PDA

View Full Version : algoritmo passw nel file log di easyphp

djcuca
07-02-2006, 22:50
Sto parlando di un server che ha un portale con easyphp1-7..
hanno per sbaglio lasciato pubblici i file log!me li sono visti.
in questo file: failed_queries ci sono appunto i tentativi falliti..
con username e passw. la password però è criptata, voi sapete in che algoritmo?e il modo di trovarla?
esempio
WHERE LOWER(username)=LOWER('cane') AND password='7d14377a7ac9260703fe11c730d8c4cd' AND active='t'


grazie
djcuca
07-02-2006, 23:52
si mi sono informato!
si possono trovare anche parole. da quello che ho capito l'unico metodo è cercare di far generare lo stesso codice da un bruteforce...però non è detto che il codice sia univoco!
argh
pinok
08-02-2006, 00:24
argh
Non capisco l'argh!
Se sono log che ti riguardano, meglio. Li hanno lasciati visibili ma sono inutilizzabili.
Se sono log che non ti riguardano, meglio così !
Volevi mica andare a rubare qualche identità ?
:nonsifa: :nonsifa:
AnonimoVeneziano
08-02-2006, 00:34
si mi sono informato!
si possono trovare anche parole. da quello che ho capito l'unico metodo è cercare di far generare lo stesso codice da un bruteforce...però non è detto che il codice sia univoco!
argh


Non ha importanza se la password che trovi col metodo brute force (se la trovi) sia uguale o no a quella effettiva impostata dallo user . Le due password possono anche essere totalmente diverse, per esempio :

1) Password impostata dall' utente: "Pincopallo"

2) Password trovata dal bruteforce "Peppino di capri"

L'importante è che le due password ,una volta date in pasto all' algoritmo di Hashing utilizzato dal sistema che gestisce le autorizzazioni all' accesso , generino due message digests uguali (ossia quella stringa piena di numeri e lettere che tu chiami password criptata, ma che in realtà non è la password criptata, perchè da dati criptati , tramite un algoritmo di decrittazione, puoi sempre tornare al dato originale, in questo caso quella chiave alfanumerica altro non è che l'Hash della password generato da un algoritmo di Hashing ) .

Ciao
djcuca
23-03-2006, 12:55
comunque ha funzionato tutto :), quello che ha programmato il portale sul server dev essere un genio proprio a lasciare certe cose in giro..
cionci
23-03-2006, 19:50
comunque ha funzionato tutto :), quello che ha programmato il portale sul server dev essere un genio proprio a lasciare certe cose in giro..
Soprattutto perchè ha usato easyphp :muro: :muro: