crs12decoder Posted August 18, 2008 Report Posted August 18, 2008 hmm... ma gandeam (ca de obicei) cam cat timp ar dura sa faci o baza de date de md5-uri a-z din 10 caractere.. mai exact:se ia una bucata cod de program care ia fiecare cuvant posibil a-z +cifre +caractere si il cripteaza in md5 si il salveaza intr-o ditamai baza de dateceva gen brute force numai ca se cripteaza in md-5...de ex:ia litera "a" o cripteaza in md5 ->dupaia aa -> md5dupaia ab -> md5...a0..56..@%...pana se fac 8-10 caracterele salveaza pe toate intr-o baza de date si cand gasesti un cod md5(sa zicem dintr-un cookie sau de oriunde) sa bagi md5-u in baza de date si sa iti dea parola initiala si asa sa ai toata baza de date cu toate cuvintele posibile de maxim 10 caractere criptate in md5 si sa ai reversal pt toate... oricum nu sunt prea multe calcule de facut... doar vreo 4.11782264189298e+44 e posibil asa ceva? adik.. e posibil teoretic.. dar in cati ani ? pt k alta solutie de crack pt md5 cu o asemenea acuratete... nu gasesc Quote
begood Posted August 18, 2008 Report Posted August 18, 2008 citeste : http://en.wikipedia.org/wiki/Rainbow_tablebafta Quote
loki Posted August 20, 2008 Report Posted August 20, 2008 adica... si pe mine ma pasioneaza ideea dar e vorba de cateva zeci de giga pe hard disk (macar 80 parca) sa faci o treaba buna sa construiesti asa ceva. Quote
begood Posted August 20, 2008 Report Posted August 20, 2008 (edited) adica... si pe mine ma pasioneaza ideea dar e vorba de cateva zeci de giga pe hard disk (macar 80 parca) sa faci o treaba buna sa construiesti asa ceva.o sa va explic dupa ce vin de la mare fac un tutorial. vad ca multa lume incepe sa imi ceara tutu asta Edited May 2, 2010 by begood Quote
alien Posted August 28, 2008 Report Posted August 28, 2008 ideea este ca nu dureaza mult sa generezi un md5. este problema de timpu de cautare. Adica daca ai stat X zile sa generezi toate combinatiile de 10 caractere, o sa stai tot cam X zile ca sa cauti un cuvant prin ele. Quote
ThePhantom Posted May 2, 2010 Report Posted May 2, 2010 poti face in php e simpla treaba.. nu foarte complexa.. prob e timpul:P am testat pe o parola de 8 caractere si m-am plictisit + manaca resurse.. dar se poate(parola de 4 char-uri a gasito repejor) Quote
Nytro Posted May 2, 2010 Report Posted May 2, 2010 Ar trebui scris in assembly ceva ca sa fie doar putin mai rapid... Quote
B7ackAnge7z Posted May 2, 2010 Report Posted May 2, 2010 (edited) Salvarea tuturor combinatiile intr-o baza de date, va dura prea mult si va fi prea costisitor in privinta resurselor. Insa, eu cred, mult mai simplu ar fi sa folosesti o armata de calculatoare-zombi sau cateva(!) servere, carora sa le dai comanda ca fiecare sa genereze si sa compare in timp real, doar o anumita portiune de 'cod'.Exemplu: Server1 — combinatiile de la «a» la «c», Server2 – de la «d» la «f», s.a.m.d.Mai multe servere — mai multe sanse de castig...Dar inainte de toate, nu uita sa intri pe site-uri gen MD5Decrypte.Apropos, domnilor, ce credeti despre folosirea vulnerabilitatilor XSS pentru a 'sparge' o parola criptata? Edited May 2, 2010 by B7ackAnge7z idee? Quote
begood Posted May 2, 2010 Report Posted May 2, 2010 Apropos, domnilor, ce credeti despre folosirea vulnerabilitatilor XSS pentru a 'sparge' o parola criptata?la ce te referi ? mai bine o furi cu xss si un javascript keylogger Quote
B7ackAnge7z Posted May 2, 2010 Report Posted May 2, 2010 la ce te referi ? mai bine o furi cu xss si un javascript keyloggerDe exemplu, ai un hash MD5, pe care din pacate nu-l poti 'decripta'. Pe langa aceasta comoara, mai ai si un XSS activ intr-un site foarte vizitat (preferabil jocuri online, fiindca acolo vizitatorii petrec mai mult timp pe aceeasi pagina). Mai departe, cu o functie JS incarcata de pe serverul propriu, se face ceea ce a spus crs12decoder, adica, brute-force... Deschizand pagina, utilizatorul primeste un punct de 'reper' de unde sa inceapa atacul. In caz ca utilizatorul doreste sa paraseasca pagina, se transmit datele catre server (acestea trebuie sa indice 'locul' unde s-a oprit 'actiunea'). Cel mai important in toata nebunia asta, este ca fiecare utilizator sa primeasca de la serverul tau un interval unic de caractere (vezi mai sus exemplul cu serverele).Sunt sigur, JavaScript + citeva mii de vizitatori, vor genera o viteza uluitoare al brute-force-ului. Quote
Cherubim Posted May 21, 2010 Report Posted May 21, 2010 Suna interesant ceea ce vrei tu sa faci dar din pacate nu va merge. MD5 este cunoscut drept un f bun alg de criptare deoarece este ireversibil. Ce inseamna asta ?... ca de la Grimley ajung la 1ae99df75328ce59a760b3a66778ed4f dupa ce aplic MD5. Dar de la 1ae99df75328ce59a760b3a66778ed4f nu pot ajunge la Grimley. Dupa cum probabil ai observat ai 32 de caractere in secventa codata. Nu te-ai intrebat niciodata de ce sunt mereu 32, cand eu pot sa am parola de 60 de ex ? Concluzia e simpla, la secventa md5 1ae99df75328ce59a760b3a66778ed4f se poate ajunge folosind si alte string-uri. Daca am cunoaste un algoritm de decodare al MD5 fii sigur ca pentru o secventa MD5 introdusa probabil ca iti va returna mii, milioane sau chiar nenumarate parole. Cu alte cuvinte Grimley va fi mereu 1ae99df75328ce59a760b3a66778ed4f dar 1ae99df75328ce59a760b3a66778ed4f nu este numai Grimley. Cred ca e mai simplu sa il intrebi pe om direct care este parola. Quote
cmiN Posted May 22, 2010 Report Posted May 22, 2010 Am auzit acum ceva timp la un baiet care facuse ceva brutere bazate pe gpu ca poate afla, adica chiar decripta primul caracter al string-ului input din hash. De fapt sunt 16 caractere in baza 16 reprezentate de cate 2 caractere (0-F), de aia e si pe 128 biti (16 * 8). Quote
