SQL Injection a md5 + salt

HackForum

SQL Injection a md5 + salt

Zdravím, registroval jsem se na nejmenovaném webu s heslem "blablabla", poté jsem použil SQL injection a vybaflo na mě několik stovek uživatelských jmen + hesla kryptovaná v MD5. Tak jsem začal louskat přes noc, cca 10 hodin a žádné heslo se nelousklo. Tak jsem si vyhledal svůj účet a nechal jsem crackovat pouze se znaky "b" "l" "a" do délky 10 znaků. Samozřejmě nic, v tu chvíli mě to došlo. Zřejmě se jedná o salt. Takže by mě zajímalo, jak zjistit jaký je salt a jestli vůbec má sql injection smysl, když se používá salt. A vůbec, kdyby to tak bylo, proč by nebyl salt všude?

Nejsem velký odborník na tuto problematiku, takže se možná nejedná o salt, ale zkoušel jsem i md5(md5) / md5(md5(md5))

Děkuji za jakoukoliv radu.
Daf.
(odpovědět)

Daf | 193.200.150.*

24.7.2008 16:24

re: SQL Injection a md5 + salt

a ty stranky jsou psane v cem? v php? muze se jednat o cokoliv, kde je pravdepodobne (ale ne jiste) posledni hashovaci funkci MD5 algoritmus. nezbyva ti nic nez zkouset kombinace MD5, SHA1 a funkce crypt(), kde lze definovat i salt. ten se bere zpravidla z loginu. otestuj ty kombinace na svych prihlasovacich udajich a uvidis.
(odpovědět)

Emkei |

24.7.2008 17:54

re: SQL Injection a md5 + salt

Emkei, například já používám salt jednotný pro všechny uživatele, ale rozhodně nemá nic společného s loginem. Takže na to pozor.
(odpovědět)

ShaiMagal.Org | 81.92.146.*

24.7.2008 18:17

re: SQL Injection a md5 + salt

Mimochodem, nevím proč je téma označeno jako "Lame", když dotaz byl položen jednoznačně a to:
"Jak zjistit jaký je salt"

(odpovědět)

ShaiMagal.Org | 81.92.146.*

24.7.2008 18:18

re: SQL Injection a md5 + salt

i odpoved je jednoznacna: v pripade, ze je posledni hashovaci fci neco jineho, nez crypt(), tak jedine hadanim, pripadne hrubou silou. pokud by byl crypt() posledni funkci, pak by byl salt uveden na zacatku hashe.
(odpovědět)

Emkei |

24.7.2008 18:44

re: SQL Injection a md5 + salt

jinak řečeno, pokud to nejsou hashe z microsoftu, tak se na to vyser :-)
(odpovědět)

ShaiMagal.Org |

341300173

24.7.2008 20:37

Zpět

Svou ideální brigádu na léto najdete na webu Ideální brigáda


	.Infobox Nejnovější: Články: Zabraňte zneužití svých dat Skrytí oprávnění v Androidu (CVE-2019-2089) Studie: Třetina českých e-shopů má bezpečnostní problémy! Aktuality: Pozvánka na OWASP meetup v Brně Co nyní dělají zakladatelé hacking portálů? Pozvánka na OWASP Czech chapter meeting IT Právo: Jak poslat Email, aby se nejednalo o spam? Konverzace na ICQ jako důkaz. Uveřejnění cizích fotografií Soubory: Phoenix 2.5 Crimeware Exploit Kit Crimepack 3.1.3 BugTrack: SQLi na listyprahy1.cz SQLi na Florenc SQLi na kacov.cz HackForum: Sciolink a pořizování screenshotu obrazovky Dark Web - zkušenosti Detekce HW keyloggeru Další služby: BBC: Supported Tags RSS: RSS Feeds v2.0 IRC: #soom (irc.2600.net) Na SOOM.cz je: Článků: 991 Komentářů: 14 254 Aktualit: 1 862 Souborů: 151 WebForum: 49 354 Hardware: 38 Diskuze: 20 178 BugTrack: 4 414 Reg. uživatelů: 15 833 A proběhlo: Zobraz. článků: 17 465 244 Staženo souborů: 1 371 080 Staženo dat: 882 867 MB Přístupy (hits): 207 063 990

SQL Injection a md5 + salt

HackForum

Hacking keywords