Hashcat es una de las herramientas más conocidas y utilizadas para crackear hashes de contraseñas de diferentes tipos. Esta herramienta es capaz de utilizar la potencia de cómputo de la CPU principal, y también de la GPU, el procesador de las tarjetas gráficas. ¿Qué pasaría si tuviéramos la oportunidad de distribuir diferentes tareas Hashcat en varios equipos? Podríamos realizar de manera más automatizada el crackeo de estos hashes, Hashtopolis es una herramienta gratuita que se encarga justo de esto.
Principales Características de Hashtopolis
Hashtopolis es una herramienta gratuita y multiplataforma que utiliza una arquitectura cliente-servidor para funcionar. Esta herramienta tiene como objetivo distribuir diferentes tareas de Hashcat en varios ordenadores, de tal forma, que el crackeo de contraseñas sea lo más eficiente posible en función del número de ordenadores que tengamos. En el desarrollo de Hashtopolis han prestado especial atención a la portabilidad de la herramienta, a la estabilidad, y por supuesto, al soporte multiusuario y a la administración de múltiples grupos de equipos.
Esta herramienta está compuesta principalmente de dos partes:
- Agentes: Son los clientes que se conectarán con el servidor, está escrito en lenguaje C# y también en Python, y permite personalización en caso de que sea necesario.
- Servidor: está formado por un panel de administración web, y el punto de conexión con los agentes. Ambos forman parte del servidor y se encargarán de proporcionar las tareas a los agentes que se conecten.
Con el objetivo de facilitar la usabilidad en redes con firewalls, la comunicación entre los agentes y el servidor se realiza a través de HTTP y HTTPS, utilizando JSON para facilitar la lectura de los parámetros que le pasamos.
El servidor que ejecuta PHP y CSS utiliza MySQL como sistema gestor de base de datos. Es fundamental que el servidor MySQL lo tengamos bien configurado y orientado a proporcionar el máximo rendimiento posible, ya que las consultas podrían ser bastante costosas en términos de computación. El esquema de la base de datos se beneficia enormemente de la indexación de los valores, por tanto, si podemos ordenar la lista de hashes mucho mejor.
La interfaz web de administración es el único punto de acceso de todos los agentes que tenemos dados de alta. Un nuevo agente requiere siempre la creación de una clave de un solo uso generada en el servidor, así evitamos posibles fugas de hashes o agentes falsos que se intentan conectar a la plataforma.
Otras características de esta herramienta son por ejemplo la auto-actualización, tanto de Hashtopolis como también de Hashcat. Podremos agrupar un listado de listas de hash del mismo tipo, se puede ejecutar el mismo cliente (agente) en Windows, Linux y mac OS. Se pueden marcar hashes como secretos, y enviarlos únicamente a una serie de agentes de confianza, también vamos a poder ver estadísticas sobre los hashes crackeados y las tareas en ejecución entre muchas otras opciones.
Hasta hace poco tiempo, esta herramienta se llamada hashtopussy, pero ahora lo han renombrado con el nombre hashtopolis, y a partir de ahora toda la documentación tendrá este nuevo nombre.
Podéis ver la wiki completa con manuales de configuración y puesta en marcha del sistema, ideal para empezar a utilizar Hashtopolis y enviar las tareas a los diferentes agentes con Hashcat. Os recomendamos acceder al proyecto Hashtopolis en la web de Github.