 [PHP][inne]Hasło admina i mały zonk :) |
| [PHP][inne]Hasło admina i mały zonk :) |
 7.01.2010, 22:26:14
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 0 Dołączył: 23.06.2009 Ostrzeżenie: (10%) 
 |
Na jednej ze stronek mam konto admina.
Hasło jest kodowane w MD5 przy pomocy prefixu (klucza). Jeśli znam prefix i kod w MD5 to jak odkodować hasło ? Ten post edytował mefistofeles 7.01.2010, 22:26:59 |
 |
 
|
 |
|
7.01.2010, 23:53:07
Post
#2
|
|
 Grupa: Moderatorzy Postów: 4 362 Pomógł: 714 Dołączył: 12.02.2009 Skąd: Jak się położę tak leżę :D |
Właśnie dlatego stosuje się prefix i/lub suffix zwane zwyczajowo solami. Mają one za zadanie utrudniać korzystanie z tęczowych tablic. Bo co to jest "tęczowa tablica"? Ujmując to najprościej -> To zwyczajny zbiór hashy z określonej grupy wyrazów. Im więcej ich tym większa szansa na "złamanie". Ale w najprostszej postaci można to skrócić do: "znajdź mój hash to powiem Ci jakim hasłem jestem", bo md5 jest algorytmem jednostronnym, czyli stratnym i po użyciu go tracisz w zasadzie informację o szyfrowanym ciągu znaków. Doklejając odpowiednią sól tworzysz ciąg niespotykany w słownikach, trudny do rozgryzienia i zapewne nie występujący "normalnie". Znając sól możesz ewentualnie doklejać ją do wyrazów jakie wpadną Ci do głowy i sobie sam wygenerować "tęczową tablicę" dla tej soli. A wystarczy, że admin stworzy skrypt, który automatycznie co jakiś czas sam sobie będzie generował sól ( a co... jak szaleć to szaleć
 ) i "d.pa zbita"  Wymaga to pewnej pomysłowości, ale nie jest niemożliwe stworzenie takiej klasy logowania  Trzeba mieć tylko dobry pomysł na to i w moim pomyśle zakłada pewną nadmiarową ilość danych, tyle, że wtedy każdy user ma zupełnie inną sól niż inny user tego samego serwisu i na dodatek zmienia się ona co jakiś czas. Dla typowego chacx0ra jest więc niemożliwe dostać się na dwa konta bez realnej znajomości hasła, gdyż nawet jeśli odgadnie jakiej soli użyłem dla jednego i wygeneruje sobie "tęczę" na tej podstawie to polegnie na innym userze który ma ją zupełnie inną i hashe są już nie do niej. Musiałby się dobrać do bazy danych i tabeli, gdzie przechowywałbym sole dla każdego użytkownika i znać dodatkowo algorytm działania generowania hasha ostatecznego. Tego script-kiddie nie potrafią zrobić.EDIT: Skoro jesteś adminem to chyba masz dostęp do bazy danych. Racja? To czemu nie zrobisz czegoś odwrotnego? Ja tak zrobiłem gdy zapomniałem hasła głównego admina w swoim serwisie. (admini mają dwa hasła, jedno do logowania i dodatkowe gdy chcą potwierdzać co poważniejsze operacje, i tego drugiego zapomniałem). Wymyśl sobie hasło i potraktuj algorytmem hashującym. Tak wygenerowany wklej na pałę do bazy danych w pole przechowujące hash. Teraz się logujesz Metoda chamska i można powiedzieć, że to gwałt webmasterski, ale ważne, że skuteczna 
Ten post edytował thek 7.01.2010, 23:59:38 -------------------- Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
|
|
|
|
mefistofeles [PHP][inne]Hasło admina i mały zonk :) 7.01.2010, 22:26:14 
Mephistofeles Bruteforce, albo tęczowa tablica.
BTW fajny zbieg ... 7.01.2010, 22:30:45 r4xz pozostaje mi tylko życzyć powodzenia w odszyfrowan... 7.01.2010, 22:32:45 mefistofeles O kurde
NO to fest hehehe.
Jako brat z piekieł p... 7.01.2010, 22:52:08 amii try this -> http://md5.web-max.ca/ 7.01.2010, 22:52:35 mefistofeles Już sprawdzałem , nie da się.
Jakbym nie dodawał t... 7.01.2010, 22:54:55 erix No to skoro masz konto admina, to chyba powinieneś... 7.01.2010, 23:05:37 mefistofeles To chyba oczywiste, ale chodzi mi o jego przypomni... 7.01.2010, 23:17:33 
mefistofeles Jak zwykle konkretna odpowiedź
Łatwo zmienić sobi... 11.01.2010, 22:19:13  |
|
Wersja Lo-Fi | Aktualny czas: 28.06.2025 - 16:13 |
