Vad är hashcat?

Du har redan lärt dig (lektion 4 i gratis-akademin) att brute force är möjligt och att GPU-riggar kan göra 10 miljarder gissningar per sekund. Hashcat är verktyget som faktiskt gör det. Den här kursen lär dig att använda det själv — först för att förstå, sen som ett riktigt försvars-tankesätt.

01Vad hashcat egentligen är

Hashcat är ett kommandoradsverktyg som tar in en lista med hashar + en strategi + en kandidatkälla (ordlista, mask, regler) och försöker hitta klartext som matchar varje hash.

Det stöder ~300 olika hash-typer (MD5, SHA-1, bcrypt, NTLM, WPA-handshake, Office-dokument, Bitcoin wallets, ZIP-arkiv...). Att lära sig hashcat = att förstå hela attack-ytan kring lösenord och credentials.

Hashcat är inte olagligt — det är ett verktyg, samma sak som en bultsax. Vad du gör med det är vad som gör det lagligt eller olagligt. Vi kommer alltid jobba mot:

• Hashar du själv genererat (av lösenord du valt)
• Övnings-hashar vi förbereder åt dig
• System du har skriftligt tillstånd att testa (CTF, bug bounty med godkänt scope, ditt eget jobb)

02Sätta upp på din maskin

Om du vill köra själv (helt frivilligt — du kan göra hela kursen i vårt labb):

På Linux (Ubuntu, Debian, Kali):

sudo apt install hashcat
hashcat --version
v6.2.6

På macOS:

brew install hashcat
hashcat --version
v6.2.6

På Windows: ladda ner från hashcat.net/hashcat (ZIP-fil), packa upp, kör hashcat.exe från PowerShell eller cmd.

03Förstå en kommandorad

Hashcats grundsyntax ser ut såhär:

Tre saker du behöver veta för varje krack:

• -m hash-typ — vilken algoritm är hashen i? -m 0 = MD5, -m 100 = SHA-1, -m 3200 = bcrypt, -m 1000 = NTLM. (Lektion 2 lär dig identifiera typen.)
• -a attack-typ — vilken strategi? -a 0 = ordbok, -a 3 = mask, -a 6/-a 7 = hybrid. (Lektion 3-6 går igenom dem.)
• Hashfil — en textfil med en hash per rad.
• Källa — ordlistans sökväg, eller masken, beroende på attack-typ.

04Din första krackning

Här är en faktisk demo, körd nyss på vår server. Vi har tre MD5-hashar och en mini-ordlista:

# hashar att knäcka
cat demo.hash
5f4dcc3b5aa765d61d8327deb882cf99
c454085df514ce66b7d124ee8d60fb85
b1999637949ed135b2ca03f3a38460cc

# vår mini-ordlista
cat tiny-wordlist.txt
hej
password
123456
kanin
hund
sverige
qwerty
admin

# kör attacken: MD5 (-m 0), ordbok (-a 0)
hashcat -m 0 -a 0 demo.hash tiny-wordlist.txt

Resultatet på ~0,01 sekunder (notera "Recovered: 3/3"):

hashcat (v6.2.6) starting

c454085df514ce66b7d124ee8d60fb85:kanin
5f4dcc3b5aa765d61d8327deb882cf99:password
b1999637949ed135b2ca03f3a38460cc:sverige

Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 0 (MD5)
Hash.Target......: demo.hash
Time.Started.....: Tue May 19 18:18:03 2026
Time.Estimated...: Tue May 19 18:18:03 2026 (0 secs)
Speed.#1.........:      160 H/s
Recovered........: 3/3 (100.00%) Digests
Progress.........: 8/8 (100.00%)
Hardware.Mon.#1..: Temp: 33c Util: 24%

Knäckta. På noll sekunder. Det här är vad som händer på riktigt när en sajt har dåligt hashade lösenord och de hamnar i en angripares ordlista.

05Förstå utdatan

• Recovered: 3/3 — hur många hashar som knäcktes. Alla tre här.
• Time.Estimated — uppskattning av hur länge det skulle ha tagit att gå igenom hela ordlistan. Här: noll, för ordlistan var pytteliten.
• Speed — gissningar per sekund. 160 H/s är bara för att ordlistan slut innan hashcat hunnit varma upp. Mot en stor ordlista och samma hash-typ på samma CPU: ~315 MH/s (315 miljoner per sekund).
• Hardware.Mon — temperatur och CPU/GPU-användning. 33°C är ingen stress.

06Vad du lärt dig i den här lektionen

• Hashcat är ett kommandoradsverktyg som testar gissningar mot hashar tills något matchar
• Grundsyntax: hashcat -m <typ> -a <strategi> <hashfil> <källa>
• Med en bra ordlista och svaga hashar är knäckning omedelbar
• Du måste alltid veta hash-typen — fel -m ger noll träffar (vi tar det i lektion 2)
• Du kan köra själv lokalt eller i vårt labb — båda funkar