Hashcat алгоритмы шпаргалка - 100+ типов хэшей

Содержание

1. Введение: Hashcat и криптография
2. MD5 алгоритмы
3. SHA алгоритмы
4. NTLM и Windows хэши
5. macOS и Unix хэши
6. Базы данных хэши
7. Веб-приложения хэши
8. Документы и офисные файлы
9. Архивы и сжатие
10. Пароли и менеджеры
11. Сетевые протоколы
12. Блокчейн и криптовалюты
13. Мобильные устройства
14. Игровые платформы
15. Часто задаваемые вопросы
16. Заключение

Введение: Hashcat и криптография

Что такое Hashcat

Hashcat - это самый быстрый инструмент для восстановления паролей через brute force, dictionary и hybrid атаки. Он поддерживает более 300 алгоритмов хэширования и работает на CPU, GPU, FPGA и ASIC.

Зачем нужен Hashcat

Профессиональное использование:
- Тестирование безопасности систем
- Восстановление забытых паролей
- Forensic анализ
- Penetration testing

Образовательные цели:
- Изучение криптографии
- Понимание уязвимостей
- Исследование алгоритмов

Статистика использования 2026

- 85% пентестеров используют Hashcat для тестирования
- 300+ поддерживаемых алгоритмов
- 10 млрд хэшей в секунду на топовых GPU
- 90% корпоративных паролей взламываются за дни
- GPU в 1000+ раз быстрее CPU

Архитектура Hashcat

Hashcat поддерживает несколько режимов атаки:
- Brute force - перебор всех комбинаций
- Dictionary - атака по словарю
- Hybrid - комбинация словаря и brute force
- Mask - атака по маске
- Rule-based - трансформация словаря

Типы хэшей

Хэши классифицируются по:
- Алгоритму (MD5, SHA, NTLM)
- Применению (пароли, файлы, сертификаты)
- Платформе (Windows, Linux, macOS)

Безопасность и этика

- Используйте только для легальных целей
- Не взламывайте чужие аккаунты
- Тестируйте только свои системы
- Соблюдайте законы о компьютерной безопасности

MD5 алгоритмы

Базовые MD5

1. MD5 - классический алгоритм


2. MD5(HMAC) - MD5 с HMAC


3. MD5 APR1 - Apache MD5

MD5 комбинации

4. MD5(Base64) - MD5 в base64


5. MD5(Cisco-PIX) - Cisco PIX


6. MD5(Cisco-ASA) - Cisco ASA


7. MD5(Crypt) - Unix crypt


8. MD5(phpBB3) - phpBB3 форум


9. MD5(MyBB) - MyBB форум


10. MD5(IPB2+) - IPB форум


11. MD5(Joomla) - Joomla CMS


12. MD5(Drupal) - Drupal CMS


13. MD5(osCommerce) - osCommerce


14. MD5(XenForo) - XenForo форум


15. MD5(SMF) - SMF форум

SHA алгоритмы

SHA-1

16. SHA-1 - устаревший алгоритм


17. SHA-1(Base64) - SHA-1 в base64


18. SHA-1(Django) - Django фреймворк


19. SHA-1(MSSQL) - MS SQL Server


20. SHA-1(MySQL) - MySQL база данных

SHA-256

21. SHA-256 - современный алгоритм


22. SHA-256(Django) - Django PBKDF2


23. SHA-256(phpBB3) - phpBB3 SHA256


24. SHA-256(MSSQL) - MS SQL 2012


25. SHA-256(Unix) - Unix crypt

SHA-512

26. SHA-512 - очень надежный


27. SHA-512(Django) - Django PBKDF2


28. SHA-512(Unix) - Unix crypt


29. SHA-512(MSSQL) - MS SQL 2012


30. SHA-512(Crypt) - Crypt SHA512

Другие SHA

31. SHA-224 - SHA-224


32. SHA-384 - SHA-384


33. SHA-3-224 - SHA-3


34. SHA-3-256 - SHA-3


35. SHA-3-384 - SHA-3

NTLM и Windows хэши

NTLM хэши

36. NTLM - Windows NTLM


37. NTLMv2 - NTLM версия 2


38. LM - LAN Manager (устаревший)


39. NetNTLMv1 - NetNTLM v1


40. NetNTLMv2 - NetNTLM v2

Domain Cached Credentials

41. DCC - Domain Cached Credentials


42. DCC2 - DCC2

Microsoft Office

43. MS Office 2007 - Office 2007


44. MS Office 2010 - Office 2010


45. MS Office 2013 - Office 2013


46. MS Office 2016 - Office 2016

Windows системные

47. Windows Phone 8+ PIN - Windows Phone


48. Windows Hello - Windows Hello


49. DPAPI masterkey - DPAPI


50. DPAPI credential - DPAPI credentials

macOS и Unix хэши

macOS

51. macOS v10.4-10.6 - Mac OS X


52. macOS v10.7 - Lion


53. macOS v10.8-10.12 - Mountain Lion to Sierra


54. macOS v10.13+ - High Sierra+


55. macOS FileVault - FileVault

Unix/Linux

56. descrypt - DES crypt


57. md5crypt - MD5 crypt


58. Blowfish - Blowfish crypt


59. sha256crypt - SHA256 crypt


60. sha512crypt - SHA512 crypt


61. bcrypt - bcrypt


62. scrypt - scrypt


63. Argon2i - Argon2 i


64. Argon2d - Argon2 d


65. Argon2id - Argon2 id

Базы данных хэши

MySQL

66. MySQL - MySQL 3.2.3


67. MySQL5 - MySQL 5.x


68. MySQL 4.1 - MySQL 4.1

PostgreSQL

69. PostgreSQL - PostgreSQL

MSSQL

70. MSSQL - MS SQL Server


71. MSSQL 2000 - SQL Server 2000


72. MSSQL 2005 - SQL Server 2005


73. MSSQL 2012 - SQL Server 2012

Oracle

74. Oracle 7-10g - Oracle 7-10g


75. Oracle 11g - Oracle 11g


76. Oracle 12c - Oracle 12c

Другие БД

77. Sybase ASE - Sybase ASE


78. Informix - Informix


79. DB2 - IBM DB2


80. MongoDB - MongoDB

Веб-приложения хэши

PHP

81. PHPass - PHPass


82. PHPS - Portable Hashed


83. MediaWiki - MediaWiki


84. WordPress - WordPress


85. Joomla - Joomla

ASP.NET

86. ASP.NET - ASP.NET


87. ASP.NET vNext - ASP.NET Core

Java

88. Java Object hashCode() - Java hashCode

Python

89. Python passlib - Python passlib


90. Django PBKDF2 - Django

Ruby

91. Ruby on Rails - Rails

Node.js

92. Node.js bcrypt - Node bcrypt

Документы и офисные файлы

Microsoft Office

93. MS Office 2007 - Office 2007


94. MS Office 2010 - Office 2010


95. MS Office 2013 - Office 2013


96. MS Office 2016 - Office 2016

PDF файлы

97. PDF 1.1-1.3 - PDF


98. PDF 1.4-1.6 - PDF


99. PDF 1.7+ - PDF

Другие документы

100. 7-Zip - 7-Zip архивы


101. RAR3 - RAR 3.x


102. RAR5 - RAR 5.x


103. PKZIP - ZIP архивы


104. iTunes backup - iTunes backup


105. Bitcoin/Litecoin wallet.dat - Bitcoin wallet

Архивы и сжатие

ZIP архивы

106. PKZIP - ZIP


107. PKZIP Master - ZIP Master


108. PKZIP WinZip - WinZip

RAR архивы

109. RAR3-hp - RAR 3.x


110. RAR3-p - RAR 3.x


111. RAR5 - RAR 5.x

7-Zip

112. 7-Zip - 7-Zip


113. 7z - 7z format

Другие архивы

114. GPG - GPG


115. OpenPGP - OpenPGP


116. TrueCrypt - TrueCrypt


117. VeraCrypt - VeraCrypt

Пароли и менеджеры

Менеджеры паролей

118. 1Password - 1Password


119. LastPass - LastPass


120. KeePass - KeePass


121. Bitwarden - Bitwarden

Системные пароли

122. Android PIN - Android PIN


123. iOS backup - iOS backup


124. BlackBerry backup - BlackBerry

Сетевые протоколы

HTTP/HTTPS

125. HTTP Digest - HTTP Digest

FTP

126. FTP - FTP

SMTP

127. SMTP - SMTP

POP3

128. POP3 - POP3

IMAP

129. IMAP - IMAP

RADIUS

130. RADIUS - RADIUS

Блокчейн и криптовалюты

Bitcoin

131. Bitcoin/Litecoin wallet.dat - Bitcoin


132. Bitcoin Core - Bitcoin Core

Ethereum

133. Ethereum - Ethereum


134. MyEtherWallet - MyEtherWallet

Другие

135. Monero - Monero


136. Zcash - Zcash

Мобильные устройства

Android

137. Android PIN - Android PIN


138. Android FDE - Android FDE

iOS

139. iOS backup - iOS backup


140. iTunes backup - iTunes

BlackBerry

141. BlackBerry backup - BlackBerry

Игровые платформы

Steam

142. Steam - Steam

Origin

143. Origin - Origin

Battle.net

144. Battle.net - Battle.net

Другие игры

145. Half-Life - Half-Life


146. Stardew Valley - Stardew Valley

Часто задаваемые вопросы

Общие вопросы

Как начать использовать Hashcat?
Установите Hashcat, скачайте словарь rockyou.txt, выберите режим атаки (-a 0 для dictionary), укажите тип хэша (-m) и запустите. Начните с простых MD5 хэшей.

Какая видеокарта лучше для Hashcat?
NVIDIA RTX 30xx/40xx серии с большим количеством VRAM. AMD RX 6000+ тоже хороши. Главное - максимальная производительность в FP32.

Где взять словари для атак?
Rockyou.txt, Hashes.org, CrackStation, Weakpass.com. Создавайте свои словари из утечек и социальных сетей.

Какой режим атаки выбрать?
Dictionary (-a 0) для начала, потом hybrid (-a 6), mask (-a 3) для известных паттернов, brute-force (-a 3) для коротких паролей.

Безопасно ли использовать Hashcat?
Да, если тестируете свои хэши или имеете разрешение. Не используйте для взлома чужих аккаунтов - это незаконно.

Технические вопросы

Почему Hashcat не распознает мой хэш?
Проверьте формат хэша, правильный mode (-m), наличие соли. Используйте hashcat --help для списка всех modes.

Как ускорить cracking?
Используйте GPU, оптимизируйте правила, используйте fast режим для простых хэшей, комбинируйте словари.

Можно ли взломать SHA-256?
Теоретически да, но практически - только слабые пароли. Для сильных паролей требуется миллиарды лет даже на суперкомпьютерах.

Что такое salt и почему он важен?
Salt - случайная строка, добавляемая к паролю перед хэшированием. Предотвращает rainbow table атаки, заставляет brute-force каждый хэш отдельно.

Как создать собственные правила?
Изучите синтаксис Hashcat rules, комбинируйте трансформации (uppercase, lowercase, append, prepend). Используйте best64.rule как основу.

Практические советы

Как проверить силу пароля?
Используйте HaveIBeenPwned для проверки в утечках, создайте тестовый хэш и попробуйте взломать его.

Какие пароли самые слабые?
"password", "123456", "qwerty", "admin", "letmein", имена, даты рождения, простые слова из словаря.

Как защитить пароли?
Используйте bcrypt/scrypt/Argon2, длинные пароли (12+ символов), уникальные для каждого сервиса, менеджеры паролей, 2FA.

Можно ли взломать забытый пароль?
Зависит от сложности. Простые пароли взламываются за минуты, сложные - никогда. Лучше восстановить через reset.

Что делать после взлома пароля?
Измените пароль, включите 2FA, проверьте другие аккаунты, используйте менеджер паролей, мониторьте подозрительную активность.

Заключение

Резюме алгоритмов Hashcat

В этой шпаргалке мы рассмотрели 146 типов хэшей Hashcat, включая:

- MD5 алгоритмы: 15 типов (MD5, phpBB3, Joomla, Drupal, etc.)
- SHA алгоритмы: 20 типов (SHA-1, SHA-256, SHA-512, etc.)
- NTLM и Windows: 15 типов (NTLM, LM, Domain Cached, Office)
- macOS и Unix: 14 типов (macOS, descrypt, bcrypt, scrypt, Argon2)
- Базы данных: 15 типов (MySQL, PostgreSQL, MSSQL, Oracle)
- Веб-приложения: 12 типов (WordPress, Joomla, Django, Rails)
- Документы: 13 типов (MS Office, PDF, архивы)
- Пароли и менеджеры: 7 типов (1Password, KeePass, Android PIN)
- Сетевые протоколы: 6 типов (HTTP, FTP, SMTP, RADIUS)
- Блокчейн: 6 типов (Bitcoin, Ethereum, Monero)
- Мобильные: 5 типов (Android, iOS, BlackBerry)
- Игры: 5 типов (Steam, Origin, Battle.net)

Эффективность Hashcat

Hashcat способен взламывать:
- MD5/SHA-1: за секунды-минуты
- NTLM: за часы-дни
- bcrypt/scrypt: за недели-месяцы
- Argon2: за месяцы-годы
- Современные алгоритмы: практически не взламываются

Лучшие практики

1. Начинайте с dictionary атак - они самые эффективные
2. Комбинируйте методы - hybrid, mask, rule-based
3. Используйте GPU - в 1000+ раз быстрее CPU
4. Оптимизируйте словари - удаляйте дубликаты, сортируйте
5. Мониторьте температуру - GPU могут перегреться

Этика и законность

- Тестируйте только свои системы или с письменным разрешением
- Не используйте для вредоносных целей
- Соблюдайте законы о компьютерной безопасности
- Документируйте тестирование для отчетов

Будущее password cracking

С развитием квантовых компьютеров:
- Текущие алгоритмы станут уязвимыми
- Argon2 останется устойчивым дольше
- Нужны новые алгоритмы (post-quantum cryptography)
- Фокус на key stretching и memory-hard functions

Важные предупреждения

- Не используйте чужие хэши без разрешения
- Защищайте свои пароли - они могут быть в утечках
- Используйте сильные алгоритмы для новых систем
- Регулярно меняйте пароли в критических системах
- Внедряйте многофакторную аутентификацию

---

**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.