As 'rainbow tables' geradas pelo programa 'rtgen' precisam de um pós-processamento para tornar sua consulta mais fácil e rápida. O programa 'rtsort' é utilizado para organizar todas as 'rainbow chains' em uma 'rainbow table'.

Utilize os seguintes comandos:

# rtsort md5_loweralpha-numeric#1-7_0_3800x33554432_0.rt
# rtsort md5_loweralpha-numeric#1-7_1_3800x33554432_0.rt
# rtsort md5_loweralpha-numeric#1-7_2_3800x33554432_0.rt
# rtsort md5_loweralpha-numeric#1-7_3_3800x33554432_0.rt
# rtsort md5_loweralpha-numeric#1-7_4_3800x33554432_0.rt
# rtsort md5_loweralpha-numeric#1-7_5_3800x33554432_0.rt

Cada comando acima, leva cerca de 1 a 2 minutos para completar sua execução. O programa 'rtsort' gravará a 'rainbow table' organizada por sobre o arquivo original.

Não interrompa a execução do comando, do contrário, o arquivo original será danificado.

Agora o processo de organização das 'rainbow tables' está completo.

O programa 'rcrack' é utilizado para acessar as 'rainbow tables'. Ele aceita apenas 'rainbow tables' organizadas.

Assumindo que as 'rainbow tables' organizadas estejam no mesmo diretório do programa, para quebrar hashes únicos a linha de comando será:

# rcrack *.rt -h aqui_vai_o_hash_para_ser_quebrado

O primeiro parâmetro especifica o caminho para buscar nos arquivos das 'rainbow tables'. Os caracteres '*' e '?' podem ser usados para especificar vários arquivos.

Normalmente isto leva algumas dezenas segundos para finalizar, se a 'string' existir dentro do 'range' o 'charset' e tamanho de 'strings' selecionados. Do contrário, leva-se muito mais tempo para buscar por todas as tabelas, apenas para não encontrar nada.

Quebra de senha

Para quebrar múltiplos 'hashs', coloque todos os 'hashs' em um arquivo de texto, com um 'hash' por linha. E então especifique o nome do arquivo na linha de comando do programa 'rcrack':

# rcrack *.rt -l arquivo_com_lista_de_hashes

Se as 'rainbow tables' que gerou usam o algoritmo 'lm', o programa 'rcrack' possui um suporte especial para o parâmetro '-f'. Um arquivo de 'dump de hash' no formato 'pwdump' é necessário como input para o programa 'rcrack'.

O conteúdo do arquivo parecerá com o seguinte:



O arquivo 'pwdump' é a saída de utilitários tais como 'pwdump2', 'pwdump3' ou outros. E contém os hashes tanto 'lm' quant 'ntlm'.

Para quebrar 'hashes lm' em arquivos 'pwdump', use o seguinte comando:

# rcrack *.rt -f arquivo_pwdump

O algoritmo de 'hash lm' converte todas as letras minúsculas em strings maiúsculas; como resultado disso, todas as strings quebradas através do 'hashe lm', nunca contém letras minúsculas, enquanto que a string original pode conter letras minúsculas.

O programa 'rcrack' tentará corrigir isto em 'hashes ntlm' armazenados no mesmo arquivo e exibir a string original.

Previamente publicado em: http://segurancalinux.com/artigo/Rainbow-Crack-e-Rainbow-Tables