[ame]http://www.youtube.com/watch?v=BdLOmMLRtG4[/ame]
So leicht kann man doch nicht das PW rausfinden und wenn will ich das Prog wissen die suchen da nach offenen Ports oder sowas ähnliches oder ?
kenn mich da nicht so aus
[ame]http://www.youtube.com/watch?v=BdLOmMLRtG4[/ame]
So leicht kann man doch nicht das PW rausfinden und wenn will ich das Prog wissen die suchen da nach offenen Ports oder sowas ähnliches oder ?
kenn mich da nicht so aus
Vollkommen zusammenhangslos wird erstmal die arme 85.183.138.228 abgescannt (und nicht gerade schnell ), um festzustellen, dass da ja ein Webserver dahinterläuft !
Dann wird plötzlich ein angebliches Perl Bruteforcescript gestartet.
Und zwar aus C:\perl\bin
Wer unter Windows mit Perl arbeitet (also ab und zu Scripte startet) fügt das Perl-Bin Verzeichniss i.R ganz schnell zu PATH Umgebungsvariable zu. Das gehört eigentlich zu den Basics - es sei denn, das Script wird nur fürs Video gestartet . Zudem tippt man i.R nur paar Zeichen ein und dann TAB - auch Windowsconsole ergänzt dann den Dateinamen ganz automatisch (bei *nixer dürfte das eher schon in Reflexe übergegangen sein). Aber hey, dafür hat die Console coole gelbe Farbe .
So, das Script soll nun Youtube Account bruteforcen (wozu wurde vorher die 85.183.138.228 abgescannt? Das bleibt ungeklärt). Gibt gaaanz viele '+' Zeichen aus und am Ende den Hash
223d2f... (usw. MD5 like).
Erstens: seit wann wird das Auslesen des Hashs als Bruteforce bezeichnet?
Aber angenommen es stimmt, es wird halt der Passworthash gebrutet:
falls er nur eine Liste mit vorgefertigten Hashes nimmt, bräuchte er am Ende den Hash nicht zu "decrypten" . Daraus folgt, dass einfach Hashes nacheinander probiert werden. Was bei 16 Bytes aka 32 Zeichen für MD5 und als "HTTP BF" viel mehr Chancen darauf hat, das Ende des Universums vor dem Finden des richtigen Hashs zu erleben.
Wir halten fest: der Vorführende arbeitet nur selten unter Konsole (kennt TAB nicht sowie PATH). Es wird eine Adresse nach Ports abgescannt und danach ein BF-Script auf eine ganz andere Adresse angesetzt. Dieses Script soll angeblich den md5 Hash des Users bei youtube bruteforcen (haha) oder auslesen. Wer an schnelles youtube-BF (und auch noch über den Hash(!)) glaubt, sollte erfahren, dass es keinen Weihnachtsmann gibt .
Falls das Script den Hash auselsen sollte, so wäre das a)anders benannt, als "BF Script" b)entweder bekannt sein oder c) der Vorführende würde es nicht haben
Fazit: => einfach ein zusammengeschnittenes/"gefaktes" Video, welches die DAUs beeindrucken sollte aber kaum was mit Realität zu tun hat
Aber die Matrixanimation am Anfang und am Ende sowie in der Konsole scrollende IPort Liste schauen schon ziemlich hackermäßig aus *g*
Geändert von EBFE (16.09.2010 um 15:53 Uhr)
TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5
tja, aber wer bringt dann immer die Geschenke ?
zu dem Video:
pw: lol12345
dh er hat im optimal Fall einen a-z 0-9 Zeichensatz genommen
dann sind wir bei 26 Buchstaben + 10 Zahlen
36 mögliche Zeichen pro Stelle
Das Passwort war 8 Zeichen lang
36^8 mögliche Kombinationen
2821109907456 Kombinationen wenn ich mich jetzt nicht verrechnet habe..
Ich hab noch nie was über http gebrutet, aber gehen wir mal davon aus dass ich 1 pw pro Sekunde schaffe..
wenn wir jetzt noch sämtliche Schutzmechanismen von youtube ignorieren, rechne ich das jetzt mal auf eine Zahl hoch die etwas handlicher ist..
47018498457,6 Minuten
783641640,96 Stunden
32651735,04 Tage
89456,808328767123287671232876712 Jahre
der muss den ja mächtig gehasst haben dass er es in kauft nimmt so lange zu warten oO
port scan -> irrelevant
mit der IP Liste die runter scrollt hätte er ihn schon fast geh4Xx0rt, hat aber leider doch nicht geklappt..
Geändert von SFX (17.09.2010 um 18:04 Uhr) Grund: Grammatik grammatik = new Grammatik();
free-hack secure connection
Level 61 Troll
[ Manifesto ]
GPG erwünscht [ Key ]
7A16 997D 08AA D280 4822 F0AC 2BDC 2302 4C54 C396
Niemand. Kurz vor Weihnachtszeit (und damit vor dem neuen Quartal/Geschäftsjahr) bekommt die Werbeindustrie die Erlaubniss für kurzfristigen Einsatz starker psychotropischer Mittel und/oder Hypnose. Wir kaufen letzendlich die Sachen selbst (bzw. als Kinder: lassen es kaufen) und unser Gehirn erfindet dann irgendwelche passenden Erinnerungen dazu . Versuch dich doch mal zu erinnern, was du letztes/vorletztes Jahr _genau_ kurz vor Weihnachten gemacht hast. Sofern du in einer Großstadt warst, wird das in 99% aller Fälle nicht klappentja, aber wer bringt dann immer die Geschenke ?
Btw:
Eine gescheite Passwordliste wäre auch möglich.pw: lol12345
dh er hat im optimal Fall einen a-z 0-9 Zeichensatz genommen
dann sind wir bei 26 Buchstaben + 10 Zahlen
36 Mögliche Zeichen pro Stelle
Das Passwort war 8 Zeichen lang
Solches Passwort sollte eigentlich in jeder größeren Liste dabei sein. Z.B "opencrack_plains" Liste (1.3 Mio Wörter) hat
an der 919 823 ten Stelle.Lol1234
lol12345
Blöd halt nur, dass es auch mit 10 PW/s (bei ausreichend vielen Proxies) immer noch ca 25 Std dauern würde (aber immerhin in den Bereich des machbaren rücken würde). Nur macht das Umwandeln des Passworts ganz am Ende in MD5 und anschließende "Decrypten" dann gar keinen Sinn . Zusammen mit dem Rest schaut es noch unglaubwürdiger aus.
Geändert von EBFE (17.09.2010 um 18:15 Uhr)
TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5
SFX (17.09.2010)