Убери ещё перенос строки <br> после: Ещё глюк: ввёл хэш на расшифровку-> нигде не найден -> добавлен в очередь на расшифровку, далее добавляю пароль (от этого хэша) -> пасс добавлен в базу. Далее снова ищем этот хэш и находим... "-----------------" т.е. в очереди на расшифровку. При добавлении пасса надо искать именно хэш от него, а не пасс по таблице, тогда уйдём от этого и если хэш найден, то писать в таблицу пасс именно в ту запись, где его хэш. (или ту удалять, а новую заносить пасс с хэшем). вот...
такс.. вроде все ок теперь парсим еще и plain-text.info з.ы. о багах пишите сюда или в пм завтра снесу все повторяющиеся
max колличество запросов 15000, после этого база не доступна, с этим можно что-нибудь сделать? (трабла при добавлении списка пассов). Поставьте плиз 100000 хотя-бы.
исправь строку (с) halkfild, -=lebed=- Antichat.ru там стоит: <a href="antichat.ru">Antichat.ru</a> а нада: <a href="http://antichat.ru">Antichat.ru</a>
добавил автоудаления с списка хешей для брута.. и plain-text.info нормально находит.. /*были траблы с куками*/ вообщем пишите баги и предложения http://md5.xek.cc/
Добавил уникальные пароли из PasswordPro.dic от FHT (обновил 1 пост темы.) P.S. В нашей базе 145140 хешей. To halkfild поставь вывод пароля через htmlspecialchars($pass), а то XSS осталась hash:1cd4d78142e0398528f94d8d6183740e
Ещё надо исправить, если ищем хэш, то надо его всё равно искать сначала на внешних сервисах, а потом в нашей базе, и если пасс сложный, то добавлять в нашу базу, если простой, то нет. Так как хэши от простых пассов попавшие в очередь на расшифровку никогда не исчезнут из того списка, так как нельзя добавить простой пароль. Пример хэш:пасс c5e3d7214e2cad295a09ff2b3c4a75dc:4613063 Кстате замечено что хэшей от простых паролей так же нет в популярных онлайн-базах... Три варианта решения проблемы: 1. Скрипт бруттер простых пассов (- скорость работы, нагрузка на сервер) 2. Понизить ограничения на простые пароли. 3. Сильно расширить базу онлайн сервисов по которым осуществляется поиск (по типу md5search.uk.to) 4. Организовать запрос на md5search.uk.to. (есть там фича, можно минуя капчу) там уж точно по 36 сервисам найдуться простые пассы. 3. Запихивать в базу и простые пароли. (что не желательно).
Потестил. 1. Есть ХСС, но тут я не первый, первым был Spyder с хешем 1cd4d78142e0398528f94d8d6183740e. Причем для реализации не нужно кодировать урл и т.д., просто просим кого-то проверить нужный хеш ссылаясь на то что „у меня сервис что то не открывается”. Но так как авторизации нету, то и куки нам нафиг не нужны, а значит ХСС тоже . Но недостаток для пользователя все же есть. Дело в том что если пароль будет вида <password> или <b>password, то в первом случае юзер вообще не увидит результатов, хотя будет надпись «пароль найден», а во втором засветится «пароль найден: password» но уже без <b>. Т.е. если кусок пароля будет содержать открытую и закрытую скобки, то при построении страницы они не будут выведены (хотя в ресурсах страницы мы можем найти результат) 2. Дальше интереснее. Баловался с кавычками. Если пароль будет содержать кавычку (например p”assword, его хеш b2bb20ac9190447c8b0ba957d0c96f3d) и мы его добавим в базу, то при попытке поиска по хешу мы НЕ найдем пароль (есть одно но… если этот хеш будет в базе на других сервисах с которыми дружит данный то все таки найдет). Не найдем потому что в базу пароль попадает в виде p\”assword и соответственно его хеш равен bf9c508e10fa5a958e6d7b57402d2a39. Та же ситуация со слешами, ведь они тоже экранируються. Т.е. если мы добавляем пароль такого вида \\\\\\ то экранирование его преобразует в что-то со множеством слешей и в базу попадает савсем другой пароль и хеш. С одинарной кавычкой тоже самое. 3. После предыдущего под прицел попали такие сочетания символов: " & и т.д. т.е. заменители служебных символов (как они там правильно называются?). Если пароль будет иметь эти сочетания то при выводе они будут отображаться как те символы которые они представляют. Т.е. если пароль будет вида p"ass (его хеш - afe5d4a6a9b8bc7e8a86385d5ee720b2) то при выводе результатов поиска мы увидим p”ass, что, согласитесь, нам не подходит. 4. Интересное явление наблюдается при «парсинге» с других сервисов паролей содержащих кавычки. Дело в том что если такой пароль будет найден на дружественном сервисе, то он верно отобразиться при поиске, НО в базу будет занесено совсем другое. Например: p””assword (c3cb8f719fee2067b2ab98065f34fa16) если будет находиться в базе пасскракинг.ру то при поиске мы увидим что „пароль найден не у нас и добавлен в базу”, при этом вывод этого пароля будет верный, а вот в базу попадет то что спарсили, а именно p""assword. От этого пароля будет найден хеш и тоже будет занесен в базу. Если мы еще раз попытаемся поискать хеш от p””assword, то сервис его у себя не найдет, а найдет у чужих и ЕЩЕ раз занесет в базу и т.д. Это способ добавления ОДИНАКОВЫХ записей в базу, при этом они НЕ НУЖНЫ там. Этот случай я до конца не исследовал, там в комбинации с предыдущими возможны разные варианты….. и реакция системы тоже разная . 5. База позиционируется как база уникальных паролей. В ней нету коротких, 1-8 цифровых и т.д. Но если поискать хеш от этих паролей то его найдут сторонние сервисы и услужливо внесут этот пароль в базу. Во всяком случае об этом пишет сервис «пароль был добавлен…», когда я консультировался с Халкфилдом, он ответил что такие пароли вырезает. (я проверял не всегда вырезает) Вроде бы проблема решена, но если вырезает то возникает следующая ситуация. Например мы ищем хеш от пароля %:?, (он не попадает в категорию для занесения в базу) при этом его нету у дружественных сервисов, то нам пишет ответ «не найден», а сам хеш добавляется в очередь для поиска. Как только пароль будет найден, он НЕ БУДЕТ записан в базу (вот этого проверить не удалось… т.к. не знаю как работает скрипт), юзер который запросил поиск этого пароля, снова запросит и снова получит ответ «не найден, добавлен в очередь» и так пока не надоест. Хотя пароль находиться. Это недостаток НЕхранения найденных коротких паролей, они не будут найдены никогда. Было что то еще, но пока писал – забыл Комбинации всего этого получаются интересными…..<”\\"password’> или “”” Вывод такой….. в базе должны храниться пароли в своем первоначальном виде, без всяких заменителей и экранов. Служебные символы и сочетания должны обрабатываться правильно, тоже при парсинге от других сервисов. Нужна проверка на повторяющиеся записи в базе. Та возможность добавления простых пассов (или все же не добавляет) от дружественных сервисов, а также внесение из-за экранирования кавычек и слешей, да и все остальное…. делает запись о количестве хранимых в базе хешей очень не правдивой с точки зрения УНИКАЛЬНОСТИ базы, т.е. базы хранящей только уникальные пароли найденные юзерами. Ведь на самом деле там меньше таких паролей, остальные либо короткие или цифровые добавленные других серверов, либо пароли которые имеют заэкранированые служебные символы типа кавычек. Может их и не так много но все же. З.Ы. Если все это не актуально не судите строго просто потрите пост или я сам удалю если будет нужно. З.Ы.Ы. Еще бы хотелось увидеть исходники скриптов…… была мысль о возможности выполнения «злого» ПХП кода при поиске определенных хешей….Халкфилд обещал дать посмотреть…. Опять дофига написал..... ну не могу иначе
Предложение-добавить ссылку на http://web18.server10.nl.kolido.net/md5cracker/crack.php (прогоняет по 13 крекерам+возможность грузит листы с хешами весом до 100кб) ,в строку "или другие онлайн-сервисы."
Возможно уже писали: Заходим: http://md5.xek.cc/noncrack.php Берем третий (сейчас он третий): 02afd084bc84532f487b5b45179bb189 Возвращаемся на: http://md5.xek.cc Вставляем: 02afd084bc84532f487b5b45179bb189 пароль найден: mustdie Так чего он висит на нерасшифрованных? Или они там раз в * минут/часов/дней прочекиваются по базе и уже ранее найденые удаляются?
это во время тестирования добавлялись вроде.. з.ы. я потер все хешт к перебору в виду того что там было много ненужных никому.. /*те которые добавил ред при тестировании*/ вообщем добавляйте нужные заново =\ 2 censored! там есть проверка если пасс находится, то в очередь для расшифровок он не заносится 2 v1ru$ интересный сервис жаль что жабаскрипт =\ а вообще можна попробовать парсить все это дело
Если есть возможность, скиньте плз вашу базу с паролями мне в пм, ибо иногда приходится брутить не только мд5, а ещё и другие хэши + соль =\
и вот после добавления хешика пишет: и ведь не наврал при повторном запуске пишет Чтобы соответствовать пункту 2 - нужно убрать добавление простых паролей полученных со сторонних сайтов...
Внес посильный вклад в наш проект... =) уникальных паролей добавлено в базу: 102 неуникальных паролей: 673 спасибо +расшифровал 3 пасса из нерасшифрованных...
Ворненг ! я дырку нашел,суть в том что при выводе пароля из базы,он выводиться напрямую html а надо обычным текстом пример: . Greetz to xekera,kaspersky lab
Virus подал отличную идею насчет http://web18.server10.nl.kolido.net/md5cracker/crack.php. там есть 13 крякеров. было бы неплохо добавить ещё и те, о которых писалось на antichat-е. их будет значительно больше. большой плюс проекта античат мд5 кряк- это то, что он не использует javascript добавьте больше крякеров !!!!!! и web18.server10.nl.kolido.net отсосёт. а на данный момент он лучший ( доказано ниже ) взял все пассы из листа расшифровки и кинул текстовик с ними на web18.server10.nl.kolido.net.. результат: PHP: a5fbd6b8e1451b99f5e3749411078b68 nicht gefunden 688d8a12df090cf0941e2c2755eb7e3a nicht gefunden 2b692f9b73219bb92d294a3a8ffd4a1a nicht gefunden 47f037a550071f8fb765911ad657804f nicht gefunden 2a9655bd9f1147c0cf9812b1217954a4 nicht gefunden 220042355baf769e568a394180cc7e13 nicht gefunden e42775499d8cfe354c26f39f41027e5b nicht gefunden 754d4927ed3ade6f6cb14af6044bd017 - 'ppict' ebc25f247ec118591d8e17113e7662a0 nicht gefunden dc2947a2805c09ac3cec64402b4caa22 nicht gefunden 382e0360e4eb7b70034bbaa69bec5786 nicht gefunden a6d56b08a5d148361f7ffcd998831e80 nicht gefunden 7e4e211748bb3309896d6367945f493f nicht gefunden 4409e449fff5451bc655dee1ad9f8637 nicht gefunden 7e0fcb526b833225743e7b8f53f99742 nicht gefunden d52817c20b7e15d35f2e2d5fca6cbaee nicht gefunden 53f55b7cd99117e55f258fafb200726a nicht gefunden e96fc498f86fade46aeb8467b8c3b7cb nicht gefunden 754d4927ed3ade6f6cb14af6044bd017 был перепроверен на вашем крякере. без результатов. ДОБАВЬТЕ КРЯКЕРОВ !!!! добавить я пасс "ppict" не смог., Code: пароль слишком простой, извините не добавлен в нашу базу 5cb3fde94b0e57b31d6e4f69f9e7f1bb - '4551208' - toje prostoi.... 24406b36b0176d3ae001ce67ecc7f9ef - '7085603'
