È possibile decifrare la password di hash di Joomla?

0

Sono uno sviluppatore e improvvisamente cado in una situazione stupida come ho bisogno di rompere una password hash Joomla che è ( 5aa154999c111bf7f33a1a3cadba5847 ) e non conosco il < em> sale . c'è un modo per rompere questa password hash?

    
posta Antu 09.09.2018 - 06:00
fonte

2 risposte

4

Proprio come ha detto Swashbuckler - "decrypt" o "dehash" o "reverse" sono quasi sempre le parole sbagliate per attaccare gli hash delle password.

Ma puoi provare a crack - anche con un sale sconosciuto. Ciò implica provare molte possibili stringhe, per vedere se risultano nello stesso hash. È più difficile se il sale è anche sconosciuto.

Se è più vecchio di Joomla, è MD5-ish (anche se non sono sicuro dei dettagli lì, scavare nel codice sorgente per Joomla più vecchio o John the Ripper o hashcat probabilmente lo dirà). Il più recente Joomla usa phpass, quindi ci sono alcuni possibili sali, quindi probabilmente questo non sarebbe banale (a meno che la password non sia banale).

Modifica: guardando questa risposta e altre fonti, a meno che la tua sia stata un'implementazione ingenua personalizzata, Joomla gli hash precedenti a 2.5.18 avevano un grande sale a 32 esagoni (possibilità di 16 ^ 32 o ~ 34x10 ^ 38). Anche se la password è 'password', spezzare questo hash senza il sale sarebbe molto improbabile.

    
risposta data 09.09.2018 - 06:29
fonte
0

Se sei riuscito a ottenere l'hash, probabilmente puoi ottenere anche il sale. Non so di Joomla, ma ogni software che ho visto memorizza l'hash della password e il sale insieme nella stessa tabella o anche come unica stringa

Se possiedi entrambi, puoi provare ad eseguire attacchi bruteforce, cioè hash ogni possibile password usando quel salt e controlla se è lo stesso. Questo è un tempo costoso perché devi scorrere tutti i possibili caratteri per ogni posizione nella password. L'utilizzo di tutti i caratteri stampabili ti dà le password possibili 100 ^ (lunghezza della password), e se non conosci la lunghezza effettiva della password devi ripetere questa procedura per ogni possibile lunghezza

I'm a developer and suddenly I fall in a stupid situation like I need to crack a hash

Da quello che stai dicendo, sembra che tu abbia dimenticato la tua password o una già nota. In questo caso, ti consiglio di creare un dizionario di password con una password semplice che potresti aver usato e applicare un attacco basato su regole usando hashcat o john the ripper. Questo dizionario NON dovrebbe avere trasformazioni, per esempio se la tua password è P@s5W0rd! il dizionario dovrebbe contenere solo password in quanto le regole faranno tutte le possibili trasformazioni. Come funzionano gli attacchi basati sulle regole va oltre lo scopo di questa domanda, ma la documentazione di hashcat lo spiega molto bene e hashcat include molte regole per le trasformazioni comuni.

Inoltre, se stai tentando di ripristinare l'accesso a un'istanza di Joomla e disponi dell'accesso in scrittura al database, è molto più ottimale sostituire l'hash e il sale. Per farlo basta dare un'occhiata al codice sorgente di Joomla per vedere come viene sottoposto a hash e fare lo stesso con una nuova password o usare un'applicazione web come questa (Nel caso in cui si passi con l'applicazione web, per una maggiore sicurezza si prega di cambiare la password tramite Joomla dopo averne inserita una nuova nel database)

    
risposta data 09.09.2018 - 17:24
fonte

Leggi altre domande sui tag