7.3.1-generic-crypt-1.diff.gz

  4. Descomprimimos el archivo:

    tar xvzf john-1.7.3.4.tar.gz

  5. Nos movemos al directorio que se ha creado:

    cd john-1.7.3.4

  6. Aplicamos el parche:

    gzip -dc ../john-1.7.3.1-generic-crypt-1.diff.gz | patch -p1

    Al ejecutar este comando es posible que obtengamos el siguiente mensaje:

    El programa patch no está instalado actualmente. Puede instalarlo escribiendo: sudo apt-get install patch
    patch: command not found

    Esto ocurre, como bien indica la advertencia, porque no tenemos instalado el programa patch. Por lo tanto, tenemos que instalarlo con el comando indicado:

    sudo apt-get install patch

    Y volver a ejecutar el parche porque en la ocasión anterior no se pudo ejecutar:

    gzip -dc ../john-1.7.3.1-generic-crypt-1.diff.gz | patch -p1

  7. Ahora nos movemos al directorio donde se encuentra el código fuente:

    cd src

  8. Compilamos John the Ripper:
    • Para versiones de 32 bits ejecutamos:

      make linux-x86-sse2

    • Para versiones de 64 bits ejecutamos:

      make linux-x86-64

  9. Ahora ya estamos preparamos para empezar a jugar con John the Ripper y nuestro Ubuntu. Así que nos movemos al directorio ../run:

    cd ../run

  10. A continuación, combinamos los arhivos /etc/passwd y /etc/shadow con el comando unshadow en un nuevo archivo con el nombre mispasswords:

    sudo ./unshadow /etc/passwd /etc/shadow > mispasswords

  11. Por último, ejecutamos John the Ripper sobre el archivo que hemos creado con unshadow.

    ./john mispasswords

    Este comando, sin ninguna otra opción, prueba primero el modo single crack, después usa un diccionario con reglas y, por último, utiliza el modo incremental. De esta forma, si la contraseña de cualquiera de los usuario del sistema es mala, John the Ripper la encontrará en “apenas unos segundos”.
    El resto de opciones están explicadas en el primer artículo de esta serie.

Espero que esto te sirva para saber si tu contraseña es buena o… no.

Thanks to solardiz!

Vía: Contributed patches for John the Ripper | How to extract John the Ripper source code from tarballs and apply patches

Artículos relacionados:

10 Responses to “John the Ripper (III): comprueba la fortaleza de tu contraseña en las últimas versiones de Ubuntu y Fedora”


  1. 1 solardiz Sábado, 27 marzo 2010 a las 11:20 am

    It is not clear why you propose to edit the source files manually. Instead, the patch may be applied using the “patch” command. Please refer to:

    http://openwall.info/wiki/john/tutorials/sha-crypt

  2. 3 ysaac Jueves, 22 abril 2010 a las 10:14 am

    Me funciono john the ripper descargado en de un tar como esta aqui pero si quisiera que funcione descargando con el comando
    “sudo apt-get install john” que descarga el comando “john” y “unshadow” en /usr/bin/ o donde lo instala por defecto no me funciona ni siquiera se como aplicar el parche ahi por q no encontre los otros archivos de john en ninguna parte. Gracias si por el parche y como aplicarlo con el ejemplo q explicaron funciona bien.

  3. 4 rt03 Miércoles, 28 abril 2010 a las 1:48 pm

    Gracias. En mi caso he parcheado john the ripper en mi Gentoo linux, como bien dices, funciona en general en cualquier distibución. Linux es Genial.
    Un saludo.

  4. 5 El Forastero Sábado, 18 diciembre 2010 a las 10:18 am

    Hola, primero decirte que muy wapo tu blog, siempre que busco algo de ayuda con linux acabo aquí en slice of linux. Mi pregunta es, no se ejecuta desde Aplicaciones? esque no logro ejecutarlo.

  5. 6 Fernando Miércoles, 19 enero 2011 a las 12:15 pm

    He seguidolos pasos y me sigue dando error:

    “No password hashes loaded”

    he mirado tanto passwd como shadow y veo lo mismo, no se si tendra algo que ver. Pero como digo a mi no me funciona, aunque se instala bien.

  6. 7 nelson Lunes, 9 mayo 2011 a las 6:16 am

    Hola, a mi tampoco me funciona, el mismo error que Fernando, estoy utilizando Ubuntu 10.04 y john 1.7.3

  7. 8 Carlo Sábado, 14 mayo 2011 a las 6:19 am

    Hola!!!
    Al ejecutar el paso n°5 (cd john-1.7.3.4) me da el siguiente mensaje:”sudo:cd:command not found”
    ¿Será necesario especificar la ruta del archivo?

  8. 9 NewUser Martes, 24 mayo 2011 a las 6:31 pm

    Muchísimas gracias por esta ayuda.


  1. 1 [FAQ] INSTALAR Y ADMINISTRAR LINUX | Blog Fusion Hack Trackback en Domingo, 1 mayo 2011 a las 10:42 pm

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Síguenos en Twitter

 

Sitios amigos:

Si has leído nuestro Acerca de, sabes que no publicamos ningún artículo práctico que no hayamos probado. Aún así, no podemos garantizar que en tu sistema funcione como en el nuestro.

Esta página no es de soporte. Compartimos lo que sabemos, pero si resolviésemos todas las dudas que recibimos, no podríamos hacer artículos nuevos. Por eso, si alguien plantea un problema, y sabes la respuesta, siéntete libre para comentarla.

Si tienes una duda y no obtienes respuesta, puedes recurrir a sitios específicos como ubuntu-es.org o Linux Q.

Creative Commons License
Esta obra está bajo una licencia de Creative Commons.


A %d blogueros les gusta esto: