FOOTHOLD Metodoloji Cheat-sheet
Exploit ✓ EXAM-SAFE kolay

Hash Kırma (hashcat / john)

AD saldırılarından toplanan hash'leri offline kırma referansı: hashcat modları -m 18200 (AS-REP), -m 13100 (Kerberoast TGS), -m 1000 (NTLM), -m 5600 (NetNTLMv2); kural (rules) tabanlı saldırı; {{WORDLIST}} kullanımı; john eşdeğerleri.

Bilgi: ÖN KOŞULLAR
  • Kırılacak hash dosyası (ad-asrep, ad-kerberoast, ad-poison/Responder, ad-ntds çıktıları)
  • Sözlük (rockyou.txt veya {{WORDLIST}})
  • GPU önerilir (özellikle Kerberos/NetNTLMv2 için)
  • Doğru hash modunu bilmek (yanlış mod = 'No hashes loaded')
┌──

Komutlar

hashcat ✓ EXAM-SAFE
hashcat -m 18200 asrep.hash {{WORDLIST}} -r /usr/share/hashcat/rules/best64.rule
AS-REP roast hash'i (Kerberos 5 AS-REP etype 23). ad-asrep çıktısı. best64 kuralıyla mutasyon. hashcat Wiki - Mode 18200
hashcat ✓ EXAM-SAFE
hashcat -m 13100 kerberoast.hash {{WORDLIST}} -r /usr/share/hashcat/rules/best64.rule
Kerberoast TGS-REP hash'i (Kerberos 5 TGS-REP etype 23). ad-kerberoast çıktısı. hashcat Wiki - Mode 13100
hashcat ✓ EXAM-SAFE
hashcat -m 1000 ntlm.txt {{WORDLIST}} -r /usr/share/hashcat/rules/OneRuleToRuleThemAll.rule
Ham NTLM hash'i (örn. ntds.dit / SAM / lsass dökümünden). ad-ntds / ad-lsass çıktısı. OneRule güçlü mutasyon kümesi. hashcat Wiki - Mode 1000 (NTLM)
hashcat ✓ EXAM-SAFE
hashcat -m 5600 netntlmv2.txt {{WORDLIST}} -r /usr/share/hashcat/rules/best64.rule
NetNTLMv2 challenge/response (Responder / ntlmrelayx yakalaması). ad-poison çıktısı. NTLM hash'inden FARKLI: ağdan yakalanan auth. hashcat Wiki - Mode 5600 (NetNTLMv2)
hashcat ✓ EXAM-SAFE
hashcat -m 13100 kerberoast.hash {{WORDLIST}} --force --status --status-timer=10 -O -w 3
Performans: -O (optimized kernel), -w 3 (workload yüksek), --status periyodik ilerleme. VM/CPU'da --force gerekebilir. hashcat Wiki - Options / Performance
hashcat ✓ EXAM-SAFE
hashcat -m 13100 kerberoast.hash --show
Daha önce kırılmış hash'leri potfile'dan (~/.hashcat/hashcat.potfile) gösterir. Çözülen parolaları listeler. hashcat Wiki - --show / potfile
john ✓ EXAM-SAFE
john --format=krb5tgs --wordlist={{WORDLIST}} kerberoast.hash
John the Ripper eşdeğeri: Kerberoast için --format=krb5tgs, AS-REP için --format=krb5asrep, NTLM için --format=nt. hashcat yoksa alternatif. John the Ripper - Kerberos formats (krb5tgs/krb5asrep)
hashcat ✓ EXAM-SAFE
hashcat -m 1000 ntlm.txt -a 3 ?u?l?l?l?l?d?d?d?d
Mask (brute) saldırısı -a 3: sözlük tükendiğinde belirli desenler (örn. Büyük+küçük+rakam) için. ?u büyük, ?l küçük, ?d rakam, ?s sembol. hashcat Wiki - Mask Attack (-a 3)

Amaç

AD saldırı zincirinde toplanan farklı hash türlerini OFFLINE kırarak temiz parola/NT hash elde etmek. Offline kırma DC’ye trafik üretmez, kilitlenme riski yoktur, tamamen yerel hesaplama gücüne bağlıdır.

Hangi Hash, Hangi Mod?

Doğru hashcat modunu seçmek kritik — yanlış mod ‘No hashes loaded’ veya ‘Token length exception’ verir:

  • -m 18200 Kerberos 5 AS-REP (etype 23): $krb5asrep$23$... — ad-asrep.
  • -m 13100 Kerberos 5 TGS-REP (etype 23): $krb5tgs$23$... — ad-kerberoast.
  • -m 1000 Ham NTLM: 32 hex karakter — ad-ntds (secretsdump), SAM, lsass.
  • -m 5600 NetNTLMv2: user::DOMAIN:challenge:HMAC:blob — ad-poison (Responder/ntlmrelayx). DİKKAT: NetNTLMv2, ham NTLM’den farklıdır; ağdan yakalanan challenge/response’tur ve pass-the-hash için KULLANILAMAZ, sadece kırılır.
  • AES Kerberos: 19600 (TGS AES128), 19700 (TGS AES256), 18201 (AS-REP AES256) — hesap yalnızca AES destekliyorsa.

Sözlük ve Kurallar (Rules)

Temel sözlük rockyou.txt (/usr/share/wordlists/rockyou.txt). Sözlüğü kurallarla çoğaltın:

  • best64.rule: hızlı, dengeli — Kerberos gibi yavaş hash’ler için iyi.
  • OneRuleToRuleThemAll.rule: çok kapsamlı, hızlı NTLM için ideal.
  • rockyou-30000.rule: orta seviye. Kural, her sözlük kelimesine mutasyon (baş harf büyütme, sona rakam/sembol ekleme, leet) uygular. {{WORDLIST}} placeholder’ını kendi sözlüğünüzle değiştirin.

Saldırı Modları

  • -a 0 (varsayılan): sözlük (+ rules).
  • -a 3: mask/brute — sözlük başarısız olursa bilinen parola deseni için (örn. ?u?l?l?l?l?d?d?d?d).
  • Kombinasyon: önce hızlı sözlük+best64, sonra OneRule, en son hedefli mask.

Gotchas

  • Kerberos hash’leri yavaştır: AES özellikle çok yavaş; GPU şart. CPU’da gece boyu sürebilir.
  • —show ve potfile: hashcat kırılan hash’leri hashcat.potfile’a kaydeder; tekrar çalıştırınca ‘already cracked’ der. Sonucu görmek için --show kullanın veya potfile’ı silin.
  • -O optimized kernel: parola uzunluğunu sınırlar (genelde <=31), ama hız artar; uzun parolalar için kaldırın.
  • —force: VM/desteklenmeyen OpenCL ortamlarında gerekebilir ama hatalı sonuç riski taşır; mümkünse gerçek GPU kullanın.
  • john alternatifi: GPU yoksa veya format farklıysa john --format=krb5tgs/krb5asrep/nt --wordlist=.... --show ile sonuçları gösterir.
  • Kırılan NT hash’i: ad-ntds/lsass’tan gelen NT hash’i KIRMADAN da pass-the-hash ile kullanılabilir (ad-lateral); kırma sadece düz parola gerektiğinde (örn. parola reuse spray) zorunludur.
┌──

Kaynaklar

↗ hashcat Wiki - example_hashes (mode reference)↗ hashcat Wiki - rule_based_attack↗ hashcat Wiki - mask_attack↗ John the Ripper - Kerberos cracking↗ HackTricks - Cracking Hashes
0/15 set