スキル crack-hashcat
📦
crack-hashcat
高リスク ⚙️
外部コマンド🌐
ネットワークアクセス📁
ファイルシステムへのアクセス🔑
環境変数⚡
スクリプトを含む
Hashcatでパスワードハッシュを監査する
チームに明確で承認済みのワークフローがない場合、パスワード監査作業にはリスクが伴います。このスキルは、Hashcatの計画、実行、証拠の取り扱い、修復レポート作成を支援します。
対応: Claude Codex Code(CC)
1
スキルZIPをダウンロード
2
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
3
オンにして利用開始
Agent向けリソース
AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。
テストする
「crack-hashcat」を使用しています。 小規模な内部ドメイン向けの承認済みNTLMパスワード監査。
期待される結果:
ハッシュタイプの確認、段階的な辞書およびルール戦略、安全な結果の取り扱い、弱いパスワードに関する修復テーマを含む、範囲設定済みの監査計画。
「crack-hashcat」を使用しています。 クラッキング結果で、季節に関する単語や短いパスワードが多数見つかった。
期待される結果:
ポリシーの弱点、影響を受けるアカウントカテゴリ、推奨される最小文字数の変更、ブロックリスト改善、MFAの優先事項を網羅した、経営層向けサマリー。
「crack-hashcat」を使用しています。 フォレンジック案件で、承認済み証拠からのパスワード復旧が必要。
期待される結果:
chain-of-custodyチェックリスト、制御されたワークスペース要件、セッション追跡ガイダンス、不要なパスワード開示を避ける最終報告書構成。
セキュリティ監査
高リスクv6 • 6/28/2026
Static analysis findings are largely true positives for dual-use credential access and password cracking workflows, including privileged hash extraction and cracked password handling. No evidence found of prompt injection, hidden exfiltration, or confirmed malicious intent, but the skill provides operational guidance that can enable unauthorized credential attacks if misused.
5
スキャンされたファイル
2,029
解析された行数
13
検出結果
6
総監査数
高リスクの問題 (3)
Privileged System Hash Extraction Guidance
The skill instructs users to extract hashes from Linux shadow files and Active Directory NTDS data before cracking them with Hashcat. This is a high-risk credential access workflow even though the surrounding text requires authorization.
Credential Cracking Workflows for Enterprise Targets
The skill covers NTLM, WPA2, web application hashes, and Kerberos service ticket cracking. These procedures are legitimate for audits but can also support credential compromise.
Cracked Password Disclosure and Export Guidance
The skill shows how to display and export cracked credentials. Mishandling this output can expose plaintext passwords and increase downstream account takeover risk.
中リスクの問題 (3)
Extensive Shell Command Guidance
Most external-command findings are true positives because the skill is command-driven and includes shell pipelines, file redirection, and helper scripts. The examples are user-run instructions rather than hidden execution by the skill itself.
Unsafe Installer Pattern in CI Template
The CI template includes a pipe-to-shell installer for tfsec. This pattern can execute remote content without local verification if copied into a workflow.
assets/rule-template.yaml:93-165references/EXAMPLE.md:131-162references/EXAMPLE.md:412-447assets/ci-config-template.yml:317-330
Bundled Generic Security Templates Add Unrelated Risk Surface
The asset and reference templates include vulnerable-code examples, environment-variable examples, API key handling, DOM injection examples, and CI filesystem access. These are mostly instructional false positives, but they increase audit noise and may be copied unsafely.
低リスクの問題 (2)
Hardcoded Documentation URLs
Hardcoded URLs in SKILL.md, rule templates, and CI templates point to public documentation or installer locations. They are expected reference links, except where combined with shell execution.
Weak Algorithm Mentions Are Mostly Contextual
MD5, SHA1, and NTLM appear because the skill identifies and audits weak or legacy hash types. Mentioning these algorithms is not itself insecure, but cracking them is sensitive dual-use activity.
リスク要因
⚙️ 外部コマンド (93)
assets/ci-config-template.yml:298 assets/ci-config-template.yml:301 assets/ci-config-template.yml:304 assets/ci-config-template.yml:307 assets/ci-config-template.yml:310 assets/ci-config-template.yml:134 assets/ci-config-template.yml:250 assets/ci-config-template.yml:291 references/EXAMPLE.md:54-74 references/EXAMPLE.md:74-95 references/EXAMPLE.md:95-108 references/EXAMPLE.md:108-111 references/EXAMPLE.md:111-118 references/EXAMPLE.md:118-122 references/EXAMPLE.md:122-129 references/EXAMPLE.md:129-135 references/EXAMPLE.md:135-151 references/EXAMPLE.md:151-154 references/EXAMPLE.md:154-162 references/EXAMPLE.md:162-296 references/EXAMPLE.md:296-306 references/EXAMPLE.md:306-309 references/EXAMPLE.md:309-318 references/EXAMPLE.md:318-333 references/EXAMPLE.md:333-342 references/EXAMPLE.md:342-346 references/EXAMPLE.md:346-354 references/EXAMPLE.md:354-358 references/EXAMPLE.md:358-361 references/EXAMPLE.md:361-371 references/EXAMPLE.md:371-404 references/EXAMPLE.md:404-414 references/EXAMPLE.md:414-447 references/EXAMPLE.md:447-451 references/EXAMPLE.md:451-472 references/EXAMPLE.md:472-476 references/EXAMPLE.md:476-537 references/WORKFLOW_CHECKLIST.md:74 SKILL.md:35-47 SKILL.md:47-78 SKILL.md:78-100 SKILL.md:100-106 SKILL.md:106-124 SKILL.md:124-131 SKILL.md:131-140 SKILL.md:140-143 SKILL.md:143-146 SKILL.md:146-149 SKILL.md:149-158 SKILL.md:158-161 SKILL.md:161-170 SKILL.md:170-173 SKILL.md:173-179 SKILL.md:179-182 SKILL.md:182-183 SKILL.md:183-184 SKILL.md:184-185 SKILL.md:185-186 SKILL.md:186-187 SKILL.md:187-193 SKILL.md:193-214 SKILL.md:214-220 SKILL.md:220-241 SKILL.md:241-247 SKILL.md:247-262 SKILL.md:262-268 SKILL.md:268-283 SKILL.md:283-327 SKILL.md:327-336 SKILL.md:336-340 SKILL.md:340-349 SKILL.md:349-353 SKILL.md:353-362 SKILL.md:362-366 SKILL.md:366-375 SKILL.md:375-379 SKILL.md:379-385 SKILL.md:385-391 SKILL.md:391-408 SKILL.md:408-412 SKILL.md:412-433 SKILL.md:433-440 SKILL.md:440-453 SKILL.md:453-458 SKILL.md:458-467 SKILL.md:416 SKILL.md:417 SKILL.md:418 SKILL.md:412-433 SKILL.md:392 SKILL.md:415 SKILL.md:120 SKILL.md:342
🌐 ネットワークアクセス (23)
assets/ci-config-template.yml:240 assets/rule-template.yaml:43 assets/rule-template.yaml:44 assets/rule-template.yaml:45 assets/rule-template.yaml:73 assets/rule-template.yaml:118 assets/rule-template.yaml:119 assets/rule-template.yaml:151 assets/rule-template.yaml:191 assets/rule-template.yaml:192 assets/rule-template.yaml:193 assets/rule-template.yaml:217 assets/rule-template.yaml:260 assets/rule-template.yaml:261 assets/rule-template.yaml:288 SKILL.md:18 SKILL.md:19 SKILL.md:20 SKILL.md:505 SKILL.md:506 SKILL.md:507 SKILL.md:508 SKILL.md:509
📁 ファイルシステムへのアクセス (2)
🔑 環境変数 (27)
assets/ci-config-template.yml:164 assets/ci-config-template.yml:164 assets/rule-template.yaml:148 assets/rule-template.yaml:148 assets/rule-template.yaml:147 assets/rule-template.yaml:162 assets/rule-template.yaml:132 assets/rule-template.yaml:147 assets/rule-template.yaml:148 assets/rule-template.yaml:156 assets/rule-template.yaml:157 assets/rule-template.yaml:162 assets/rule-template.yaml:162 assets/rule-template.yaml:163 assets/rule-template.yaml:164 assets/rule-template.yaml:165 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:423 references/EXAMPLE.md:424 references/EXAMPLE.md:425 references/EXAMPLE.md:427 references/EXAMPLE.md:430 references/EXAMPLE.md:432 references/EXAMPLE.md:437 references/EXAMPLE.md:437 references/EXAMPLE.md:444
⚡ スクリプトを含む (2)
検出されたパターン
System Password File AccessWindows Domain Credential Material HandlingRemote Script Piped to Shell
監査者: codex 監査履歴を表示 →
品質スコア
55
アーキテクチャ
100
保守性
87
コンテンツ
73
コミュニティ
0
セキュリティ
87
仕様準拠
作れるもの
エンタープライズパスワード監査
承認済みのHashcat監査を計画し、攻撃モードを選択して、修復に向けた弱いパスワードの傾向を要約します。
フォレンジックパスワード復旧
保管状況、範囲、安全な結果の取り扱いを文書化しながら、承認済みの証拠資料へのアクセスを復旧します。
パスワードポリシー検証
クラッキング結果を使用して、現在のパスワードルールが一般的なワードリストや予測可能なマスクに耐えられるかを評価します。
これらのプロンプトを試す
基本監査を計画する
パスワードハッシュ監査の書面による承認があります。ハッシュタイプの特定、安全な最初の攻撃モードの選択、結果の取り扱いルールの定義を手伝ってください。
攻撃戦略を選択する
これらの承認済みハッシュタイプとパスワードポリシーの詳細を前提に、期待されるトレードオフと停止基準を含むHashcat攻撃シーケンスを推奨してください。
監査結果を分析する
承認済みのクラッキング結果サマリーをレビューし、平文パスワードを公開せずに、パスワードポリシーの所見、リスクテーマ、修復の優先順位にまとめてください。
証拠を安全に扱うワークフローを設計する
機密性の高い認証情報証拠向けに、承認チェック、ストレージ管理、監査ログ、レポート作成、安全な削除を含む、制御されたHashcatワークフローを作成してください。
ベストプラクティス
- ハッシュや平文結果を取り扱う前に、書面による承認を取得し、範囲を定義します。
- ハッシュファイル、potfiles、レポートは、アクセスを制限した暗号化済みの場所に保存します。
- 平文パスワードを広範に共有するのではなく、傾向と修復の優先順位を報告します。
回避
- 承認範囲外のシステム、ユーザー、ネットワークから取得したハッシュをクラッキングしないでください。
- 実際のハッシュやクラッキング済みパスワードを、公開ツールや共有チャットに貼り付けないでください。
- コピーしたインストーラスクリプトやクラッキングコマンドは、その影響を確認せずに実行しないでください。
よくある質問
このスキルは一般的なマーケットプレイス利用に安全ですか?
認証情報ハッシュのクラッキングを教えるため、高リスクです。公開前に、厳格な承認、警告、マーケットプレイスレビューが必要です。
このスキルはHashcatコマンドを単独で実行しますか?
いいえ。コマンドのガイダンスとワークフローを提供します。ユーザーは自身の承認済み環境でツールを実行する必要があります。
これは防御的なパスワードポリシー作業に役立ちますか?
はい。承認済みのクラッキング結果を、ポリシー改善、アカウント保護、ユーザー教育に結び付けることができます。
このワークフローで最も機密性が高いデータは何ですか?
ハッシュファイル、パスワードデータベース、potfiles、クラッキング済みパスワード、認証情報の詳細を含むレポートは非常に機密性が高いです。
このスキルはどのツールを前提としていますか?
Hashcatと、OpenCLまたはCUDAなどの互換性のあるアクセラレーションツールを前提としています。一部の例では、別個のフォレンジックユーティリティを参照しています。
開始前にユーザーは何をすべきですか?
ユーザーは、書面による承認の確認、範囲の定義、安全なストレージの準備、平文パスワードに関するレポート制限への合意を行う必要があります。