[inne]kodowanie md5., Dlaczego decodery nie mogą tego rozkodować. Opcje

[miras]

Witam, mam następujący problem - na moim forum ( IPboard ) niby hasła są kodowane w md5, a jeżeli wezmę swoje hasło z forum phpbyprzemo to każdy decoder mi je bez problemu rozkoduje, dlaczego nie może rozkodować hasła z IPboard ? tutaj dam przykładowe:

af19ccc5e279b5aa04c7800a3d90d035

[cycofiasz]

Za pewne zastosowali tzw. sól (salt) lub/i zwielokrotnienie hashowania

[wNogachSpisz]

Osobiście lubię też potraktować hash przy pomocy strrev :-]

[miras]

Z tego, co się dowiedziałem to tak są kodowane hasła, da się to jakoś rozgryźć ?

[PHP] pobierz, plaintext 
  public static function makePassword()
        {
        static public function generateCompiledPasshash( $salt, $md5_once_password )
        {
        static public function generatePasswordSalt($len=5)
        {
[PHP] pobierz, plaintext 

[mortus]

Wynika z tego, że hasła są solone (domyślnie 5-cio znakowym ciągiem znaków), a wygenerowana sól jest zapisywana najprawdopodobniej w bazie danych. Musiałbyś zatem mieć dostęp do tej informacji w bazie danych, a dodatkowo znać sposób działania/ciało metody generateCompiledPasshash().

[!*!]

[inne]kodowanie md5., Dlaczego decodery nie mogą tego rozkodować.

Kolejny. MD5 to nie kodowanie...

Witam, mam następujący problem - na moim forum ( IPboard ) niby hasła są kodowane w md5, a jeżeli wezmę swoje hasło z forum phpbyprzemo to każdy decoder mi je bez problemu rozkoduje, dlaczego nie może rozkodować hasła z IPboard ? tutaj dam przykładowe:

Twoje hasło jest słabe. Te dekodery o których wspominasz to nic innego jak sprawdzanie ciągu znaków, a nie żadne dekodowanie hasha jakim jest md5. Nie możesz tego w prosty sposób porównać bo potrzebna jest Ci sól jaka została dołączona

[PHP] pobierz, plaintext 
$sol = '!G&^G!&!(1';
md5('TwojeHaslo'.$sol);
[PHP] pobierz, plaintext 

Nawet jeśli poznasz sól i metodę jej dodawania do hasła, to nie jest powiedziane że hasło będzie proste samo w sobie i będzie w bazie takiego "dekodera online".

[miras]

Mam dostęp do bazy, tzn. już teraz tylko do kopii, ale to zawsze można odtworzyć, a co do działania ten funkcji, to jestem w lesie..

!*! Metoda dobra, tylko gorzej z tymi "dekoderami online", bo nie znajdują tego hasła..

[!*!]

Po to właśnie wynaleźli sól do md5 żeby ich nie móc "dekodować", to chyba logiczne. Po co Ci wiedzieć jakie masz hasła w bazie?

Ten post edytował !*! 6.05.2012, 13:11:21

[Kshyhoo]

A ja przypomnę, że na tym forum nie pomagamy łamać zabezpieczeń, więc lepiej zakończyć dyskusję...

[miras]

Tak, rozumiem, tylko że, to jest moje - zmienione przez pewną złośliwą osobę hasło..

[!*!]

I co z tego? Zmień je i po sprawie.

[miras]

hm, nie mogę - został mi tylko dostęp do ftp - mail + stare hasło zostały zmienione, dane do phpmyadmina również - mam tylko ostatnią kopię bazy danych, która automatycznie się utworzyła na ftp już po zmianie mojego hasła.

[!*!]

hm, nie mogę - został mi tylko dostęp do ftp - mail + stare hasło zostały zmienione, dane do phpmyadmina również - mam tylko ostatnią kopię bazy danych, która automatycznie się utworzyła na ftp już po zmianie mojego hasła.

Jeśli jesteś adminem, zmiana hasła do czegokolwiek to nie problem, jeśli nie to się do niego zgłoś.

[miras]

Nie rozumiesz, ja i mój pseudo kolega prowadziliśmy to forum, pewnego dnia po pewnym starciu, on zmienił moje dane ( admin adminowi ) + dane do phpmyadmin i mogę zapomnieć o zmianie hasła z jego strony, a forum też nie przeniosę bo licencja IPboard jest na host..

[!*!]

A czyj to hosting? Twój czy jego? Jeśli jego, to nie masz nic do gadania. Poza tym forum ma coś takiego jak "przypomnij hasło" email podany przy rejestracji też Ci zmienił?


Ten post edytował !*! 6.05.2012, 13:41:05

[miras]

to jest vps, na który się zrzucaliśmy.. tak to jest ze 'spółkami' ..

Email przy rejestracji również zmieniony, no nic chyba sobie odpuszczę, bo to walka z wiatrakami.

Dane do vpsa również zmienione - mam tylko dane ftp do serwera www.

Ten post edytował miras 6.05.2012, 13:48:34

[!*!]

Ale kto go kupił i kto ma do niego dostęp i papier że to jego?

[redeemer]

http://hashcat.net/oclhashcat-plus/ Ale musisz mieć dobre GPU.

Ten post edytował redeemer 6.05.2012, 13:49:56

[miras]

w biznes-hoscie w panelu są moje dane, co z tego skoro nie mam nawet do niego danych, ale to za dużo zachodu (IMG:style_emoticons/default/wink.gif) , trudno się mówi.

[Daiquiri]

Nie pomagamy w łamaniu zabezpieczeń i dlatego temat zamykam. Jeżeli jednak opłaciłeś swoją część VPSa, możesz sprawę zgłosić jako kradzież lub (jako, że Twoje dane widnieją w panelu), zainteresować tym faktem firmę, u której "dokonaliście" zakupu. Nie wiem w jaki sposób możesz się uwiarygodnić.

Jeżeli chcesz uzyskać podpowiedzi "co dalej" (jednak nie poprzez łamanie zabezpieczeń), załóż temat w Hydeparku (IMG:style_emoticons/default/smile.gif) .