Resultados 1 al 14 de 14

Tema: Superforos.com

  1. #1 Superforos.com 
    Iniciado
    Fecha de ingreso
    Jun 2006
    Ubicación
    Debajo de un Puente
    Mensajes
    7
    Descargas
    0
    Uploads
    0
    Me gustaria saber si alguno de vosotros sabe como obtener la password de uno de los usuarios registrados en tu foro, probe a cambiar su e-mail por otro pero se genera una distinta contraseña.
    Espero que alguien me pueda ayudar.
    Att. Ziniero
    Citar  
     

  2. #2  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    Ni siquiera el administrador, ya que la misma esta encriptada
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Jun 2006
    Ubicación
    Debajo de un Puente
    Mensajes
    7
    Descargas
    0
    Uploads
    0
    entonces es imposible?
    Citar  
     

  4. #4  
    Avanzado
    Fecha de ingreso
    Jun 2005
    Ubicación
    Sevilla
    Mensajes
    330
    Descargas
    0
    Uploads
    0
    Claro que no es imposible, pero tendras que investigar tu mismo...
    Más sabe el diablo por viejo que por diablo.
    Citar  
     

  5. #5  
    Iniciado
    Fecha de ingreso
    Jun 2006
    Ubicación
    Debajo de un Puente
    Mensajes
    7
    Descargas
    0
    Uploads
    0
    no me podriais ayudar...
    Citar  
     

  6. #6  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.703
    Descargas
    30
    Uploads
    8
    Si claro, pero no te lo podemos hacer todo nosotros.
    Trata de investigar como encripta el foro la clave y una vez obtenido el hash trata de encontrar el metodo de desencriptarlo.

    PD: No te será nada facil
    Citar  
     

  7. #7  
    Iniciado
    Fecha de ingreso
    Jun 2006
    Ubicación
    Debajo de un Puente
    Mensajes
    7
    Descargas
    0
    Uploads
    0
    No digo que me lo hagais, sino que si me podriais ayudar
    Citar  
     

  8. #8  
    Avanzado
    Fecha de ingreso
    Mar 2006
    Ubicación
    en internet
    Mensajes
    441
    Descargas
    6
    Uploads
    0
    Ziniero veo mas factible que la consigas con ingenieria social que no obteniendo los hashes.
    Salu2
    Es la hora de ponerse a estudiar!

    Constancia y Perseverancia ante todo!
    Citar  
     

  9. #9  
    Iniciado
    Fecha de ingreso
    Jul 2006
    Mensajes
    11
    Descargas
    0
    Uploads
    0
    La clave o hash esta encriptada en md5 puedes usar varias web para desencriptarles o usar programas que aveces son rapidos digo aveces por que puede tardar horas incluso dias.
    Citar  
     

  10. #10  
    Iniciado
    Fecha de ingreso
    Sep 2006
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Mmm y además con tal nivel de encriptación necesitaras una granja de PC's para desencriptar si el cifrado es muy alto
    Sólo hay algo seguro...la infinita inseguridad de la seguridad.
    Citar  
     

  11. #11  
    Iniciado
    Fecha de ingreso
    Sep 2006
    Mensajes
    35
    Descargas
    0
    Uploads
    0
    No seria mas facil borrarle el usuario?
    Citar  
     

  12. #12  
    Iniciado
    Fecha de ingreso
    Feb 2006
    Mensajes
    33
    Descargas
    0
    Uploads
    0
    Y a todo esto para que quieres perjudicar a uno de tus hermanos hack?
    Citar  
     

  13. #13  
    pronx
    Invitado
    Normalmente los passwords están encriptados en MD5, el MD5 no se puede desencriptar, solo se puede crackear. Cuando te registras por ejemplo pones el password 12345, este se encripta en MD5 y se guarda en la bd. Luego cuando intentas logearte y pones 1234, encripta ese string y lo compara con el que se encuentra en la bd.
    Citar  
     

  14. #14  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Mensajes
    3
    Descargas
    0
    Uploads
    0
    1. MD5 en tres pasos.
    Hace tiempo probando una aplicacion en php a pedido de un admin amigo descubrimos no solo que era insegura sino que tambien el hasheado de claves en md5 lo era tambien si este no tenia una buena politica de passwords, osea, que sea de mas de 12 caracteres alfanumericos... es rapido el md5 de implementar, si, es bonito y queda lindo para un portal php, pero si no va acompañado de una logica stronger de password es solo un pseudo texto plano. Veamos que coño quise decir con esto.

    ( hasheado: le digo asi porque la pass esta en algo llamado "hash" que es una cosa mas o menos asi: "f1a81d782dea3a19bdca383bffe68452" y quiza eso descifrado sea una clave tipo "love33" )
    1. Donde estan hasheadas nuestras claves en md5 ?
    Por ejemplo cuando logueamos en Yahoo, Hotmail, algun foro, en las databases mysql
    de los servidores y en un sin fin de lados mas.
    2. Como crackearlas ?
    Bueno, primero hay que conseguir el hash, bien sea que este storeado ( almacenado en la database ) o bien la tomamos de transito, como ser por ejemplo un log de Dsniff - sniffearla desde un trafico de red - ( este log para comentarles a aquellos que no lo han usado, guarda los passwords - segun su modo claro - de todas aquellas sesiones de autentificacion, y cuando alguien loguea en Yahoo o Hotmail por ejemplo puede verse el User y el pass cifrado en md5... por ejemplo:
    Password en texto plano por conectarse via pop3 a Yahoo - log de dniff - N de la R: Pensar que pagando el Premium Pop3 de Yahoo se obtiene cero seguridad...
    -----------------
    0X/18/03 19:56:57 tcp XXXIPXXX.1038 -> pop.vip.sc5.yahoo.com.110 (pop)
    USER sduXXX
    PASS jw877d

    Password hasheado en md5 por conectarse via webmail - http/via sitio - a Yahoo
    -----------------
    0X/19/03 01:47:23 tcp XXXIPXXX.1100 -> login1.login.vip.dcn.yahoo.com.80 (http)
    GET /config/login?.tries=&.src=ym&.md5=&.hash=&.js=1&.
    last=&promo=&.intl=ar&.bypass=&
    .partner=&.u=kijss&.v=0&.
    challenge=k_.OIJSDODISAOIJSSOPIJDDUDHUH&.yplus=&.e mai
    lCode=&hasMsgr=0&.chkP=Y&.done=&login=

    *** Aca va el usuario en texto plano ***

    &passwd=

    *** Aca va el password hasheado ***

    &.persistent=&.save=1&.hash=1&.md5=1
    HTTP/1.1 Host: login.yahoo.com
    Y acerca de las pass de databases estan en tablas, como en excel por ejemplo, una lista de nicks por decirles un simple ejemplo de como estarian en un foro de los tantos que hay aqui ahora y al lado su respectivo password hasheado.
    So, una vez que tenemos el hash en nuestro poder, necesitamos la herramienta para descifrarlo, en este caso usaremos mdcrack.

    http://mdcrack.df.ru/nsindex2.html
    3. Como uso mdcrack ?
    Aca van una serie de consejos utiles nomas...
    si pones desde la consola de cmd.exe:

    mdcrack f1a81d782dea3a19bdca383bffe68452 y enter
    Va a descifrartela usando el siguiente charset: mayusculas, minusculas y numeros.
    eso va a tardar mas... si usamos la logica, un usuario comun usa: o numeros, o letras comunes - una simple palabra que este o no en diccionarios - o bien alfanumerica corta. La opcion aqui es recurrir a la opcion -s que es para elejir el charset, ( charset = set de caracteres o characters set ) primero les aconsejo usar

    mdcrack -s 0123456789 f1a81d782dea3a19bdca383bffe68452
    mdcrack -s 0123456789abcdefghijklmnñopqrstuvwxyz
    mdcrack f1a81d782dea3a19bdca383bffe68452 por default - con mayusculas tambien - luego si aun no la crackean, probar con caracteres especiales, en fin, usen la logica depende quien haya escrito la clave.

    Veamos un ejemplo tomando el siguiente hash de Admin de un sitio cualquiera:
    C:\>mdcrack 469098e537b96e7e87e3196b49a9f299

    <<System>> MDcrack v1.2 is starting.
    <<System>> Using default charset : abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHI
    JKLMNOPQRSTUWXYZ
    <<System>> Max pass size = 12 >> Entering MD5 Core 1.

    Password size: 1
    Password size: 2
    Password size: 3
    Password size: 4
    Password size: 5
    Password size: 6
    Password size: 7
    Password size: 8


    ----------------------------------------
    Collision found ! => 19871987 < Password
    Apenas minutos tarda si tienen un muy buen micro, podria haber tardado muchisimo menos de haber elejido la combinacion de solo numeros, con algunos se van a sorprender ya que tarda "cero" segundo.
    Ultimo consejo, si por alguna casualidad cortan el crackeado por tener que usar su unica pc, segurense de tener una carpeta llamada /tmp asi alli dentro se genera automaticamente un file que permite seguir luego la sesion de crackeo, asi no comienzan desde cero. Para reiniciar el crackeo solo deberan poner mdcrack y enter.
    Última edición por JAXR3; 02-03-2007 a las 04:17
    Citar  
     

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •