bitte nicht aufregen, ich weiß das wir das thema john the ripper schon 1000 mal hatten, aber ich hab für mein problem keine lösung gefunden:

ich hab von einem Linux-System die /etc/shadow gemoppst:

die sieht so aus (root und user passwort hab ich weggemacht)


lp:9473:0:10000
news:8902:0:10000
uucp:0:0:10000
games:0:0:10000
man:8902:0:10000
at:8902:0:10000
lnx:8902:0:10000
mdom:8902:0:10000
yard:8902:0:10000
wwwrun:8902:0:10000
squid:8902:0:10000
postgres:8902:0:10000
fax:8902:0:10000
gnats:8902:0:10000
empress:8902:0:10000
adabas:8902:0:10000
amanda:8902:0:10000
ixess:8902:0:10000
irc:8902:0:10000
ftp:8902:0:10000
firewall:8902:0:10000
informix:8902:0:10000
named:8902:0:10000
virtuoso:8902:0:10000
fnet:8902:0:10000
gdm:8902:0:10000
postfix:8902:0:10000
cyrus:8902:0:10000
nps:8902:0:10000
skyrix:8902:0:10000
dbmaker:8902:0:10000
fixadm:8902:0:10000
fib:8902:0:10000
fixlohn:8902:0:10000
oracle:10682:0:10000
mysql:8902:0:10000
dpbox:8902:0:10000
ingres:8902:0:10000
codadmin:8902:0:10000
zope:8902:0:10000
vscan:8902:0:10000
wnn:8902:0:10000
pop:8902:0:10000
perforce:8902:0:10000
sapdb:8902:0:10000
nobody:0:0:10000

So, jetzt will ich das Teil entschlüsseln (möglichst nicht jedes Passwort einzeln, sondern alle gleich im ganzen, auch wenns 'ne weile dauern wird)

Also geb' ich in die das BOX ein:
john -i shadow

Aber John gibt da nur die Meldung aus:
Loaded 0 password, exiting...

Was mach ich da falsch, bisher hat es doch immer so funktioniert?

Also was du da hast sieht mir 1. nicht nach einer /etc/shadow aus und 2. schau dir mal das Format an was so eine shadow hat, siehst du hier irgendwo passwörter die john entschlüsseln könnte ? Also ... glaub john ruhig, da sind wirklich keine Passes die er entschlüsseln könnte ...

Doch, das ist die etc/shadow von meinem Linux-Rechner (hab ich mir von meinem eigenen Linux-Rechner gemoppst).

Aber glaub mir ruhig, das ist echt die etc/shadow!!!
Ich poste die etc/shadow jetzt mal vollständig, so wie sie original vorzufinden ist:



root:LahfTqDVJFK5A:11677:0:10000::::
bin:*:8902:0:10000::::
daemon:*:8902:0:10000::::
lp:*:9473:0:10000::::
news:*:8902:0:10000::::
uucp:*:0:0:10000::::
games:*:0:0:10000::::
man:*:8902:0:10000::::
at:*:8902:0:10000::::
lnx:*:8902:0:10000::::
mdom:*:8902:0:10000::::
yard:*:8902:0:10000::::
wwwrun:*:8902:0:10000::::
squid:*:8902:0:10000::::
postgres:*:8902:0:10000::::
fax:*:8902:0:10000::::
gnats:*:8902:0:10000::::
empress:*:8902:0:10000::::
adabas:*:8902:0:10000::::
amanda:*:8902:0:10000::::
ixess:*:8902:0:10000::::
irc:*:8902:0:10000::::
ftp:*:8902:0:10000::::
firewall:*:8902:0:10000::::
informix:*:8902:0:10000::::
named:*:8902:0:10000::::
virtuoso:*:8902:0:10000::::
fnet:*:8902:0:10000::::
gdm:*:8902:0:10000::::
postfix:*:8902:0:10000::::
cyrus:*:8902:0:10000::::
nps:*:8902:0:10000::::
skyrix:*:8902:0:10000::::
dbmaker:*:8902:0:10000::::
fixadm:*:8902:0:10000::::
fib:*:8902:0:10000::::
fixlohn:*:8902:0:10000::::
oracle:*:10682:0:10000::::
mysql:*:8902:0:10000::::
dpbox:*:8902:0:10000::::
ingres:*:8902:0:10000::::
codadmin:*:8902:0:10000::::
zope:*:8902:0:10000::::
vscan:*:8902:0:10000::::
wnn:*:8902:0:10000::::
pop:*:8902:0:10000::::
perforce:*:8902:0:10000::::
sapdb:*:8902:0:10000::::
nobody:*:0:0:10000::::
lion:aCJP/reo09yk.:11677:0:99999:7:0::

Jetzt geht mir auch ein Licht auf, dort wo das Passwort stehen sollte ist ein * , daher heißt die Datei vermutlich auch shadow, weil die einige Passwörter halt geshadowd sind??!
Nein, das kann auch nicht sein, schließlich ist das root-passwort nicht geshadowed (mit *) und steht so da wie's sein sollte (hab's mit john entschlüsselt, hat gestimmt). Ebenso ganz unten beim User lion.
Hm, aber warum stehen da lauter *, heißt das, das für diese Benutzernamen noch kein Passwort vergeben wurde? Und was bedeutet die :1000::::: dahinter?

Ja genau, * heisst dass dort kein Passwort vergeben ist genaueres entnimmst du man shadow Und wenn da keins passwort ist, kann john auch nichts entschlüsseln und sagt deshalb folgerichtig keine passes gefunden.

Btw deine passwörter würde ich jetzt ganz schnell ändern ;)

Ja genau, * heisst dass dort kein Passwort vergeben ist

sicher?

meines wissens ist ein stern dafür, das der login gesperrt ist! das ist deshalb so, weil es sich hier um user handelt, welche ausschließlich vom system gesteuert werden, da sie für manche dämonen etc. gebraucht werden!
wenn ein login kein passwort verwendet, schaut die shadow meines wissens nach so aus:

root::11677:0:10000::::

sollte das nicht stimmen: sorry!

CU THE HO

Nene hast du schon wahr, aber ob der nu gesperrt ist oder man sich ohne passwort einloggen kann, ist für jtr absolut nicht interessant, der sieht nur dass kein passwort vorhanden ist.

Aha, der Nebel lichtet sich, langsam blick ich klar!
Aber warum sollte ich meine Passwörter ändern? Ihr habt doch eh' keinen Zugriff auf meinen Rechner (Ihr sitzt nicht direkt davor).
Oder ist es wegen dem X11 Server so gefährlich wenn andere die Passwörter wissen?

Natürlich müsste man erstmal deine IP wissen, dich zuordnen, um direkt etwas mit dem passwort anfangen zu können, aber sagen wir mal so, die welt ist klein. Wer weiss, wer das hier liest. Und X dürfte nicht dein Problem sein hehe sondern eher gleich telnet oder ssh, was bei vielen distris ja standardmässig an ist ...