Zugriff auf ZIP-Archive wiederherstellen: Ein praktischer Leitfaden zu John the Ripper
Vergessene Passwörter für verschlüsselte Archive sind ein häufiges Problem beim Arbeiten mit alten Daten, Backups oder Materialien, die bei OSINT-Untersuchungen gesammelt wurden. Das Hochladen vertraulicher Dateien auf Online-Dienste Dritter zum „Knacken“ birgt unakzeptable Risiken für Datenlecks. Lokale Prüfungen mit bewährten Tools der Informationssicherheit ermöglichen es Ihnen, den Zugriff wiederherzustellen, ohne Ihre Daten zu gefährden. Wir führen Sie durch einen praktischen Workflow zum Extrahieren und Knacken von Passwörtern aus ZIP-Archiven mit den Hilfsprogrammen zip2john und john auf Debian-kompatiblen Distributionen.
Umgebung einrichten und Hash extrahieren
Dafür benötigen Sie ein auf Debian Linux basierendes System. Spezialisierte Distributionen wie Kali Linux oder Parrot OS sind ideal, da sie john vorinstalliert und konfiguriert mitbringen. In Standarddistributionen ist es über die Repositories verfügbar (sudo apt install john). Beachten Sie, dass zip2john das Archiv nicht direkt knackt. Seine Aufgabe besteht darin, die ZIP-Dateistruktur zu analysieren, verschlüsselte Header zu extrahieren und einen Hash im Format zu erzeugen, das der Haupt-Engine von John the Ripper versteht.
Legen Sie das Zielarchiv in ein bequemes Verzeichnis. Für unser Beispiel verwenden wir /home/user/Desktop/Secret.zip. Der erste Schritt ist die Erstellung der Hash-Datei:
zip2john /home/user/Desktop/Secret.zip > /home/user/Desktop/hash.txt
Das Hilfsprogramm analysiert die lokalen Datei-Header im Archiv. Wenn das Archiv mehrere Dateien enthält, gibt zip2john möglicherweise mehrere Hashes aus oder warnt vor inkompatiblen Kompressionsmethoden. In solchen Fällen geben Sie den Pfad zu einer bestimmten Datei im Archiv an oder verwenden die Option -p für erzwungenes Parsen. Leiten Sie das Ergebnis in eine Textdatei um, die als Eingabe für den nächsten Schritt dient.
So funktioniert John the Ripper mit ZIP
Moderne ZIP-Archive verwenden zwei Hauptverschlüsselungsstandards: das veraltete ZipCrypto (PKWARE) und das sicherere AES-256. zip2john erkennt den Verschlüsselungstyp automatisch und erzeugt die passende Hash-Signatur ($zip$ oder `$zip2$). John the Ripper nutzt diese Metadaten, um den optimalen Knackalgorithmus auszuwählen.
Starten Sie den Prozess zur Passwortwiederherstellung mit:
john /home/user/Desktop/hash.txt
Standardmäßig läuft es im inkrementellen Brute-Force-Modus mit integrierten Mutationsregeln. Für schnellere Ergebnisse verwenden Sie direkt eine Wortliste:
john --wordlist=/usr/share/wordlists/rockyou.txt /home/user/Desktop/hash.txt
Nach erfolgreichem Knacken oder zur Überprüfung gefundener Passwörter nutzen Sie die Option --show:
john /home/user/Desktop/hash.txt --show
Die Ausgabe zeigt das wiederhergestellte Passwort mit dem Archivenamen verknüpft. Bei Unterbrechung speichert John den Sitzungsstatus in ~/.john/john.pot, sodass Sie ohne Fortschrittsverlust fortfahren können.
Knacken optimieren und Hardwarebeschränkungen
Die Effizienz der Wiederherstellung hängt von Ihrer Hardware und Strategie ab. Die CPU-Version von John the Ripper eignet sich gut für Wörterbuchangriffe und einfache Mutationen. Bei komplexen Passwörtern verwenden Sie den john-jumbo-Build mit OpenCL-Unterstützung, um die GPU-Leistung zu nutzen. Bei AES-256 erreichen CPUs wenige Tausend Hashes pro Sekunde, GPUs liefern jedoch deutliche Leistungssteigerungen.
Wichtige Aspekte bei der Planung einer Prüfung:
- Passwortlänge und Entropie bestimmen die Knackzeit. Bis zu 8 Kleinbuchstaben knacken sich in Minuten; 12+ mit Sonderzeichen machen Brute-Force unpraktikabel.
- Die ZIP-Struktur erlaubt das Extrahieren von Hashes ohne Entpacken und schont so die Integrität der Originaldaten.
- Benutzerdefinierte Regeln (
--rules) erzeugen Wörterbuchvariationen mit Präfixen, Suffixen und Ersetzungen und steigern den Erfolg bei gezielten Prüfungen. - Bestätigen Sie immer den legitimen Zugriff auf das Archiv. Diese Tools dienen der Prüfung eigener Daten oder Systeme mit schriftlicher Erlaubnis des Eigentümers.
Wichtige Punkte
- zip2john knackt keine Passwörter; es extrahiert kryptografische Hashes aus den Archivmetadaten zur Weiterverarbeitung.
- Lokales Knacken vermeidet Datenleckrisiken von Online-Wiederherstellungsdiensten.
- GPU-Unterstützung über OpenCL-John-Builds ist bei AES-256 und langen Passwörtern essenziell.
- Die Option
--showund die Dateijohn.potverwalten Sitzungen und rufen Ergebnisse ab, ohne neu zu rechnen. - Der Erfolg von Wörterbuchangriffen hängt von der Qualität der Wortliste und fallbezogenen Mutationsregeln ab.
— Editorial Team
Noch keine Kommentare.