http://www.youtube.com/watch?v=BdLOmMLRtG4

So leicht kann man doch nicht das PW rausfinden und wenn will ich das Prog wissen die suchen da nach offenen Ports oder sowas ähnliches oder ?
kenn mich da nicht so aus

Vollkommen zusammenhangslos wird erstmal die arme 85.183.138.228 abgescannt (und nicht gerade schnell ;) ), um festzustellen, dass da ja ein Webserver dahinterläuft !

Dann wird plötzlich ein angebliches Perl Bruteforcescript gestartet.
Und zwar aus C:\perl\bin :rolleyes:
Wer unter Windows mit Perl arbeitet (also ab und zu Scripte startet) fügt das Perl-Bin Verzeichniss i.R ganz schnell zu PATH Umgebungsvariable zu. Das gehört eigentlich zu den Basics - es sei denn, das Script wird nur fürs Video gestartet ;). Zudem tippt man i.R nur paar Zeichen ein und dann TAB - auch Windowsconsole ergänzt dann den Dateinamen ganz automatisch (bei *nixer dürfte das eher schon in Reflexe übergegangen sein). Aber hey, dafür hat die Console coole gelbe Farbe :D.

So, das Script soll nun Youtube Account bruteforcen (wozu wurde vorher die 85.183.138.228 abgescannt? Das bleibt ungeklärt). Gibt gaaanz viele '+' Zeichen aus und am Ende den Hash
223d2f... (usw. MD5 like).

Erstens: seit wann wird das Auslesen des Hashs als Bruteforce bezeichnet?
Aber angenommen es stimmt, es wird halt der Passworthash gebrutet:
falls er nur eine Liste mit vorgefertigten Hashes nimmt, bräuchte er am Ende den Hash nicht zu "decrypten" ;). Daraus folgt, dass einfach Hashes nacheinander probiert werden. Was bei 16 Bytes aka 32 Zeichen für MD5 und als "HTTP BF" viel mehr Chancen darauf hat, das Ende des Universums vor dem Finden des richtigen Hashs zu erleben.

Wir halten fest: der Vorführende arbeitet nur selten unter Konsole (kennt TAB nicht sowie PATH). Es wird eine Adresse nach Ports abgescannt und danach ein BF-Script auf eine ganz andere Adresse angesetzt. Dieses Script soll angeblich den md5 Hash des Users bei youtube bruteforcen (haha) oder auslesen. Wer an schnelles youtube-BF (und auch noch über den Hash(!)) glaubt, sollte erfahren, dass es keinen Weihnachtsmann gibt ;).
Falls das Script den Hash auselsen sollte, so wäre das a)anders benannt, als "BF Script" b)entweder bekannt sein oder c) der Vorführende würde es nicht haben ;)
Fazit: => einfach ein zusammengeschnittenes/"gefaktes" Video, welches die DAUs beeindrucken sollte aber kaum was mit Realität zu tun hat ;)

Aber die Matrixanimation am Anfang und am Ende sowie in der Konsole scrollende IP:Port Liste schauen schon ziemlich hackermäßig aus *g*

sollte erfahren, dass es keinen Weihnachtsmann gibt ;).

tja, aber wer bringt dann immer die Geschenke ?

zu dem Video:

pw: lol12345

dh er hat im optimal Fall einen a-z 0-9 Zeichensatz genommen

dann sind wir bei 26 Buchstaben + 10 Zahlen

36 mögliche Zeichen pro Stelle

Das Passwort war 8 Zeichen lang


36^8 mögliche Kombinationen

2821109907456 Kombinationen wenn ich mich jetzt nicht verrechnet habe..

Ich hab noch nie was über http gebrutet, aber gehen wir mal davon aus dass ich 1 pw pro Sekunde schaffe..

wenn wir jetzt noch sämtliche Schutzmechanismen von youtube ignorieren, rechne ich das jetzt mal auf eine Zahl hoch die etwas handlicher ist..

47018498457,6 Minuten

783641640,96 Stunden

32651735,04 Tage

89456,808328767123287671232876712 Jahre

der muss den ja mächtig gehasst haben dass er es in kauft nimmt so lange zu warten oO

port scan -> irrelevant

mit der IP Liste die runter scrollt hätte er ihn schon fast geh4Xx0rt, hat aber leider doch nicht geklappt.. :P

tja, aber wer bringt dann immer die Geschenke ?
Niemand. Kurz vor Weihnachtszeit (und damit vor dem neuen Quartal/Geschäftsjahr) bekommt die Werbeindustrie die Erlaubniss für kurzfristigen Einsatz starker psychotropischer Mittel und/oder Hypnose. Wir kaufen letzendlich die Sachen selbst (bzw. als Kinder: lassen es kaufen) und unser Gehirn erfindet dann irgendwelche passenden Erinnerungen dazu :). Versuch dich doch mal zu erinnern, was du letztes/vorletztes Jahr _genau_ kurz vor Weihnachten gemacht hast. Sofern du in einer Großstadt warst, wird das in 99% aller Fälle nicht klappen :)


Btw:


pw: lol12345

dh er hat im optimal Fall einen a-z 0-9 Zeichensatz genommen

dann sind wir bei 26 Buchstaben + 10 Zahlen

36 Mögliche Zeichen pro Stelle

Das Passwort war 8 Zeichen lang
Eine gescheite Passwordliste wäre auch möglich.
Solches Passwort sollte eigentlich in jeder größeren Liste dabei sein. Z.B "opencrack_plains" Liste (1.3 Mio Wörter) hat

Lol1234
lol12345 an der 919 823 ten Stelle.
Blöd halt nur, dass es auch mit 10 PW/s (bei ausreichend vielen Proxies) immer noch ca 25 Std dauern würde (aber immerhin in den Bereich des machbaren rücken würde). Nur macht das Umwandeln des Passworts ganz am Ende in MD5 und anschließende "Decrypten" dann gar keinen Sinn :). Zusammen mit dem Rest schaut es noch unglaubwürdiger aus.