SHA1(strtoupper($acc.":".$pass)) help plz

Discussion in 'Криптография, расшифровка хешей' started by am@tory, 12 Jun 2008.

  1. am@tory

    am@tory Elder - Старейшина

    Joined:
    8 Jan 2007
    Messages:
    65
    Likes Received:
    16
    Reputations:
    5
    Всем привет. Вот наткнулся на похожий хешик. Зарегил свой:
    4bc519957be9bd812c78332dcdbd5a20a4b438b7
    Пароль к нему 123 имя gamer
    нашел кусок из проверки аккаунта
    HTML:
    mysql_select_db($config['db_realmd']);
$query = "SELECT * FROM `account` WHERE `username`='".$acc."';" ;
$result = mysql_query($query,$link);
if (!$result) $config['dhtml'].= "::Неисправность в строке запроса ".mysql_error(). "<br>\n";
else{
$res=mysql_fetch_array($result);
$pass1=$res['sha_pass_hash'];
$acc_guid=$res['id'];
$hash = SHA1(strtoupper($acc.":".$pass));
if ($hash==$pass1) ;
else{
$config['html'].= "Неверный пароль<br>\n";
return;


$hash = SHA1(strtoupper($acc.":".$pass));
    насколько я понял, алгоритм здесь
    sha1(strtoupper($username.":".$password))
    Добрый гугл, помог мне найти модуль sha1($username.$pass) для passwordspro.
    Но забрутить все равно его не могу(((
    Подскажите плз.
     
    #1 am@tory, 12 Jun 2008
    Last edited: 12 Jun 2008
  2. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Дело в том, что у тебя в алгоритме между именем и пассом стоит двоеточие! Так что тебе его надо обязательно приписать к концу имени (чтоб sha1 в пасспро вычислялся правильно, иемнно как sha1($username.":".$pass), а не sha1($username.$pass)
    ЗЫ проеверяем SHA-1(GAMER:123)=4bc519957be9bd812c78332dcdbd5a20a4b438b7 - всё верно!

    Кроме того брутить надо только по заглавным символам в имени и пароле (не забудь и про это), так как используется функция strtoupper, переводящая строку в верхний регистр.
     
    #2 -=lebed=-, 12 Jun 2008
    Last edited: 12 Jun 2008
    1 person likes this.
  3. qPhoenix

    qPhoenix Banned

    Joined:
    15 Dec 2005
    Messages:
    87
    Likes Received:
    50
    Reputations:
    8
    сталкивался, вроде какая-то CMS.. как варианты брута:
    брут по маске:
    маска - USER:?u?d?u?d (и варировать со значениями ?u (A-Z), ?d (0-9), и кол-вом символов...
    простой брут по словарю:
    каким-то редактором привести все слова к аперкейсу и генератором типа Powerful GeneratoR от xi0n склеить пары USER:СЛОВОИЗСЛОВАРЯ
     
    #3 qPhoenix, 12 Jun 2008
    1 person likes this.
  4. am@tory

    am@tory Elder - Старейшина

    Joined:
    8 Jan 2007
    Messages:
    65
    Likes Received:
    16
    Reputations:
    5
    Спасибо огромное! Помогло!
    У меня получилось по маске. Просто до этого я пробывал в имени или соли указывать GAMER:

    Можно ли в маске поставить значени типа "буква верхнего регистра или цифра"
    по логике чтонить типа
    GDFDFD:?d,u?d,u?d,u?d,u?d,u?d,u
    Нашел способ, можно сделать список своих символов ?1
     
    #4 am@tory, 12 Jun 2008
    Last edited: 12 Jun 2008
  5. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Я для кого писал?
    Пособия для бруттеров:
    Статья автора программы PasswordsPro (описание)
    Атака на хэши (практическое руководство)
    Атака на хэши часть II (Статистика - это сила!)
     
    #5 -=lebed=-, 12 Jun 2008
    1 person likes this.
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.