SQL Injection a md5 + salt

HackForum

SQL Injection a md5 + salt

Zdravím, registroval jsem se na nejmenovaném webu s heslem "blablabla", poté jsem použil SQL injection a vybaflo na mě několik stovek uživatelských jmen + hesla kryptovaná v MD5. Tak jsem začal louskat přes noc, cca 10 hodin a žádné heslo se nelousklo. Tak jsem si vyhledal svůj účet a nechal jsem crackovat pouze se znaky "b" "l" "a" do délky 10 znaků. Samozřejmě nic, v tu chvíli mě to došlo. Zřejmě se jedná o salt. Takže by mě zajímalo, jak zjistit jaký je salt a jestli vůbec má sql injection smysl, když se používá salt. A vůbec, kdyby to tak bylo, proč by nebyl salt všude?

Nejsem velký odborník na tuto problematiku, takže se možná nejedná o salt, ale zkoušel jsem i md5(md5) / md5(md5(md5))

Děkuji za jakoukoliv radu.
Daf.
(odpovědět)

Daf | 193.200.150.*

24.7.2008 16:24

re: SQL Injection a md5 + salt

a ty stranky jsou psane v cem? v php? muze se jednat o cokoliv, kde je pravdepodobne (ale ne jiste) posledni hashovaci funkci MD5 algoritmus. nezbyva ti nic nez zkouset kombinace MD5, SHA1 a funkce crypt(), kde lze definovat i salt. ten se bere zpravidla z loginu. otestuj ty kombinace na svych prihlasovacich udajich a uvidis.
(odpovědět)

Emkei |

24.7.2008 17:54

re: SQL Injection a md5 + salt

Emkei, například já používám salt jednotný pro všechny uživatele, ale rozhodně nemá nic společného s loginem. Takže na to pozor.
(odpovědět)

ShaiMagal.Org | 81.92.146.*

24.7.2008 18:17

re: SQL Injection a md5 + salt

Mimochodem, nevím proč je téma označeno jako "Lame", když dotaz byl položen jednoznačně a to:
"Jak zjistit jaký je salt"

(odpovědět)

ShaiMagal.Org | 81.92.146.*

24.7.2008 18:18

re: SQL Injection a md5 + salt

i odpoved je jednoznacna: v pripade, ze je posledni hashovaci fci neco jineho, nez crypt(), tak jedine hadanim, pripadne hrubou silou. pokud by byl crypt() posledni funkci, pak by byl salt uveden na zacatku hashe.
(odpovědět)

Emkei |

24.7.2008 18:44

re: SQL Injection a md5 + salt

jinak řečeno, pokud to nejsou hashe z microsoftu, tak se na to vyser :-)
(odpovědět)

ShaiMagal.Org |

341300173

24.7.2008 20:37

Zpět

Svou ideální brigádu na léto najdete na webu Ideální brigáda


	.Infobox Nejnovější: Články: Zabraňte zneužití svých dat Skrytí oprávnění v Androidu (CVE-2019-2089) Studie: Třetina českých e-shopů má bezpečnostní problémy! Aktuality: Vyšel Kali Linux 2020.1 Pozvánka na OWASP Czech chapter meeting Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže IT Právo: Jak poslat Email, aby se nejednalo o spam? Konverzace na ICQ jako důkaz. Uveřejnění cizích fotografií Soubory: Phoenix 2.5 Crimeware Exploit Kit Crimepack 3.1.3 BugTrack: SQLi www.vetercie.cz RXSS na mall.cz RXSS - recenze.cz HackForum: Sciolink a pořizování screenshotu obrazovky Dark Web - zkušenosti Detekce HW keyloggeru Další služby: BBC: Supported Tags RSS: RSS Feeds v2.0 IRC: #soom (irc.2600.net) Na SOOM.cz je: Článků: 991 Komentářů: 14 246 Aktualit: 1 860 Souborů: 151 WebForum: 49 166 Hardware: 38 Diskuze: 20 064 BugTrack: 4 411 Reg. uživatelů: 15 653 A proběhlo: Zobraz. článků: 16 435 904 Staženo souborů: 1 331 291 Staženo dat: 855 137 MB Přístupy (hits): 180 326 965

SQL Injection a md5 + salt

HackForum

Hacking keywords