inokentik 45 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 Каким образом можно расшифровать кэш пароля, который генерится на дле? Говорят не возмонжо или сложно, но был у меня знакомый, которому я дал кэш пароля, он его за 5 минут разгадал и предоставил пароль... Как это можно сделать? Да и какая сейчас вообще идет шифровка паролей в дле? Цитата Ссылка на сообщение Поделиться на других сайтах
zgr 72 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 Если не ошибаюсь, шифровка идет md5, которую нельзя дешифровать. Но в сети есть ресурсы, где записывают сотни тысяч хешей случайно сгенерированных, либо умышленно, например, "123" и его хеш. Если хеш на ресурсе совпадает с вашим, то ресурс выдает исходный текст хеша (пароль). Вот и весь фокус Цитата Ссылка на сообщение Поделиться на других сайтах
inokentik 45 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 Автор Да это не фокусы... Только что лично нашел сайт и пробывал все кэши подряд... Угадывало... Со старой БД... А вот с новой говорит что это не мд5... Цитата Ссылка на сообщение Поделиться на других сайтах
Adobe 111 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 Да это не фокусы... Только что лично нашел сайт и пробывал все кэши подряд... Угадывало... Со старой БД... А вот с новой говорит что это не мд5... все пароли лежат в БД зашифрованные md5 (необратимое шифрование). Единственный вариант - брутфорс либо тупо перехватывать пароль при записи в БД Цитата Ссылка на сообщение Поделиться на других сайтах
inokentik 45 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 Автор Дай любой кэш в мд5, попробуем через сайтик угадать) Цитата Ссылка на сообщение Поделиться на других сайтах
FreeRider 8 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 а что за сайтик?) Цитата Ссылка на сообщение Поделиться на других сайтах
inokentik 45 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 Автор Вот ссылочка, правда не уверен на сколько все точно, проверил многие кэши, все правильно было, сомневаюсь что это тупо подборка была... http://victorov.su/md5/ Цитата Ссылка на сообщение Поделиться на других сайтах
kang 42 Опубликовано: 29 октября 2010 Рассказать Опубликовано: 29 октября 2010 inokentik, Принцип работы этого сайта прост. Вы вводите пароль, допустим password, он генерирует для него хеш "5f4dcc3b5aa765d61d8327deb882cf99", который тут же заносится в базу данных, после чего вы вводите этот текст (5f4dcc3b5aa765d61d8327deb882cf99) и он уже из своей базы данных по вашему запросу находит что это password, так как процес шифровки односторонний, тот тут происходит банальная подставка из БД. Если кто-то вводил туда, допустим qwerty, то по запросу "d8578edf8458ce06fbc5bb76a58c5ca4" он найдет это слово. А если слово какое-то новое, допустим какой-нибудь произвольный набор букв и цифр, зашифрованный в md5, и не введеный на этом ресурсе, то он тут будет бессилен Думаю принцип понятен? Можете попробовать зашифровать слово через функцию md5(); или на другом сайте, а потом проверить расшифровать на том, что вы указали выше. Уверен он не справиться до тех пор, пока вы не введете это слово на том сайте md5 можно узнать методом брутфорса, но если он будет длиный и хотябы с цифрами, то обычному ПК не хватит нескольких лет. В DLE же используется метод двойной шифровки md5(md5()); то есть полученный md5 шифруется повторно. Так что наши пароли в безопасности, если конечно вы не ввели в качестве пароля слово qwerty или password Цитата Ссылка на сообщение Поделиться на других сайтах
GrayZOR 1 Опубликовано: 30 октября 2010 Рассказать Опубликовано: 30 октября 2010 inokentik, Принцип работы этого сайта прост. Вы вводите пароль, допустим password, он генерирует для него хеш "5f4dcc3b5aa765d61d8327deb882cf99", который тут же заносится в базу данных, после чего вы вводите этот текст (5f4dcc3b5aa765d61d8327deb882cf99) и он уже из своей базы данных по вашему запросу находит что это password, так как процес шифровки односторонний, тот тут происходит банальная подставка из БД. Если кто-то вводил туда, допустим qwerty, то по запросу "d8578edf8458ce06fbc5bb76a58c5ca4" он найдет это слово. А если слово какое-то новое, допустим какой-нибудь произвольный набор букв и цифр, зашифрованный в md5, и не введеный на этом ресурсе, то он тут будет бессилен Думаю принцип понятен? Можете попробовать зашифровать слово через функцию md5(); или на другом сайте, а потом проверить расшифровать на том, что вы указали выше. Уверен он не справиться до тех пор, пока вы не введете это слово на том сайте md5 можно узнать методом брутфорса, но если он будет длиный и хотябы с цифрами, то обычному ПК не хватит нескольких лет. В DLE же используется метод двойной шифровки md5(md5()); то есть полученный md5 шифруется повторно. Так что наши пароли в безопасности, если конечно вы не ввели в качестве пароля слово qwerty или password Ага, +1 Кароче, есть где то в движке кусок кода шифровки пароля(создания хэша), хоть и код движка является открытым, эта часть кода полюбому закриптована от шальных рук, вот найти её, раскриптовать, далее уже будет виден процесс генерации хэша, написать его в обратном порядке. Вот и будет алгоритм генерации хэша и обратоно. Это только теория, школьнеГам она не по зубам! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 30 октября 2010 Рассказать Опубликовано: 30 октября 2010 Кароче, есть где то в движке кусок кода шифровки пароля(создания хэша), хоть и код движка является открытым, эта часть кода полюбому закриптована от шальных рук, вот найти её, раскриптовать, далее уже будет виден процесс генерации хэша, написать его в обратном порядке. Вот и будет алгоритм генерации хэша и обратоно. Это только теория, школьнеГам она не по зубам! с чего вдруг он будет закрытым? Алгоритм находится в engine/modules/register.php и закрывать его нет никакой необходимости, т.к. алгоритм не поддается обратному дешифрованию, потому что это не шифрование, а хеширование. При хешировании из строки можно получить хеш, а из хеша строку уже нельзя. Цитата Ссылка на сообщение Поделиться на других сайтах
inokentik 45 Опубликовано: 30 октября 2010 Рассказать Опубликовано: 30 октября 2010 Автор То есть вывод один: пароли шифруются или кэшируются и это необратимо? Странно, ведь чисто теоритически у любого алгоритма шифровки, должен быть ведь алгоритм обратный изначальнмоу процесу?! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 30 октября 2010 Рассказать Опубликовано: 30 октября 2010 То есть вывод один: пароли шифруются или кэшируются и это необратимо? да.Странно, ведь чисто теоритически у любого алгоритма шифровки, должен быть ведь алгоритм обратный изначальнмоу процесу?! это не алгоритм шифровки, это алгоритм хеширования, очень принципиально разные механизмы и алгоритмы. Цитата Ссылка на сообщение Поделиться на других сайтах
kang 42 Опубликовано: 30 октября 2010 Рассказать Опубликовано: 30 октября 2010 Все верно, хеш не поддается обратному действию. На первый взгляд кажется что рас есть алгоритм хеширования, то должен быть и алгоритм дехеширования, но здесь все гораздо сложнее. Если объяснить эту логику на пальцах, то, думаю, можно примерно так: Допуситм ваш алгоритм выглядит примерно так (псевдокод): function alg(item[0], item[1]){ return item[0]+item[1]; } где пароль должен состоять строго из 2 цифр. Например: 55. Из функции видно что к 5 нужно прибавить 5. Получится 10. А если вам дать число 10 и попросить его расшифровать? Думаю у вас будет как минимум 9 разных вариантов. На самом деле в действительности все гораздо сложнее, так что даже не пытайтесь дехешировать пароль Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.