parola MD5 hacking printr-un proxy
Nu voi spune pentru cine și în ce scop descifrat, mai bine scrie cum să facă acest lucru.
Datele inițiale: sql-dump tabelul de utilizator cu două coloane: e-mail, MD5 (parola). Numărul de intrări: 140 000. Baza unui forum mare.
În acest moment în rețea există mențiuni cu privire la găsirea rapidă coliziuni MD5. Ca și chinezii în urmă cu câțiva ani, am spus despre ea, dar nu am găsit serviciile gata făcute, sau script-uri (poate inestetice). Cu toate acestea, după cum sa dovedit, parolele pot descifra căutare simplă.
metoda de selecție
Atunci toate parola criptate, și să încerce să-l găsiți în tabelul de pe câmpul MD5 (cuvânt). Dacă un hash este, înseamnă că parola este un cuvânt din dicționar.
Exemplu. Ia b513f22c3db6932855ad732f5f8a10a2 parola criptată, găsiți în tabelul de dicționar. Deci astalavista parola originală
Căutați cu ajutorul unui dicționar
Rețeaua este plină de dicționare. De obicei, acest fișier .txt în care fiecare cuvânt începe cu o nouă linie. Ca rezultat, am obține un dicționar de 4 milioane de cuvinte.
Apoi, face SQL-interogare (vezi. De exemplu, astalavista de mai sus cu o parolă)
Voila! 20.000 decripta parola!
Servicii de hacking MD5
4,000,000 cuvinte - nu este suficient. Ai nevoie de un dicționar în zeci de milioane de combinații. Există mai multe servicii, care conțin o astfel de bază de date de mare.
M-am bucurat serviciul www.netmd5crack.com. Acesta conține aproximativ 160 000 000 000 000 MD5 Hash. Cu toate acestea, acest serviciu vă permite să faceți doar 100 de interogări pe zi de la un IP. Și am să descifreze încă 120.000 de parole. Pe computerul de acasă (un IP) ar dura 3 ani. Așa că am folosit un proxy.
Proxy pentru a sparge md5
Proxy-uri sunt plătite și gratuite. Proxy gratuit - este putred, aproape toate nu sunt de lucru sau încetini teribil. Prin urmare, puteți cumpăra acces la proxy plătit. De obicei, este în valoare de 10-30 $ pe lună. M-am bucurat freeproxylist.org de serviciu. Plata prin WebMoney.
Am avut o placă într-o bază de date, pe care am descarcat proxy. Pentru a nu supraîncărca serverul proxy, atunci când verifică fiecare parolă. câmp actitvity este utilizat pentru a fixa dacă proxy funcționează sau nu. Nu vă așteptați ca toate proxy-uri plătite vor funcționa.
La primirea listelor de proxy, am folosit următoarele setări
Pentru a accesa serviciul pentru spargerea proxy MD5 am folosit Vechiul, tip fscocketopen () fără multiproksi și FLEXIE. Imprastiati o versiune simplificată (fără PLO, diverse controale, acces la baza de date)
Scenariul este plasat într-un cron sau poate fi utilizat aici este o soluție simplă. Crearea unui document HTML. Conectarea bibliotecii jQuery.
Încărcați-l pe același domeniu, care este php-script (în cazul meu a fost localhost). Acest fișier va lansa script-ul md5.php prin intermediul AJAX. Acest HTML-fișier al cărui capete nume trebuie să se afle exact pe același domeniu în care script PHP, AJAX nu permite solicitări între domenii. Odată ce script-ul este verificat o dată o parolă, din nou ne întoarcem la el, și așa mai departe până atunci, până când a verifica afară toate parolele.
La verificarea 100.000 de parole durează 1 săptămâni - un timp destul de rezonabil, dacă aveți unde să se grăbească. Dacă aveți nevoie pentru a descifra un număr de parole pentru o zi, nu poți face fără multiproksi. Apropo, în cazul ruperii prin intermediul dicționarului de pe computerul local hacking durează câteva secunde. Dar, după cum am spus, pentru a face o astfel de dicționar de pe computerul de acasă este foarte problematică.
Deci, de la 120.000 de parole decriptate rămase erau încă 40 000. În total avem 43% hacked parole (60.000 de 140.000).
parola Statistica
- 4000 utilizatori folosesc parola numerică
- utilizatorii 1700 folosesc o parolă de 1-5 caractere
- utilizatorii 540 folosesc tastatura QWERTY parola
ce urmează
S-ar părea, de ce avem nevoie de parole de la un anumit forum. Dacă pe forum admin poate face ea însăși orice acțiune de către orice utilizator de pe forum. Dar nu numai că utilizatorii folosesc parole simple, prin urmare 10-20% folosesc aceeași parolă pentru tot. Oficiul poștal, pe colegii de clasă, pe ICQ, etc.
Ce să fac?
- Utilizați o parolă complexă.
- Nu utilizați aceeași parolă pentru toate serviciile pe care le utilizați.
- Sfaturi pentru dezvoltatori, astfel încât parolele criptate furate au fost dificil de descifrat, este necesar să se utilizeze criptarea cu sare. Chiar dacă baza cădea în mâini greșite, atunci decripta aceste parole sărate va fi practic imposibil de utilizat dicționare.