Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиХакингВзлом за 15 минут
© Guru 28.05.2006 статья не оптимизирована

 Пятница, вечер. Я пришел домой и зашел на свой любимый канал #gfs. Обычный
день, на канале из "живых" (: были только Cobalt, Franklin и Fr1day. Я
поприветствовал их и зашел на свой любимый сайт http://www.gfs-team.ru . Мне
было интересно о чём они общались днём, во время моего отсутствия. Открыл я
значит, логи канала, и приступил к чтению. В середине, столь интеллектуально
трудоёмкого разговора между "живыми", я нашел ссылочку на ресурс кодеров с
sql-injection. Ошибка выводила хэши админов этого ресурса. "Почему бы не
сбрутить?" – стукнуло мне в голову.

 Тем временем на канале зашла речь о бруте. В первую очередь мы начали
обсуждать сколько возможно символов будет в пароле, затем какой может быть
пароль вообще. Franklin предложил длину из 5 – 9 символов, ну а Fr1day напомнила
о такой замечательной программе, как PasswordsPro. Для тех, кто не в курсе –
PasswordsPro очень удобная утилитка для подбора паролей по заданному хэшу,
которая имеет возможность разбивать сгенерированный динамический словарик на
части (это нужно для того чтобы распределить брут для нескольких компьютеров, то
есть первый компьютер брутит 1й диапазон паролей, второй компьютер брутит 2й и
т.д.)

 Хэш есть, а вот что это за хэш – можно было спорить. Вариант MySQL5 сразу
отпал, потому что максимальная длина MySQL5 хэша - 16бит. MySQL тоже отпадает,
так как на сервере стоял MySQL 5й версии. Остался один вариант – MD5 (из PHP).

 Слова словами, а брутить то надо. Запустил PasswordsPro добавил в список этот
хэш и выбрал Hash type "MD5". Передо мной стояла задача выбрать вариант пароля. 
Пароли же у каждого разные, они могут состоять из букв, букв+цифр, 
букв+цифр+символов и куча таких вариаций. Для начала хватит попробовать цифры,
так как диапазон паролей из цифр брутится быстрее всего. Выставил диапазон
допустимых символов от 0 до 9 и длину пароля от 5 до 9. Нажал на кнопочку старт
и откинулся в жесткий стульчик. Не прошло и пол минуты, как PasswordsPro сказал
что ничего не найдено. Облом, но вариантов типа хэша было ещё два
(md5(md5($password))) и md5(md5($password).$salt). На второй вариант я забил,
потому что сложно достать этот salt. Остался первый, которым я и воспользовался.
Прошла минута и от куда не возьмись возникло окошко с замечательными словами
"All passwords are found!". Вот он! Наш объект розыска (:

 Найденным объектом я сразу же поделился на нашем канале. Паролем не
отделаешься, нужно ещё им и воспользоваться... В ресурсе была админка, к которой 
пароль и логин замечательно подошли. Доступа к админке казалось мало, поэтому
нужно было сделать что-то ещё. Прежде всего захотелось поиметь мыло и аську. Но
от куда взять адрес и номер? Всё оказалось очень просто – побродив немного по
ресурсу нашелся форум. Логин и пароль подошли (как обычно). Из профиля
пользователя я достал номерочек (семизнак) и мыло. Далее оставалось всеми
любимое дело "CTRL+C и CTRL+V" (:

 Как я писал ранее, логин и пароль подошли ко всему. Вот так, всего за десять-
пятнадцать минут, удалось поиметь доступ к админке, форуму, мылу и аське.
Вывод: не стоит иметь кривой пароль (:



© Guru 28.05.2006 статья не оптимизирована

e-Commerce Partners Network
**** написал:

спасибо

ToRRuS написал:

гы. весело :D)))))))

Outlaw написал:

Это не взлом за 15 минут.
Выдрали хеш и сбрутили, не очень, так посмеятся над админами но не более!

fraIzer написал:

И в правду гуру =/ мда...

MaXL написал:

хы...помню помню, было дело :)
Три года прошло ... ж)

Light написал:

Ага,винду крякать надоедает...после таких выделок....и тем 6олее они смех над админами...лучше взломать доступ к мамому серверу ..тогда да....а дальше делай что хош...вот самый жирок!

Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
26.06.2017 07:33:17 DeweyAloma написал:
If you have a desire to learn how to earn from...
XSS Часть II
26.06.2017 07:09:03 DeweyAloma написал:
If you have a desire to learn how to earn from...
Взлом приложений WEB 2.0 из Firefox
26.06.2017 04:42:47 DeweyAloma написал:
If you have a desire to learn how to earn from...
HTTP. Описание протокола
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100