 [PHP][inne]Hasło admina i mały zonk :) |
| [PHP][inne]Hasło admina i mały zonk :) |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 0 Dołączył: 23.06.2009 Ostrzeżenie: (10%) 
 |
Na jednej ze stronek mam konto admina.
Hasło jest kodowane w MD5 przy pomocy prefixu (klucza). Jeśli znam prefix i kod w MD5 to jak odkodować hasło ? Ten post edytował mefistofeles 7.01.2010, 22:26:59 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%) 
|
Bruteforce, albo tęczowa tablica.
BTW fajny zbieg okoliczności (IMG:style_emoticons/default/biggrin.gif) . |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 673 Pomógł: 106 Dołączył: 31.12.2008 Ostrzeżenie: (0%)
|
pozostaje mi tylko życzyć powodzenia w odszyfrowaniu! (IMG:style_emoticons/default/wstydnis.gif)
PS md5 działa w jedną stronę, choć pewnie w sieci znajdziesz jakieś "dekodery", ale nie wiadomo czy skuteczne (IMG:style_emoticons/default/worriedsmiley.gif) |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 0 Dołączył: 23.06.2009 Ostrzeżenie: (10%)
|
O kurde (IMG:style_emoticons/default/smile.gif)
NO to fest hehehe. Jako brat z piekieł powinienneś wiedzieć że znając klucz można poznać hasło. Na tym polega 'przypomnienie hasla' , jakimś cudem podaje jednak zakodowane hasło (zwykle jednak stosuje się generowanie nowego) EDIT Myślałem że ten prefiks pomoże mi to odkodować a całkiem zapomniałem że to po prostu string który jest dodawany do każdego hasła żeby było niemożliwym jego odkodowanie (IMG:style_emoticons/default/sad.gif) Ten post edytował mefistofeles 7.01.2010, 22:53:25 |
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 728 Pomógł: 76 Dołączył: 12.06.2009 Ostrzeżenie: (0%)
|
try this -> http://md5.web-max.ca/
|
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 0 Dołączył: 23.06.2009 Ostrzeżenie: (10%)
|
Już sprawdzałem , nie da się.
Jakbym nie dodawał tego stringa na początku hasła to by pewnie poszło no ale cóż. To że znam prefix w tym wypadku na nic mi się zda ... |
|
|
|
|
Post
#7
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
No to skoro masz konto admina, to chyba powinieneś mieć możliwość zmiany tego hasła z poziomu konfiguracji, nie?
|
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 0 Dołączył: 23.06.2009 Ostrzeżenie: (10%)
|
To chyba oczywiste, ale chodzi mi o jego przypomnienie...
|
|
|
|
|
Post
#9
|
|
|
Grupa: Moderatorzy Postów: 4 362 Pomógł: 714 Dołączył: 12.02.2009 Skąd: Jak się położę tak leżę :D |
Właśnie dlatego stosuje się prefix i/lub suffix zwane zwyczajowo solami. Mają one za zadanie utrudniać korzystanie z tęczowych tablic. Bo co to jest "tęczowa tablica"? Ujmując to najprościej -> To zwyczajny zbiór hashy z określonej grupy wyrazów. Im więcej ich tym większa szansa na "złamanie". Ale w najprostszej postaci można to skrócić do: "znajdź mój hash to powiem Ci jakim hasłem jestem", bo md5 jest algorytmem jednostronnym, czyli stratnym i po użyciu go tracisz w zasadzie informację o szyfrowanym ciągu znaków. Doklejając odpowiednią sól tworzysz ciąg niespotykany w słownikach, trudny do rozgryzienia i zapewne nie występujący "normalnie". Znając sól możesz ewentualnie doklejać ją do wyrazów jakie wpadną Ci do głowy i sobie sam wygenerować "tęczową tablicę" dla tej soli. A wystarczy, że admin stworzy skrypt, który automatycznie co jakiś czas sam sobie będzie generował sól ( a co... jak szaleć to szaleć (IMG:style_emoticons/default/winksmiley.jpg) ) i "d.pa zbita" (IMG:style_emoticons/default/tongue.gif) Wymaga to pewnej pomysłowości, ale nie jest niemożliwe stworzenie takiej klasy logowania (IMG:style_emoticons/default/smile.gif) Trzeba mieć tylko dobry pomysł na to i w moim pomyśle zakłada pewną nadmiarową ilość danych, tyle, że wtedy każdy user ma zupełnie inną sól niż inny user tego samego serwisu i na dodatek zmienia się ona co jakiś czas. Dla typowego chacx0ra jest więc niemożliwe dostać się na dwa konta bez realnej znajomości hasła, gdyż nawet jeśli odgadnie jakiej soli użyłem dla jednego i wygeneruje sobie "tęczę" na tej podstawie to polegnie na innym userze który ma ją zupełnie inną i hashe są już nie do niej. Musiałby się dobrać do bazy danych i tabeli, gdzie przechowywałbym sole dla każdego użytkownika i znać dodatkowo algorytm działania generowania hasha ostatecznego. Tego script-kiddie nie potrafią zrobić.
EDIT: Skoro jesteś adminem to chyba masz dostęp do bazy danych. Racja? To czemu nie zrobisz czegoś odwrotnego? Ja tak zrobiłem gdy zapomniałem hasła głównego admina w swoim serwisie. (admini mają dwa hasła, jedno do logowania i dodatkowe gdy chcą potwierdzać co poważniejsze operacje, i tego drugiego zapomniałem). Wymyśl sobie hasło i potraktuj algorytmem hashującym. Tak wygenerowany wklej na pałę do bazy danych w pole przechowujące hash. Teraz się logujesz (IMG:style_emoticons/default/winksmiley.jpg) Metoda chamska i można powiedzieć, że to gwałt webmasterski, ale ważne, że skuteczna (IMG:style_emoticons/default/laugh.gif) Ten post edytował thek 7.01.2010, 23:59:38 |
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 0 Dołączył: 23.06.2009 Ostrzeżenie: (10%)
|
Jak zwykle konkretna odpowiedź (IMG:style_emoticons/default/smile.gif)
Łatwo zmienić sobie hasło ale ciężej przypomnieć sobie jakie się miało. Chciałem je odzyskać bo w innym miejscu używałem identycznego i dostałem bloka. W każdym razie tu się nie udało, ale na inne stronce gdzie nie używałem md5 z prze i przyrostkami tylko podwójnego kodowania (hash md5 jest ponownie kodowany w md5 (IMG:style_emoticons/default/smile.gif) udało mi się złamać to właśnie hasło) Dla chcącego nic trudnego :] Ten post edytował mefistofeles 11.01.2010, 22:20:25 |
|
|
|
 |
|
Aktualny czas: 24.08.2025 - 10:22 |
