Ergebnis 1 bis 10 von 10
  1. #1
    Anfänger
    Registriert seit
    08.08.2007
    Beiträge
    8

    Standard Passwörter aus MySQL-Datenbanken md5 knacken

    Hallo. Ich habe Zugriff auf verschiedene Datenbanken von Webservern auf denen u.a WBB-Foren, CMS-Websites wie Joomla oder PhpKit und anderes gehostet sind.
    Ich habe also in verschiedenen Datenbanken verschiedene Tabellen, u.a. auch welche die Passwörter von Usern enthalten.
    Nun wollte ich fragen wie diese vrschlüsselt sind. Sind viele Zahlen und viele Buchstaben. Ich meine es sind md5-Hashs, bin mir aber nicht sicher.
    Werden alle Passwörter in einer MySQL-Tabelle als md5-Hashes gespeichert oder gibt es noch andere Methoden zur Verschlüsselung, wenn ja, wie kann ich raus bekomme welche das ist?
    Ich habe mir das Programm Cain hier runtergeladen und im md5-Cracker eine Bruteforceattacke mit a-z und 1-4 gestatet. Hat über ne Stunde gedauert, ist aber nichts rausgekommen. Könnte sein, dass bei dem Hash auch noch zahlen von 4-9+0 dabei sind oder dass das PWD länger ist als 8 Zeichen, aber ich wollte doch mal fragen, ob es eine schnellere Methode gibt bevor ich es mal 10 Stunden rumprobieren lasse...
    Habe schon ein wenig gesucht und bin auf online-cracker gestoßen, aber dort wurden die Dinger aus der Datenbank nicht angenommen...

    Also, was sind das für Einträge in der Datenbank (Wie sind sie codiert) und wie bekomme ich sie schnell geknackt.

  2. #2
    hikids
    Registriert seit
    23.05.2007
    Beiträge
    1.639

    Standard

    denke ma es sind alles md5 hashs. und ja können pws mit zahlen etc sein wieso sollte es nich sien können?

  3. #3
    Anfänger
    Registriert seit
    08.08.2007
    Beiträge
    8

    Standard

    Ich wollte wie gesagt rechenzeit sparen und bin daher davon ausgegangen, dass die meisten eher die Zahlen 1-4 in ihren pws nutzen und habe daher 5-9 weggelassen...
    Wenn ich Zeit hab, werd ich evt. mal mit probieren. Dennoch wäre ich dankbar, wenn einer eine schnellere Methode kennt. Der Bruter ist schon recht schnell...er zeigt was von 4.000.000 Wörter pro Sec an. Trotzdem gibt es eben verdammt viele Kombinationen und ich würde gerne wissen, obs noch schneller geht...

  4. #4
    Be root - Use Linux Avatar von H4x0r007
    Registriert seit
    27.06.2007
    Beiträge
    1.878

    Standard

    Hashes kann man mit Rainbowtables ziemlich schnell knacken, wenn man erstmal ne anständige Rainbowtable hat. Wikipedia hilft dir!
    Bald 14 Jahre auf Free-Hack. Krass wie die Zeit vergeht...
    "Drei Dinge sind unendlich - das Universum, die menschliche Dummheit und die WinRAR-Testversion"

  5. #5
    Trojaner
    Registriert seit
    30.06.2007
    Beiträge
    56

    Standard

    link für md5 cracker:
    http://91.194.84.154/leaked/md5/crack.php

    €: die seite hat wohl mehr hashes als jede 100gb rainbowtable^^

  6. #6

    Standard

    Die Seite hat mit Sicherheit weniger als 0 KB Hashes da diese nur verschiedene Datenbanken durchsucht

    Aber es ist mit sicherheit mehr als 100GB:

    TMTO.org: Current Entries: 306,777,669,363
    Gdataonline.com: Database contains 168,693,988 unique entries

    Nur mal die beiden zu nennen...

    Mfg

    Chaos
    Eine Regierung muß sparsam sein, weil das Geld, das sie erhält, aus dem Blut und Schweiß ihres Volkes stammt.
    Es ist gerecht, daß jeder einzelne dazu beiträgt, die Ausgaben des Staates tragen zu helfen. Aber es ist nicht gerecht, daß er die Hälfte seines jährlichen Einkommens mit dem Staate teilen muß.

    Friedrich II. der Große

  7. #7
    Anfänger
    Registriert seit
    08.08.2007
    Beiträge
    8

    Standard

    Keine der Seiten ergeben ein Ergebnis. Der Code den ich versuche zu knacken sieht folgendermaßen aus: 2b2976b3b568d8b80d69fb9e8346c9ef
    Irgentwie kommt der mir ziehmlich lang vor, oder ist das normal, auch wenn das pwd evt. nur 7 Zeichen oder so hat?

    Habt ihr noch andere Ideen außer bruten. Das dauert nämlich mit dem oben genannten Cain etwa 3 Tage auf meinem 3800+ bei a-z&0-9 mit 8 Zeichen.

    Auf der Cebit gabs auch einen Stand, in denen die das gezeigt haben. Das war von einer Uni und da haben die Sicherheit stidiert oder sowas. Auf jeden Fall wollten die zeigen, wie leicht es für Admins ist, an Pwds zu kommen und bei denen war es nach etwa 5 Minuten fertig soweit ich mich erinnere.

  8. #8
    Gesperrt
    Registriert seit
    10.06.2007
    Beiträge
    1.115

    Standard

    Also dieser Hash ist ein MD5 Hash und der ist immer 32 Zeilen lang. Egal ob das eig. pw 40 Ziffern hat...

    Es gibt bis jetzt keine weitere Möglichkeit außer bruten ...

  9. #9
    Anfänger
    Registriert seit
    08.08.2007
    Beiträge
    8

    Standard

    Ok. Danke schonmal für die Antworten.
    Ich hab noch ein wenig hier im Forum gesucht und bin über den Begriff Salt gestolpert. Anscheinend ist es unmöglich, bzw fast unmöglich, einen md5 mit Salt zu knacken. Ich könnte mir vorstellen, dass dieses salt das dann nochmal besser verschlüsselt...kann das sein?

    Die Hashes stammen von einer Seite die meines Wissens nach mit Joomla 1.0.11 gemacht wurde. Verschlüsselt diese Software das ganze mit diesem salt-zeug und wenn ja, ist es dann wirklich unmöglich da etwas rauszubekommen? Jedenfalls wenn man nicht jahrelang durchrechnen will...

  10. #10
    W32.Klez
    Registriert seit
    23.05.2007
    Beiträge
    401

    Standard

    Hallo,
    Ich verstehe jetzt nicht ob du das Passwort von _einem_ User haben willst, oder von der ganzen Datenbank einzeln alle gecracked?
    Für letzteres gibts ein Programm:
    http://eddysblog.phpnet.us/blog/?p=64
    Hier ist der Download:
    http://eddysblog.phpnet.us/blog/?p=75

    Für ein einzelnes MD5-Dingen empfehle ich dir (hier bereits erwähnte)
    http://md5cracker.de/
    Wenn du es nicht gecracked kriegst, lass es sein. Vermutlich ist das Passwort viel zu lang und/oder zu sicher.
    Es könnte aber auch sein das joomla doppelt verschlüsselt o.ä. (z.B. 2x mal die MD5 von einem Wert nehmen).

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •