Gå til innhold

Hvordan hacke passord-database?


Yamato47

Anbefalte innlegg

Jeg har delt ut noen kontoer og passord her og der, men jeg har, lur som jeg er, ikke noen oversikt over hvilke passord som er knytta til de ulike kontoene.

 

Nå lurer jeg på å installere alt på nytt for å få repartisjonert eller gå over til egen ftp-bruker/passorddatabase.

 

Jeg trenger et program som utifra passord-filene under /etc kan trylle fram klartekst-passord. Jeg bruker FreeBSD 5.1 og jeg tror det er MD5-kryptering.

 

Tips?

Lenke til kommentar
Videoannonse
Annonse

det skal være mulig å få frem det krypterte passordet. jeg aner ikke en smartere løsning, men webmin kan se dette passordet. da kan du lage brukerne igjen, og skrive inn det krypterte med valget pre-encryped (i webmin) neste gang du installerer freebsd.

 

Ikke at dette har noe med saken å gjøre, men jeg vil anbefale deg å ta en titt på freebsd 4.8 når du skal reinstallere

 

EDIT: ta en titt på /etc/master.passwd og /etc/passwd . må sees som root.

f.eks nederste linja i master.passwd sier dette:

shared:goRw0jPE6RBIs:1005:1005::0:0:Shared Shit:/home/shared:/nonexistent

ganske logisk at goRw0jPE6RBIs er det krypterte passordet.

Lenke til kommentar
Md5 passord er UMULIGE å dekryptere, bare så det er sagt :-)
joda, men bruteforce er ikke noe problem, på nyere pcer tar det ikke alt for lang tid heller, så lenge du ikke har alt for mange tegn i passordet ditt så klart. John the ripper er vel den beste for denne jobben. (som også er nevt over i tråden her)
Lenke til kommentar

Er mulig å dekryptere, men tar god nok tid med en splitter ny maskin å reversere ett passord på vanlig alfanumeriske tegn, og da ender man opp med en liste over noen tusen forskjellige passord det kan være, siden en MD5-streng kan være mange forskjellige passord.

 

 

Uansett er nok det letteste å sniffe passordene med f.eks. ethercap..... (hvis det er vanlig FTP, telnet, POP3, HTTP-BASIC authentication el.l.) ssh kan også sniffes, men veit ikke helt hvordan det funker..... (kan bruke man in the middle, men hvis maskina i utgangspunktet er den som det skal kobles til, veit jeg ikke)

Lenke til kommentar
The output of MD5 is 128-bits. In a pure brute force attack, the attacker has access to the hash of message H(m). She wants to find another message m' such that:

 

H(m) = H(m').  

 

To find such message (assuming it exists) it would take a machine that could try 1,000,000,000 messages per second about 1.07E22 years. (To find m would require the same amount of time.)  

og

>>The MD5 hash is 128 bits long. This means that there are

>>340,282,366,920,938,463,463,374,607,431,768,211,456 values. This means

>>that even if you could try a TRILLION combinations a second it would take

>>you 10,790,283,070,806,014,188 years to break!

>>

>>A brute force attack against MD5 won't work.

 

Kilder;

kilde1

kilde 2.

Lenke til kommentar
Md5 passord er UMULIGE å dekryptere, bare så det er sagt :-)

 

Tja, med "litt" bruteforce går det meste... :wink:

Jeg gjentar, md5 kan ikke knekkes med dagens teknologi, med mindre du vil vente i flere år på at rett passord skal finnes da ;)

For noe tull. MD5 er jo bare 128-bits, så klart. Dette gir et meget lite nøkkelrom, kun 340282366920938463463374607431768211456 mulige nøkler. En moderne maskin kan vel prøve én nøkkel på, la oss si, fem sekunder. Det blir jo tross alt 12 nøkler i minuttet! Og enhver gjøk vet jo at man i gjennomsnitt bare trenger å prøve halvparten av nøkkelrommet før man finner den riktige, så i snitt trenger man bare å teste 170141183460469231731687303715884105728 nøkler. Med 12 tester i sekundet vil dette bare ta ... oj, 26975707677015035472426322887475 år. Men så klart, hvis man har tilgang til en million maskiner, kan man jo korte ned tiden drastisk, til kun 26975707677015035472426322 år, ikke sant????++

 

HACK THE PLANET!!1

Lenke til kommentar
Er mulig å dekryptere, men tar god nok tid med en splitter ny maskin å reversere ett passord på vanlig alfanumeriske tegn, og da ender man opp med en liste over noen tusen forskjellige passord det kan være, siden en MD5-streng kan være mange forskjellige passord.

 

Passord kan bestå av både store og små bokstaver, samt tall. Dette blir 26 * 2 + 10 = 62 mulige tegn i hver posisjon, og vi antar at passordet har lengde 8. Antall passord som da må prøves blir 62^8 = 218340105584896. Om du er kjapp nok til å prøve ti passord i sekundet, og vi antar at du finner riktig passord etter å ha kommet halvveis i søket, har du allerede kastet bort 346 175 år av livet ditt.

 

Uansett er nok det letteste å sniffe passordene med f.eks. ethercap..... (hvis det er vanlig FTP, telnet, POP3, HTTP-BASIC authentication el.l.) ssh kan også sniffes, men veit ikke helt hvordan det funker..... (kan bruke man in the middle, men hvis maskina i utgangspunktet er den som det skal kobles til, veit jeg ikke)

Det der er vel knapt nok lovlig. Tror ikke fyren ønsker å «hække» brukerne sine heller.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...