Na jednej ze stronek mam konto admina.
Has³o jest kodowane w MD5 przy pomocy prefixu (klucza).
Je¶li znam prefix i kod w MD5 to jak odkodowaæ has³o ?
Pe³na wersja: [PHP][inne]Has³o admina i ma³y zonk :)
Bruteforce, albo têczowa tablica.
BTW fajny zbieg okoliczno¶ci
.
BTW fajny zbieg okoliczno¶ci
.
pozostaje mi tylko ¿yczyæ powodzenia w odszyfrowaniu! 
PS md5 dzia³a w jedn± stronê, choæ pewnie w sieci znajdziesz jakie¶ "dekodery", ale nie wiadomo czy skuteczne
PS md5 dzia³a w jedn± stronê, choæ pewnie w sieci znajdziesz jakie¶ "dekodery", ale nie wiadomo czy skuteczne
O kurde 
NO to fest hehehe.
Jako brat z piekie³ powinienne¶ wiedzieæ ¿e znaj±c klucz mo¿na poznaæ has³o.
Na tym polega 'przypomnienie hasla' , jakim¶ cudem podaje jednak zakodowane has³o (zwykle jednak stosuje siê
generowanie nowego)
EDIT
My¶la³em ¿e ten prefiks pomo¿e mi to odkodowaæ a ca³kiem zapomnia³em ¿e to po prostu string który jest dodawany do ka¿dego
has³a ¿eby by³o niemo¿liwym jego odkodowanie
NO to fest hehehe.
Jako brat z piekie³ powinienne¶ wiedzieæ ¿e znaj±c klucz mo¿na poznaæ has³o.
Na tym polega 'przypomnienie hasla' , jakim¶ cudem podaje jednak zakodowane has³o (zwykle jednak stosuje siê
generowanie nowego)
EDIT
My¶la³em ¿e ten prefiks pomo¿e mi to odkodowaæ a ca³kiem zapomnia³em ¿e to po prostu string który jest dodawany do ka¿dego
has³a ¿eby by³o niemo¿liwym jego odkodowanie
try this -> http://md5.web-max.ca/
Ju¿ sprawdza³em , nie da siê.
Jakbym nie dodawa³ tego stringa na pocz±tku has³a to by pewnie posz³o no ale có¿.
To ¿e znam prefix w tym wypadku na nic mi siê zda ...
Jakbym nie dodawa³ tego stringa na pocz±tku has³a to by pewnie posz³o no ale có¿.
To ¿e znam prefix w tym wypadku na nic mi siê zda ...
No to skoro masz konto admina, to chyba powiniene¶ mieæ mo¿liwo¶æ zmiany tego has³a z poziomu konfiguracji, nie?
To chyba oczywiste, ale chodzi mi o jego przypomnienie...
W³a¶nie dlatego stosuje siê prefix i/lub suffix zwane zwyczajowo solami. Maj± one za zadanie utrudniaæ korzystanie z têczowych tablic. Bo co to jest "têczowa tablica"? Ujmuj±c to najpro¶ciej -> To zwyczajny zbiór hashy z okre¶lonej grupy wyrazów. Im wiêcej ich tym wiêksza szansa na "z³amanie". Ale w najprostszej postaci mo¿na to skróciæ do: "znajd¼ mój hash to powiem Ci jakim has³em jestem", bo md5 jest algorytmem jednostronnym, czyli stratnym i po u¿yciu go tracisz w zasadzie informacjê o szyfrowanym ci±gu znaków. Doklejaj±c odpowiedni± sól tworzysz ci±g niespotykany w s³ownikach, trudny do rozgryzienia i zapewne nie wystêpuj±cy "normalnie". Znaj±c sól mo¿esz ewentualnie doklejaæ j± do wyrazów jakie wpadn± Ci do g³owy i sobie sam wygenerowaæ "têczow± tablicê" dla tej soli. A wystarczy, ¿e admin stworzy skrypt, który automatycznie co jaki¶ czas sam sobie bêdzie generowa³ sól ( a co... jak szaleæ to szaleæ 
) i "d.pa zbita" 
Wymaga to pewnej pomys³owo¶ci, ale nie jest niemo¿liwe stworzenie takiej klasy logowania Trzeba mieæ tylko dobry pomys³ na to i w moim pomy¶le zak³ada pewn± nadmiarow± ilo¶æ danych, tyle, ¿e wtedy ka¿dy user ma zupe³nie inn± sól ni¿ inny user tego samego serwisu i na dodatek zmienia siê ona co jaki¶ czas. Dla typowego chacx0ra jest wiêc niemo¿liwe dostaæ siê na dwa konta bez realnej znajomo¶ci has³a, gdy¿ nawet je¶li odgadnie jakiej soli u¿y³em dla jednego i wygeneruje sobie "têczê" na tej podstawie to polegnie na innym userze który ma j± zupe³nie inn± i hashe s± ju¿ nie do niej. Musia³by siê dobraæ do bazy danych i tabeli, gdzie przechowywa³bym sole dla ka¿dego u¿ytkownika i znaæ dodatkowo algorytm dzia³ania generowania hasha ostatecznego. Tego script-kiddie nie potrafi± zrobiæ.
EDIT: Skoro jeste¶ adminem to chyba masz dostêp do bazy danych. Racja? To czemu nie zrobisz czego¶ odwrotnego? Ja tak zrobi³em gdy zapomnia³em has³a g³ównego admina w swoim serwisie. (admini maj± dwa has³a, jedno do logowania i dodatkowe gdy chc± potwierdzaæ co powa¿niejsze operacje, i tego drugiego zapomnia³em). Wymy¶l sobie has³o i potraktuj algorytmem hashuj±cym. Tak wygenerowany wklej na pa³ê do bazy danych w pole przechowuj±ce hash. Teraz siê logujesz Metoda chamska i mo¿na powiedzieæ, ¿e to gwa³t webmasterski, ale wa¿ne, ¿e skuteczna 
) i "d.pa zbita" Wymaga to pewnej pomys³owo¶ci, ale nie jest niemo¿liwe stworzenie takiej klasy logowania Trzeba mieæ tylko dobry pomys³ na to i w moim pomy¶le zak³ada pewn± nadmiarow± ilo¶æ danych, tyle, ¿e wtedy ka¿dy user ma zupe³nie inn± sól ni¿ inny user tego samego serwisu i na dodatek zmienia siê ona co jaki¶ czas. Dla typowego chacx0ra jest wiêc niemo¿liwe dostaæ siê na dwa konta bez realnej znajomo¶ci has³a, gdy¿ nawet je¶li odgadnie jakiej soli u¿y³em dla jednego i wygeneruje sobie "têczê" na tej podstawie to polegnie na innym userze który ma j± zupe³nie inn± i hashe s± ju¿ nie do niej. Musia³by siê dobraæ do bazy danych i tabeli, gdzie przechowywa³bym sole dla ka¿dego u¿ytkownika i znaæ dodatkowo algorytm dzia³ania generowania hasha ostatecznego. Tego script-kiddie nie potrafi± zrobiæ.EDIT: Skoro jeste¶ adminem to chyba masz dostêp do bazy danych. Racja? To czemu nie zrobisz czego¶ odwrotnego? Ja tak zrobi³em gdy zapomnia³em has³a g³ównego admina w swoim serwisie. (admini maj± dwa has³a, jedno do logowania i dodatkowe gdy chc± potwierdzaæ co powa¿niejsze operacje, i tego drugiego zapomnia³em). Wymy¶l sobie has³o i potraktuj algorytmem hashuj±cym. Tak wygenerowany wklej na pa³ê do bazy danych w pole przechowuj±ce hash. Teraz siê logujesz
Metoda chamska i mo¿na powiedzieæ, ¿e to gwa³t webmasterski, ale wa¿ne, ¿e skuteczna
Jak zwykle konkretna odpowied¼
£atwo zmieniæ sobie has³o ale ciê¿ej przypomnieæ sobie jakie siê mia³o.
Chcia³em je odzyskaæ bo w innym miejscu u¿ywa³em identycznego i dosta³em bloka.
W ka¿dym razie tu siê nie uda³o, ale na inne stronce gdzie nie u¿ywa³em md5 z prze i przyrostkami
tylko podwójnego kodowania (hash md5 jest ponownie kodowany w md5 uda³o mi siê z³amaæ to w³a¶nie has³o)
Dla chc±cego nic trudnego :]
£atwo zmieniæ sobie has³o ale ciê¿ej przypomnieæ sobie jakie siê mia³o.
Chcia³em je odzyskaæ bo w innym miejscu u¿ywa³em identycznego i dosta³em bloka.
W ka¿dym razie tu siê nie uda³o, ale na inne stronce gdzie nie u¿ywa³em md5 z prze i przyrostkami
tylko podwójnego kodowania (hash md5 jest ponownie kodowany w md5
uda³o mi siê z³amaæ to w³a¶nie has³o)Dla chc±cego nic trudnego :]
To jest wersja lo-fi g³ównej zawarto¶ci. Aby zobaczyæ pe³n± wersjê z wiêksz± zawarto¶ci±, obrazkami i formatowaniem proszê kliknij tutaj.