SQL Injection a md5 + salt

HackForum

SQL Injection a md5 + salt#
Zdravím, registroval jsem se na nejmenovaném webu s heslem "blablabla", poté jsem použil SQL injection a vybaflo na mě několik stovek uživatelských jmen + hesla kryptovaná v MD5. Tak jsem začal louskat přes noc, cca 10 hodin a žádné heslo se nelousklo. Tak jsem si vyhledal svůj účet a nechal jsem crackovat pouze se znaky "b" "l" "a" do délky 10 znaků. Samozřejmě nic, v tu chvíli mě to došlo. Zřejmě se jedná o salt. Takže by mě zajímalo, jak zjistit jaký je salt a jestli vůbec má sql injection smysl, když se používá salt. A vůbec, kdyby to tak bylo, proč by nebyl salt všude?

Nejsem velký odborník na tuto problematiku, takže se možná nejedná o salt, ale zkoušel jsem i md5(md5) / md5(md5(md5))

Děkuji za jakoukoliv radu.
Daf.
(odpovědět)
Daf | 193.200.150.*24.7.2008 16:24
re: SQL Injection a md5 + salt#
a ty stranky jsou psane v cem? v php? muze se jednat o cokoliv, kde je pravdepodobne (ale ne jiste) posledni hashovaci funkci MD5 algoritmus. nezbyva ti nic nez zkouset kombinace MD5, SHA1 a funkce crypt(), kde lze definovat i salt. ten se bere zpravidla z loginu. otestuj ty kombinace na svych prihlasovacich udajich a uvidis.
(odpovědět)
Emkei | E-mail | Website | PGP24.7.2008 17:54
re: SQL Injection a md5 + salt#
Emkei, například já používám salt jednotný pro všechny uživatele, ale rozhodně nemá nic společného s loginem. Takže na to pozor.
(odpovědět)
ShaiMagal.Org | 81.92.146.*24.7.2008 18:17
re: SQL Injection a md5 + salt#
Mimochodem, nevím proč je téma označeno jako "Lame", když dotaz byl položen jednoznačně a to:
"Jak zjistit jaký je salt"


(odpovědět)
ShaiMagal.Org | 81.92.146.*24.7.2008 18:18
re: SQL Injection a md5 + salt#
i odpoved je jednoznacna: v pripade, ze je posledni hashovaci fci neco jineho, nez crypt(), tak jedine hadanim, pripadne hrubou silou. pokud by byl crypt() posledni funkci, pak by byl salt uveden na zacatku hashe.
(odpovědět)
Emkei | E-mail | Website | PGP24.7.2008 18:44
re: SQL Injection a md5 + salt#
jinak řečeno, pokud to nejsou hashe z microsoftu, tak se na to vyser :-)
(odpovědět)
ShaiMagal.Org | E-mail | Website | ICQ 34130017324.7.2008 20:37

Zpět
 
 
 

 
BBCode