Hash nelze rozluštit

HackForum

Hash nelze rozluštit#
Dobrý den, získal jsem přístup k celkem hmotné databázi uživatelů, ale jejich hesla nelze rozluštit. Nejdříve jsem si myslel že se bude jednat o MD5 nebo SHA1. Ale to jsem se mýlil. Podle mě půjde o nějaký složitější kombinovaný systém.
Například uvádím hash 5a2e33b8d6760cec4a26d4953ba86d6685f9129d579
7d55fcd5a0b268a7ac6b0, který se na nejmenovaném webu vyskytuje. Budu si vážit vaší pomoci a komentáře typu "najdi si to na google" atd. prosím vynechte.
(odpovědět)
M3RRY | 217.117.216.*15.6.2011 16:30
re: Hash nelze rozluštit#
pokud se hash nejak dal upravoval (zkracoval, opakovane se prohanel jinymi hashovacimi algoritmy atp.), pak se resi takova situace tak, ze si na tom serveru zalozis ucet s nejakym heslem, ktere je ti zname a podivas se, co za hash je ulozeno v databazi. pokud se to heslo nesoli nejakym silnym stringem, tak by se melo dat po nekolika pokusech s md5/sha1/ruznymi kombinacemi/solenim loginem atp. odvodit, co za hashovaci algoritmus se na danem serveru pouziva.

ps: ten hash ma 64 znaku, takze posledni iterace bude pravdepodobne spojeni dvou md5 hashu.
(odpovědět)
Emkei | E-mail | Website | PGP15.6.2011 17:05
re: Hash nelze rozluštit#
Děkuji za přínosnou odpověď. Zkusím si tedy vytvořit učet a uvidime.
(odpovědět)
M3RRY | 217.117.216.*15.6.2011 17:55
re: Hash nelze rozluštit#
Nevím nevím, jestli jsou ty šance na odvození moc velké. Pokud tu funkci navrhoval někdo trochu paranoidní, tak nejen že se solí nějakým rand stringem (ať už stejným nebo ne pro každého uživatele), ale solí se třeba pokaždé před zahašováním ideálně i několika různými hashovacími funkcemi.
Ale všechno je možné třeba je to md5(username) + md5(pass) :D

----------
Dal bych všechno co vím za polovinu toho co neznám.
(odpovědět)
Taypan | E-mail16.6.2011 0:41
re: Hash nelze rozluštit#
Poprosil bych tě abys sem pak napsal výsledek, docela mě to zajímá. Díky ;)
(odpovědět)
sL | 89.103.69.*15.6.2011 21:22
re: Hash nelze rozluštit#
Rand stringem se to moc solit nedá.. (asi by ti pak těžko opdovídaly hashe v DB a ty co po přihlašení uživatele jdou k porovnání..) Nejspíš to bude něco jako ($user.':'.$heslo) a na to několikanásobý hash.. (2x ruzně silný SHA..) U takovych hasu je pak louskání celkem těžké a pokud ten web patří nějaké větší společnosti ,nedivil bych se ani proložení např. unix časem registrace nebo něco takového.
(odpovědět)
Ketamor | 82.209.19.*16.6.2011 10:17
re: Hash nelze rozluštit#
Rand stringem se samozřejmě solit dá, ale pokud je unikátní pro uživatele tak musí být v DB to je jasný. Nejjednodušší je asi získat zdrojáky oné aplikace.

----------
Dal bych všechno co vím za polovinu toho co neznám.
(odpovědět)
Taypan | E-mail16.6.2011 13:22
re: Hash nelze rozluštit#
Snad pomuze : [link]
(odpovědět)
Playa_zabran | 194.213.35.*17.6.2011 13:05
re: Hash nelze rozluštit#

To Playa_zabran: podívám se nato, díky ;)
(odpovědět)
M3RRY | 217.117.216.*17.6.2011 14:11
re: Hash nelze rozluštit#
Tak celé jsem si to pročetl a velice se mi to líbilo. Ale na hash jsem stejně nepřišel, zkoušel jsem "všechny" možnosti. Pokud by někdo věděl, byl bych velice rád.
(odpovědět)
M3RRY | 217.117.216.*18.6.2011 19:49

Zpět
 
 
 

 
BBCode