Zajimavost: Crackovani MD5 hashe – PHP – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Zajimavost: Crackovani MD5 hashe – PHP – Fórum – Programujte.comZajimavost: Crackovani MD5 hashe – PHP – Fórum – Programujte.com

 

21. 1. 2007   #1
-
0
-

http://bokehman.com/cracker/

Zajimavy skriptik, ktery otestuje odolnost vaseho hesla proti rozlousknuti v pripade precteni md5 hashe. Moje numericke ctyrciferne heslo rozlousknul behem 123 milisekund.

Zkousi nejdrive slovnikovy utok (na anglicka slova) - to je velice rychla metoda kterou rolouskne i dlouha slova (treba slovo "chicken" rozlouskl uplne hned). pak zkousi cisla az do 99999 (tim rozdelal to moje) a nakonec normalni brute force - to mu trva nejdele a bohuzel ma velice maly casovy limit, takze i tripismenna slova nerozlouskne.

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
olgo0
Věrný člen
21. 1. 2007   #2
-
0
-

pekne ale skoda toho casoveho limitu (inak toto je dobri napad ako si cracker doplni wordlist necha ta testovat si hesla =:-)

Nahlásit jako SPAM
IP: ...–
"Boze, dopraj mi, prosim ta, petdesiat rokov prace a zabavy, a potom nahlu smrt v spanku." J. Grisham
21. 1. 2007   #3
-
0
-

Ono neni nic tezkeho neco takoveho naprogramovat - vzdyt zakladni princip je velice jednoduchy. Tam bych videl jako problem schaneni toho wordlistu se 120000 slovy, ale ani to neni nejak zasadni (nekde jsem neco takoveho videl, ale nepamatuju si kde)

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
Beduin
~ Anonymní uživatel
15 příspěvků
21. 1. 2007   #4
-
0
-

To CommanderZ: Na jakém principu to teda funguje? Jako že tam uděláš cyklus kterej generuje hesla, které pak zašifuje do MD5 a porovnává se zadaným md5?

Nahlásit jako SPAM
IP: ...–
21. 1. 2007   #5
-
0
-

No jasne, proste vygeneruje string, zakoduje ho do md5 a pak to porovna. Logicky to ovsem prestane byt funkcni ve chvili kdy je k sfrovani pouzit jeste klic.

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
Jakub0
Super člen
21. 1. 2007   #6
-
0
-

O důvod víc proč nepoužívat md5(), ale crypt() nebo sha(x)() s vlastní příměsí a denně povolit jen pár neplatných pokusů na každou ip o přihlášení na jedno uživatelké jméno. To ale asi taky nebude nejlepší, páč soused na stejné ip by mohl lehce zablokovat účet. Pravděpodobně by bylo ideální nasbírat co nejvíc infromací o uživateli. I když si myslím, že tento algorytmus je celkem slabý, protože odhalí jen ty nejtriviálnější hesla.

Nahlásit jako SPAM
IP: ...–
Věřím, že můžete v životě získat všechno, co budete chtít, když budete pomáhat druhým lidem, aby dostali to, co si přejí oni. - Zig Ziglar TOPlist
21. 1. 2007   #7
-
0
-

Ono tady jde o situaci, kdy mekdo odnekud zjisti hash hesla a chce zjistit co ze za nim skryva. Na to nepotrebuje zadne pokusy.

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
DeaLer+2
Hero
21. 1. 2007   #8
-
0
-

To D1ce: A co takhle to zašifrovat s pomocí AES šifry Rijndael?

Nahlásit jako SPAM
IP: ...–
Dušan Janošík | web: djanosik.cz, @djanosik
Jakub0
Super člen
21. 1. 2007   #9
-
0
-

DeaLer píše:#
# To D1ce: A co takhle to zašifrovat s pomocí AES šifry Rijndael?


Nevypadá vůbec špatně, tuším, mcrypt extension tohle dokáže, je jen škoda, že to je rozšíření a ne součást php core.

Nahlásit jako SPAM
IP: ...–
Věřím, že můžete v životě získat všechno, co budete chtít, když budete pomáhat druhým lidem, aby dostali to, co si přejí oni. - Zig Ziglar TOPlist
olgo0
Věrný člen
22. 1. 2007   #10
-
0
-
Nahlásit jako SPAM
IP: ...–
"Boze, dopraj mi, prosim ta, petdesiat rokov prace a zabavy, a potom nahlu smrt v spanku." J. Grisham
Marek Štafl0
Stálý člen
3. 2. 2007   #11
-
0
-

Teda, když jsem si tady přečetl to Vaše povídání, tak mě napadlo něco takového vyzkoušet (myslím tím to vygenerování hesla z MD5). Zkoušel jsem to jen na číselné heslo a zjednodušeně jsem nebral v úvahu hesla začínající nulou (zajímala mě spíš jen rychlost). Takže cyklus probíhal klasicky od nuly a zašifrované číslo 5237237 to našlo za 46 vteřin což vychází na nějakých 114 tisíc cyklů za vteřinu. To je docela mazec, nikdy by mě nenapadlo, že to může být takový fofr!

Nahlásit jako SPAM
IP: ...–
3. 2. 2007   #12
-
0
-

Ale pismenka jsou o dost vetsi mazec ;)

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
Marek Štafl0
Stálý člen
3. 2. 2007   #13
-
0
-

To jo, ale nechtělo se mi to dělat :) Ale zajímá mě to, možná to zkusím...

Nahlásit jako SPAM
IP: ...–
3. 2. 2007   #14
-
0
-

hm...ja jsem si udelal neco podobneho, proste jsem pomoci cyklu nahodne generoval retezce a porovnaval s hashem. 4mistna hesla nebyl zadny problem, do nekolika minut ho rozlousknul. Potom ovsem uz to slo geometrickou radou nahoru, 8misnte heslo (jake pouzivam bezne) by trvalo v radech desitek az stovek let na mym procesoru;) To vse bylo za predpokladu, ze uzivatel v hesle nepouziva specialni znaky jako ,.-!......

Nahlásit jako SPAM
IP: ...–
olgo0
Věrný člen
4. 2. 2007   #15
-
0
-

To tobik: tak to je cas vyuzit moznisti ktore md5 poskytuje. totizto z akehokolvek retazcu vypluje 16b dlhy kod to znamena ked dobre pocitam je to 16^256 variácií (tušim su to variacie). a je teda rozumnejsie postupne generovat pomocou bruteforce metody retazce, ukladat ih do db a ked sa vhodne indexuju tak ich hladanie nebude az tak velky (casovy) problem. bolo by skratka zbytocne koli kazdemu heslu zabit sto rokov. heslo: "moje_super_najnajnajtajnejsie_heslo" moze mat rovnaky md5(hash) ako napr: "5x_8(k" to znamena ze staci zhotovit databazu iba s 16^256 zaznammi a mate vyhrane =:-)

EDIT: omluvam sa je to blud ma to byt 256^16 co je 3,4028236692093846346337460743177e+38. a teda podstatne menej.

Nahlásit jako SPAM
IP: ...–
"Boze, dopraj mi, prosim ta, petdesiat rokov prace a zabavy, a potom nahlu smrt v spanku." J. Grisham
4. 2. 2007   #16
-
0
-

A kolik presne je 16^256? Moje kalkulacka to nespocita.

Nahlásit jako SPAM
IP: ...–
Prosím, jestli potřebujete s něčím poradit,zeptejte se na fóru. Jakýkoliv bezdůvodný pokus mě kontaktovat skončí okamžitým přidáním do ignore listu![br][br] Současný počet osob, které to nepochopily: 7
Jakub Vojáček
~ Moderátor
0
Grafoman
4. 2. 2007   #17
-
0
-

CommanderZ píše:#
# A kolik presne je 16^256? Moje kalkulacka to nespocita.


179769313486231590772930519078902473361797697894230657273430081157732675805500963132708477322407536021120113879871393357658789768814416622492847430639474124377767893424865485276302219601246094119453082952085005768838150682342462881473913110540827237163350510684586298239947245938479716304835356329624224137216

co tohle?

Nahlásit jako SPAM
IP: ...–
Navštivte server Matematika pro každého
Najdete zde články zabývající se matematikou základních a středních škol a databázi hlavolamů.
Pro vyzkoušení Vaš
olgo0
Věrný člen
4. 2. 2007   #18
-
0
-

To Blujacker: pocet miest sedi som to umocnil v php skripte a spocital to celkom presne: infinity
To CommanderZ: k čomuže tolka presnost ked tam je ^256 tak to vies ze je to kua moc

Nahlásit jako SPAM
IP: ...–
"Boze, dopraj mi, prosim ta, petdesiat rokov prace a zabavy, a potom nahlu smrt v spanku." J. Grisham
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 28 hostů

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý