Вопросы и Ответы Задай вопрос - получи Ответ

Достаю через sql inj вот так ...,56,concat_ws(0x3a,id,username,old_password,passhash,secret,passkey,email),58,59,60,61,62+from+users+where+username=0x74616c656f6e
Получаю в ответ:
42624:taleon::657d18b62f3e003ac39d0018f3d9efb8:у,*рЃвҐ=wё^ВаGдW‚jЕ:6a67c13033cf83e23b52a1f00bca3830:[email protected]
Может быть это не соль, что я указал?
помогите...

 

нет, в TbDev это соль, вот только непонятно зачем вам нужен пасс-кей
ябы попробовал закодировать эту строку перед выводом ENCODE какимнить или чем-то подобным, ибо может при выводе соль выводится не в первоначальном виде...

 

что такое соль и что она дает при расшифровке обычного mD5?
как я понял , это символы которые имеются в пароле
но вбив соль в пассворд про и хеш
прога начала перебирать пароли , но смотря на строку перебора текуших паролей , они вообще не использует символы из соли(полный перебор)

 

2crackmail
Соль это строка которая каклибо добавляется в пароль при хешировании.
Т.е. если пасс=123456, а соль=F1F, по при алгоритме md5(pass.salt),
hash=md5('F1F123456');

Само собой никто не будет составлять словари для всех солей, поэтому в ППро применяются различные модули хеширования.

Модуль получает от самой проги Пасс и Соль, потом получает их хеш по заданному алгоритму после чего ППро сравнивает этот хеш с тем что был введён вами.

 

не пойму , у меня хеш такого вида

получается симолов &_;.* в пароле если расшифровать хеш не будет таких?

 

pass=8efc042afeba2c602bd5a42117b0ef2f
salt=&_;.*
у тебя md5(md5($salt).md5($pass))

p.s 2Gray_Wolf
при md5(pass.salt) hash=md5('123456F1F');

 

тоесть тип хеша выбирать md5(md5($salt).md5($pass)) ?
и получается симолов &_;.* в пароле если расшифровать хеш не будет таких?

 

кто сказал?? могут и быть.
по значению salt нельзя анализировать из каких символов состоит пароль

 

ну а что salt то дает? скорость увеличивает или что

 

salt используют чтобы избежать коллизий + соленый хеш нельзя расшифровать с помощью Rainbow-таблицы

 

что такое коллизии?
а как лучше расшифровывать соленый хеш? по какому типу перебора?

 

Соль это дополнительная защита от брута md5.
1) 2 одинаковых пароля с разной солью дадут 2 разных хеша.
2) Не зная соли сбрутить пасс почти нереально т.к. помимо самого пасси придётся сбрутить и соль.
Т.е. в базе хнарится значение не просто пароля в открытом виде, не пароля внутри MD5, а пароля с добавленной солью в MD5 что уменьшает скорость и вероятность брута этого самого пароля.

Т.е. если пасс=123456, а соль=hfasddhb;kjdhbdsklbj;kjnjnf;gjdbndf;gkjbdnf;gjbdnfg;bd
То при алгоритме md5(pass.salt), не зная алгоритма и соли брутеру придётся сбрутить строку 123456hfasddhb;kjdhbdsklbj;kjnjnf;gjdbndf;gkjbdnf;gjbdnfg;bd
Что в принципе нереально.

Т.к. хеширование это безвозвратное кодирование инфы, но едиственный способ получить пароль это закодировать предпологаемый пароль по тому-же алгоритму что и оригинал и сравнить хеши.
Если хеши отличаются то хешируем следующий предпологаемый пароль.

Если пасс простой то его можно быстро вскрыть по словарю, если он простой но не словарный то придётся брутить перебором, а если это пасс с буквами цифрами и спецсимволами и > 8 символов то его и вовсе можно не вскрыть.

 

прочитай __http://ru.wikipedia.org/wiki/MD5

 

у меня точно тип md5(md5($salt).md5($pass)) или md5(pass.salt) ???
или просто MD5

 

Соленые мд5 и Джон

Подскажите, как в JTR брутить хеши типа md5($salt.$pass), где соль различна для каждой записи

ЗЫ И еще... Что будет быстрей под линем, jtr или PasswordPro в вайне?

 

Столкнулся с такой проблемой - есть шифр

$1$pkkh$HT1Ev71adEJA1DsB9FSgL0

В нем md5 слова:denniselite1991 (100%)

Вот только чет я мд5 тут не вижу нигде! мб он как нить зашифрован? Или еще чтото, в общем, кто знает - подскажите!!

 

2 denniselite
Это алгоритм MD5(Unix)

 

С солёными возможно но только при наличии последнего джона 1.7.3.4 и патча jumbo-1-with-md5gen-opts-perf-1

Скорость в джоне будет быстрее даже если сравнивать с PPro в винде(а не в вайне).
Как минимум потому что линуксовый джон может юзать MultiCPU, чего не умеет ППро...

 

Как в PasswodsPro подключать словари? Нужно-ли для этого покупать лицензеонный пассворд? А то у меня при выборе в меню словари, оно пишет: Current dictionarys set:
И под ним пустоя окно, неизчего выберать, хотя в папке dicteonarys есть как минимум стандартные словари....

 

Правой кнопкой мыши на этом пустом окне и добавляем словари.