Wpis z mikrobloga

Skopiuj link

25.06.2022, 07:16:06

Mam takie ciągi znaków. Pod nimi powinny kryć się hasła.
Pytanie czy one są zaszyfrowane czy może zahashowane? W jaki sposób dowiedzieć się co jest wykorzystane?

- $2y$10$H3WIcPBQzwI8IqKqhkUd.uVYH8V00bnn1e5YDfkK22uxi/r3Ahx9q
- $2y$10$GMxA6YVnR7C6wIpKrFxYauoqtIJeEXzIsBHke/C1HN2pdq/nyvR8i
- $2y$10$Hb.HN9VXqPDJ2w0gui2cPOvkrEEYvyqlh46RK/TPi8aDut5SCzSZm
#security #bezpieczenstwo #informatyka #sysadmin #niebezpiecznik

Caishen

25.06.2022, 07:18:15

$2y$10$

@Caishen: ok. Początek stringu powiedział mi, że jest to funkcja #!$%@?ąca password_hash :)

Teraz kwestia czy uda mi się poznać zawartość

Marlboras

25.06.2022, 07:19:17

@Caishen: hashkiller.io, wrzuć na forum do chłopaków

Caishen

m.....s

konto usunięte 25.06.2022, 07:19:37

@Caishen: wygląda na jakiegoś bcrypta

Caishen

25.06.2022, 07:26:57

$2y$10$H3WIcPBQzwI8IqKqhkUd.uVYH8V00bnn1e5YDfkK22uxi/r3Ahx9q - Possible algorithms: bcrypt $2*$, Blowfish (Unix)

@matwes: @Marlboras: wrzuciłem do ich hash_identifier i faktycznie pokazuje bcrypta albo Blowfisha.
Ciekawe. Muszę się rozczytać bo nie wiem czym jest sól itp.

AVOIDME

25.06.2022, 07:37:16 via iOS

@Caishen: bcrypt

roflije

25.06.2022, 08:13:35 via iOS

@Caishen: salt to losowy string dodawany do stringa z hasłem przez zshashowaniem. Pozwala to na tworzenie unikalnych zhashowanych haseł, nawet jeżeli kilku userów wrzuci to samo hasło ( ͡° ͜ʖ ͡°)

3brd

25.06.2022, 09:08:25

@roflije: raczej chodzi o to żeby zabezpieczyć się przed metoda słownikowa czy tam tęczowych tablic

roflije

25.06.2022, 09:14:21

@3brd: tez, ale nie tylko

Since salts differ from one another, they also protect redundant (e.g. commonly used, re-used) passwords, as different salted hashes are created for different instances of the same password.

https://en.wikipedia.org/wiki/Salt_(cryptography)

rosso_corsa

25.06.2022, 09:48:10

salt to losowy string dodawany do stringa z hasłem przez zshashowaniem. Pozwala to na tworzenie unikalnych zhashowanych haseł, nawet jeżeli kilku userów wrzuci to samo hasło ( ͡° ͜ʖ ͡°)

@roflije: i on tez ma roozna dlugosc zebyy wszystkie hashe byly pozniej tej samej dlugosci?

roflije

25.06.2022, 10:08:29

@rosso_corsa: Funkcje Hash maja 2 podstawowe wlasciwosci:
1) Z inputu o dowolnej dlugosci (oczywiscie zazwyczaj sa jakies gorne limity) wypluwaja hash o stalej dlugosci
2) Zmiana nawet jednego znaku z inputu skutkuje zazwyczaj calkowicie innym hashem, zupelnie niepodobny do tego bez zmiany

Co do dlugosci saltu, zazwyczaj jest stala, tylko ich wartosci sa "losowe". Przykladowo, jeden z najlepszych algorytmow do hashowania hasel, bcrypt, korzysta z 128bitowych saltow.

Na obrazku masz pokazane,

rosso_corsa

25.06.2022, 10:23:56 via Wykop Mobilny (Android)

@roflije: no tak właśnie to rozumiałem, dziwne tylko że op ma początek hasha taki sam w różnych przypadkach

Oo-oO

25.06.2022, 10:31:52

@rosso_corsa: bo to nie jest początek hasha ;) to jest identyfikator jaki algorytm został użyty do jego wygenerowania. Tu masz ładnie format rozpisany https://en.wikipedia.org/wiki/Passwd#Shadow_file

roflije

25.06.2022, 10:33:55 via iOS

@rosso_corsa: Bo to nie jest fragment wyniku hashowania, tylko wartosci zwiazane z uzytym algorytmem https://stackoverflow.com/questions/32425658/questions-regarding-phps-password-hash

Caishen

25.06.2022, 10:55:06

@roflije: @Oo-oO: @rosso_corsa: @AVOIDME: @3brd: @matwes: @Marlboras:
No to teraz tylko znaleźć słownik z haszami i hasłami (⌐ ͡■ ͜ʖ ͡■)

Dzięki za pomoc i rozjaśnienie

Oo-oO

25.06.2022, 10:59:11

@Caishen: to tak nie działa. Hash to taka funkcja która przekształca hasło w skrót. Obczaj sobie to, fajne jest sha256algorithm.com

Upraszczając - to tak jakby z całej książki przygotować streszczenie, czytając książkę możesz przygotować streszczenie (i powiedzmy że jest zawsze takie samo ;)), ale ze streszczenia nawet jak napiszesz książkę to nigdy nie będzie taka sama.

Caishen

25.06.2022, 11:03:32

@Oo-oO: dlatego potrzebuje chyba słownika? Jeśli hasło jest łatwe i było już scracowane to mogę porównać mój hash z tym co już jest znane. Jeśli się pokrywają to mam hasło. Dobrze rozumiem?

Caishen

25.06.2022, 11:05:16

Upraszczając - to tak jakby z całej książki przygotować streszczenie, czytając książkę możesz przygotować streszczenie (i powiedzmy że jest zawsze takie samo ;)), ale ze streszczenia nawet jak napiszesz książkę to nigdy nie będzie taka sama.

@Oo-oO: "I bought this cake. How can I turn it back into eggs and flour and milk?"

Oo-oO

25.06.2022, 11:07:04

@Caishen: prawie. Słowniki to zdaje się 40 GB tekstu (a może tyle spakowane? nie pamiętam). Dodatkowo to nie jest hash = funkcja-#!$%@?(haslo) tylko hash = funkcja-#!$%@?(sol+haslo) wiec musisz znalezc takie tablice ktore byly wygenerowane dla zmiennej soli...albo liczyc na kolizje hashy - czyli haslo orginalne to "sol+dupa1" natomiast dla "sol+xcvkjsef" wygenerowal sie identyczny hash.

Caishen

25.06.2022, 11:09:13

@Oo-oO: koniecznie musiała być użyta sól do tego?
Jeśli tak to może mam ją gdzieś w bazie tylko będę musiał poszukać

Oo-oO

25.06.2022, 11:11:11

@Caishen: no, musieć nie musiała, zależy kto co i jak robi, ale już od dawna mam nadzieje nikt tak nie robi :)