Перейти к контенту
  • 0

как узнать пароль из md5


Вопрос

Рекомендуемые сообщения

  • 0

А зачем его, собственно, узнавать? Чтобы спереть пароли пользователей с форума?

Тут как-то обсуждался один из способов, чтобы отлавливать пароли пользователей в нормальном виде (при регистрации и при изменение). Правда, это не безопастно, т.к. пароли будут хранится в открытом виде в БД. Если кто-нибудь получит доступ к БД, то могут быть большие проблем...

Как заметил Mitos - никак. Правда, можно попробывать подобрать к хэшу пароль. Такой метод называется брутфорсом. Как использовать этот метод, что использовать для него я описывать не буду. Ибо, нехер расшифровывать чужие хэши.

А свой пароль можно восстановить с помощью "Восстановления пароля".

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Вообще-то я сам админ форума, чужие паролу мне в принципе не нужны, но... одна падла залезла в админку... через бд нашел его пасс в md5, можно ли еще как-нибудь узнать его пароль?
Ссылка на комментарий
Поделиться на других сайтах

  • 0
sM1Le, а где именно в бд пароли храняться?

Пароли? Они хранятся в зашифрованном виде в БД. А то, что я описал - это нужно по форуму искать, как отлавливать "чистый" пароли. Была такая тема.

 

Люди, выручайте. Неужели в IPB админ не может узнать пароли пользователей?

Нет, не может. В этом нет смысла. Администратору не нужно знать пароли пользователей. Так безопастнее для всех.[1120688102:1120692743]Cranium, вот на вскидку, что я нашёл благодаря поиску:

пароли на форуме 2.0.0 ?

Где прописать пароль?

Определения пароля пользователя

как вынуть пароль пользователей?

Шифрование в 2.0.0

Пароли юзеров. v.2.0.3

... не маленький список.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

если он залез в админку без твоего разрешения:

1) удалить его

2) забанить

3) сменить ему пароль, только он потом его опять узнает через восстановление

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Ток брутом можно. Возьми прогу md5inside и ей засшифровывай хеши. На всяк случай ещё качни словарики для брута. http://www.passwords.ru/dic.htm

Если у него пароль несложный, то может и сможешь перебрать или по словаям вначале попытайся, но возможно может не получится !

Ссылка на комментарий
Поделиться на других сайтах

  • 0

===========

через бд нашел его пасс в md5, можно ли еще как-нибудь узнать его пароль?

===========

В базе не хранятся пароли, ты нашел не пасс, а хеш, что не одно и тоже.

Лучше бы защитой админки занялся... А приваты этого чела ты и без пароля можешь прочитать.

 

 

 

=========

3) сменить ему пароль, только он потом его опять узнает через восстановление

=========

Так е-майл тоже сменить можно, на свой... :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0
если уж так горит узнать пароль, то нужно залезть в БД, достать от туда хеш, расшифровать его с помощью спецпроги (коих дофига как много). Вот и все. Тока такое проканает, если версия ворума не выше 1.3. В версиях 2.х добавляется "соль" она добавляет еще примерно около 800000 комбинаций. Так что для 2.х не проканает. Хотя если есть время ....
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Так е-майл тоже сменить можно, на свой... :D

 

Почему-то меня не оставляет подозрение, что узнать пароль хотят у админа root, у которого e-mail на свой по-любому не поменяешь, будь ты хоть трижды админом, да только не root ;)

Иначе проблем бы точно не было - мейл поменял, пароль узнал, потом мейл старый вернул... Если уж так приспичило ))

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Смерть MD5

 

было уже, обсуждали, на брут нормального семизначного пароля уйдут многие силы пня четвертого экстрим.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Я для прикола, на локалхосте ( с локальной сети ) разшифровал пароль у пацана ;)

это конечно нелегко ( особено есле у тебя есть подборщик md5 хешей, но нету нормального славоря для него :) )

и потом завизал с этой бякой, так как все могут забить на твой форум и будеш сидеть сам с сабой базарить. :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Так е-майл тоже сменить можно, на свой... :D

 

Почему-то меня не оставляет подозрение, что узнать пароль хотят у админа root, у которого e-mail на свой по-любому не поменяешь, будь ты хоть трижды админом, да только не root ;)

Иначе проблем бы точно не было - мейл поменял, пароль узнал, потом мейл старый вернул... Если уж так приспичило ))

В любой версии инвижена.

До сих пор не исправлена эта лазейка.

"будь ты хоть трижды админом" - создаёшь себе отдельную группу с доступом в админку. Грохаешь группу с переносом всех её юзверей (себя) в рута.

И вуаля - ты рут - что хошь потом, то и делай.

Никаких особомудрствований для этого не надо.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
В большинстве случаев, можно попробывать подделать Cookie обозревателя, если я правильно понял автора темы, он расчитывает под этим паролем навредить ему на других форумах, где он не админ или что-то в этом роде.
Ссылка на комментарий
Поделиться на других сайтах

  • 0

2kpuknet

Хех...MD5 кодируется в одну сторону

Ра скодировка в этом скрипте строится на логе закодированных фраз. Тоесть пока ктонибудь не закодирует слово LOH, никто не сможет раскодировать fd712e85b2d9a7ed1c8335eaaef9c7b7

Ссылка на комментарий
Поделиться на других сайтах

  • 0

А смысл "расшифровывать"? В куках хранится логин_кей. Это не пароль.

Он зашфирован на 32 байта, это подбирать наверно полгода, не меньше, да и то смысла особого нет, т.к. пока подбирашь, логин_кей не раз сменится.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Если кто собрался подбирать пароль к MD5 хешу, то я рекомендую ЭТОТ online-сервис по подбору паролей к хешам MD5, MySQL, SHA1. Если пароль не сложный, то Вы его узнаете. Так же можно для этих целей использовать такие программы как MD5Inside или PasswordsPro. Но, если же зашифрованный пароль состоит из сомволов разного регистра, цифр и спец. символов, то такой пароль расшифровать не представляется возможным.

Далее, тут был вопрос о том, как сделать так, чтобы пароль Юзера при регистрации сохранялся где-то, в БД или же можно сделать в текстовом файле.

Я предлагаю сохранять в БД. Вот как можно это реализовать.

Для начала Выполняем следующий SQL-запрос

ALTER TABLE `ibf_members_converge` ADD `converge_pass` VARCHAR( 32 ) NOT NULL ;

Потом открываем файл ./sources/register.php и находим там следующие строчки

		$converge = array( 'converge_email'	 => $in_email,
					   'converge_joined'	=> time(),
					   'converge_pass_hash' => $passhash,
					   'converge_pass_salt' => str_replace( '\\', "\\\\", $salt )
					 );

Добавляем туда одну строчку и в итоге у нас получается

		$converge = array( 'converge_email'	 => $in_email,
					   'converge_joined'	=> time(),
					   'converge_pass_hash' => $passhash,
					   'converge_pass_salt' => str_replace( '\\', "\\\\", $salt ),
					   'converge_pass'	  => $in_password
					 );

Вот и всё. Теперь в колонке converge_pass у нас будет хранится чистый пароль указанный при регистрации для каждого Юзера.

Но Вы, наверное, спросите:"А что, если юзер сменит свой пароль? В БД останется старый?" - Да, но сейчас мы это исправим.

Открываем файл ./sources/usercp.php и находим в нем следующую строчку

$DB->do_update( 'members', array( 'member_login_key' => $key ), 'id='.$ibforums->member['id'] );

Добавляем ниже

$DB->do_update( 'members_converge', array( 'converge_pass' => $new_pass ), 'converge_id='.$ibforums->member['id'] );

Всё, теперь, если юзер сменит пароль, то он так же заменится и в БД.

В случае Топикстартера могу предложить забанить его или полностью удалить его аккаунт и, когда он зарегистрируется вновь, у Вас будет его пароль, как Вы собственно и хотели.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

[zi]

Ты в своем уме?

Только довольно не здоровый админ сделает такое. Объект для взломов номер один это именно табблица с паролями.

И что же полуячит злоумышленник если ан форуме такие измениня введены? Правильно он получит пароли на блюдечке с голубой каемочкой.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

xRay

Я рассказал то, о чем просил рассказать Топикстартер.

А, если админ нормальный, то Злоумышленник Никогда не получит доступ к БД форума.

В любом случае это можно реализовать и по другому.. не суть важно.

Даже если пароли в БД не лежат в открытом виде, а лежат только хеши, то Взломщик все равно сможет пользоваться аккаунтами Юзеров форума, просто меняя определенные значения в Куках.. только, если нет привязки к IP.. хотя даже привязку к IP можно обойти при помощи X-Forwarded-For...

Кстати, на форумах xakep.ru Пароли в БД лежат в открытом виде и никак не хешируются. И что?

Я думаю обсуждать это бессмысленно.

Я всего лишь ответил на вопрос о реализации.. а о безопасности меня никто не спрашивал.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.