Witam, mam następujący problem - na moim forum ( IPboard ) niby hasła są kodowane w md5, a jeżeli wezmę swoje hasło z forum phpbyprzemo to każdy decoder mi je bez problemu rozkoduje, dlaczego nie może rozkodować hasła z IPboard ? tutaj dam przykładowe:

af19ccc5e279b5aa04c7800a3d90d035

Za pewne zastosowali tzw. sól (salt) lub/i zwielokrotnienie hashowania

Osobiście lubię też potraktować hash przy pomocy strrev :-]

Z tego, co się dowiedziałem to tak są kodowane hasła, da się to jakoś rozgryźć ?

[PHP] pobierz, plaintext 
  public static function makePassword()
        {
        static public function generateCompiledPasshash( $salt, $md5_once_password )
        {
        static public function generatePasswordSalt($len=5)
        {
[PHP] pobierz, plaintext 

Wynika z tego, że hasła są solone (domyślnie 5-cio znakowym ciągiem znaków), a wygenerowana sól jest zapisywana najprawdopodobniej w bazie danych. Musiałbyś zatem mieć dostęp do tej informacji w bazie danych, a dodatkowo znać sposób działania/ciało metody generateCompiledPasshash().

Kolejny. MD5 to nie kodowanie...



Twoje hasło jest słabe. Te dekodery o których wspominasz to nic innego jak sprawdzanie ciągu znaków, a nie żadne dekodowanie hasha jakim jest md5. Nie możesz tego w prosty sposób porównać bo potrzebna jest Ci sól jaka została dołączona

[PHP] pobierz, plaintext 
$sol = '!G&^G!&!(1';
md5('TwojeHaslo'.$sol);
[PHP] pobierz, plaintext 

Nawet jeśli poznasz sól i metodę jej dodawania do hasła, to nie jest powiedziane że hasło będzie proste samo w sobie i będzie w bazie takiego "dekodera online".

Mam dostęp do bazy, tzn. już teraz tylko do kopii, ale to zawsze można odtworzyć, a co do działania ten funkcji, to jestem w lesie..

!*! Metoda dobra, tylko gorzej z tymi "dekoderami online", bo nie znajdują tego hasła..

Po to właśnie wynaleźli sól do md5 żeby ich nie móc "dekodować", to chyba logiczne. Po co Ci wiedzieć jakie masz hasła w bazie?

A ja przypomnę, że na tym forum nie pomagamy łamać zabezpieczeń, więc lepiej zakończyć dyskusję...

Tak, rozumiem, tylko że, to jest moje - zmienione przez pewną złośliwą osobę hasło..

I co z tego? Zmień je i po sprawie.

hm, nie mogę - został mi tylko dostęp do ftp - mail + stare hasło zostały zmienione, dane do phpmyadmina również - mam tylko ostatnią kopię bazy danych, która automatycznie się utworzyła na ftp już po zmianie mojego hasła.

Jeśli jesteś adminem, zmiana hasła do czegokolwiek to nie problem, jeśli nie to się do niego zgłoś.

Nie rozumiesz, ja i mój pseudo kolega prowadziliśmy to forum, pewnego dnia po pewnym starciu, on zmienił moje dane ( admin adminowi ) + dane do phpmyadmin i mogę zapomnieć o zmianie hasła z jego strony, a forum też nie przeniosę bo licencja IPboard jest na host..

A czyj to hosting? Twój czy jego? Jeśli jego, to nie masz nic do gadania. Poza tym forum ma coś takiego jak "przypomnij hasło" email podany przy rejestracji też Ci zmienił?

to jest vps, na który się zrzucaliśmy.. tak to jest ze 'spółkami' ..

Email przy rejestracji również zmieniony, no nic chyba sobie odpuszczę, bo to walka z wiatrakami.

Dane do vpsa również zmienione - mam tylko dane ftp do serwera www.

Ale kto go kupił i kto ma do niego dostęp i papier że to jego?

http://hashcat.net/oclhashcat-plus/ Ale musisz mieć dobre GPU.

w biznes-hoscie w panelu są moje dane, co z tego skoro nie mam nawet do niego danych, ale to za dużo zachodu , trudno się mówi.

Nie pomagamy w łamaniu zabezpieczeń i dlatego temat zamykam. Jeżeli jednak opłaciłeś swoją część VPSa, możesz sprawę zgłosić jako kradzież lub (jako, że Twoje dane widnieją w panelu), zainteresować tym faktem firmę, u której "dokonaliście" zakupu. Nie wiem w jaki sposób możesz się uwiarygodnić.

Jeżeli chcesz uzyskać podpowiedzi "co dalej" (jednak nie poprzez łamanie zabezpieczeń), załóż temat w Hydeparku .