Twitter Timeline
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz2 months ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G3 months ago
- Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp3 months ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI3 months ago
- Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
- RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
- Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
- RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
- Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
- Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
- Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
- Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
- Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
- Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
- Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
- Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337948 months ago
- Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
- JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
- RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago
Saturday, 24. November 2007
md5 mit Google, Bash oder per Webformular "cracken"
Mit einem Schmunzeln las ich kürzlich den Blogeintrag "Google as a password cracker" bzw. den Artikel dazu auf heise.de. Da hat also Jemand zufällig einen MD5-Hash "reverse lookup'en" können, indem er ihn bei Google eingegeben hat. Er kam dann darauf, dass der Hash "20f1aeb7819d7858684c898d1e98c1bb" aus dem Wort "Anthony" entstand. Inzwischen oder evtl auch schon viel länger kann man das übrigens auch mit dem "reverse engineer" auf md5.rednoize.com herausbekommen - ebenso derzeit 48.424.776 weitere Hashes. Eine wirklich interessante Website 
Einmal mehr sieht man daran, dass normales MD5-Hashing nicht (mehr) ausreicht, um Passwörter sicher zu speichern. Da sollte man wenigstens mit einem Salt oder besser gleich mit SHA1 arbeiten, um die Passwörter sicher in irgendwelchen Datenbanken etc. zu speichern. Für den Endanwender bleibt es natürlich dabei, ein möglichst komplexes Passwort zu verwenden. "Anthony" gehört übrigens definitiv nicht dazu.
Linux selbst eignet sich übrigens im Zusammenspiel mit PERL auch perfekt zum "Cracken" von MD5's, dabei kann man sich direkt das Dictionary mit seinen derzeit 98.569 gängien Worten (auf meinem Ubuntu-Laptop eben nachgezählt) unter /usr/share/dict/words zu nutze machen:
Achja, und die Bash selbst kann das natürlich auch, wenn auch deutlich langsamer:
PS: Wer e7c76cef847afb15ad91d9fa29321509 "knackt", kann sich einen Keks nehmen
Einmal mehr sieht man daran, dass normales MD5-Hashing nicht (mehr) ausreicht, um Passwörter sicher zu speichern. Da sollte man wenigstens mit einem Salt oder besser gleich mit SHA1 arbeiten, um die Passwörter sicher in irgendwelchen Datenbanken etc. zu speichern. Für den Endanwender bleibt es natürlich dabei, ein möglichst komplexes Passwort zu verwenden. "Anthony" gehört übrigens definitiv nicht dazu.
Linux selbst eignet sich übrigens im Zusammenspiel mit PERL auch perfekt zum "Cracken" von MD5's, dabei kann man sich direkt das Dictionary mit seinen derzeit 98.569 gängien Worten (auf meinem Ubuntu-Laptop eben nachgezählt) unter /usr/share/dict/words zu nutze machen:
perl '-MDigest::MD5(md5_hex)' -ne 'chomp; print "$_\n" if md5_hex($_)Obiges Kommando gibt, wie sollte es anders sein, "Anthony" zurück
eq "20f1aeb7819d7858684c898d1e98c1bb"' /usr/share/dict/words
Achja, und die Bash selbst kann das natürlich auch, wenn auch deutlich langsamer:
for i in `cat /usr/share/dict/words`; do echo -n $i | md5sum | grep 20f1aeb7819d7858684c898d1e98c1bb && echo -n $i; done
PS: Wer e7c76cef847afb15ad91d9fa29321509 "knackt", kann sich einen Keks nehmen
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Jetz will ich aber auch meinen Keks!
Hehe, hier hab ich ihn hinterlegt:
http://www.pixelio.de/data/media/148/Schwarz-Wei-Keks_2.jpg
Musst Du nur noch downloaden und essen ...
Aber http://md5.rednoize.com/ is schon cool, oder?
http://www.pixelio.de/data/media/148/Schwarz-Wei-Keks_2.jpg
Musst Du nur noch downloaden und essen ...
Aber http://md5.rednoize.com/ is schon cool, oder?
Ich ertappe mich manchmal dabei md5-Hashes noch bei kleinen, internen Tools zu benutzen aber ich denke dort ist das noch akzeptabel... Ist halt das erste was man lernt und hat sich eingeprägt
Der DAU-optimierte Artikel von Heise hat auch mir ein Schmunzeln beschert, aber was nützt all die Aufklärung? Ich bezweifel, dass ein Webmaster, der die Passwörter seiner Benutzer per md5() hinterlegt, SQL-Injections vorbeugt oder $_GET und $_POST benutzt.
Der DAU-optimierte Artikel von Heise hat auch mir ein Schmunzeln beschert, aber was nützt all die Aufklärung? Ich bezweifel, dass ein Webmaster, der die Passwörter seiner Benutzer per md5() hinterlegt, SQL-Injections vorbeugt oder $_GET und $_POST benutzt.
wenn ihr auf md5 hack programme und seiten steht, klickt ma hier rauf ^^
http://hacker.kilu.de/viewtopic.php?t=47
ich hab ein programm gemacht, der vier verschiedene seiten durchsucht... eines davon hat meisstens die richtige lösung
http://md5.rednoize.com/ is auch dabei
http://hacker.kilu.de/viewtopic.php?t=47
ich hab ein programm gemacht, der vier verschiedene seiten durchsucht... eines davon hat meisstens die richtige lösung
http://md5.rednoize.com/ is auch dabei
Vielleicht ist das hier ganz interessant: http://www.sha1-lookup.com
wer das knackt ist bekommt kiste bier:-)
deb42c40210ad531d19720fb598fa67c
deb42c40210ad531d19720fb598fa67c
Die geschickteste Seite um MD5-Hashes ist meiner Meinung nach hashkiller.com.
Eine Art von Meta-Cracker mit eigener Datenbank. Sie durchsucht mehr als 20 MD5-Cracker und hat eine eigene Datenbank. User dieser Community können mit dem Prinzip "OpenCrack" noch nicht gecrackte Hashes brutforcen und veröffentlichen. Natürlich ist das Cracken von MD5s nur für den Bildungszweck und eigenen Sicherheit.
Um Hashes zu Cracken muss man sich allerdings anmelden.
MfG anonym
Eine Art von Meta-Cracker mit eigener Datenbank. Sie durchsucht mehr als 20 MD5-Cracker und hat eine eigene Datenbank. User dieser Community können mit dem Prinzip "OpenCrack" noch nicht gecrackte Hashes brutforcen und veröffentlichen. Natürlich ist das Cracken von MD5s nur für den Bildungszweck und eigenen Sicherheit.
Um Hashes zu Cracken muss man sich allerdings anmelden.
MfG anonym
wer das knackt ist bekommt 50 euro:-)
d9a01c3c842600e5396dae3ba61f711c
d9a01c3c842600e5396dae3ba61f711c
powered by
Suche
Kommentare
04.01.12 20:34
Hallo Freunde,
Da ich genau das gleiche Pr [...]
12.12.11 02:46
Hi, ich habe seit einem halben Jahr das Acer [...]
07.12.11 10:03
Ich bin gestern auf Ultrasurf (http://ultras [...]
29.11.11 17:24
Versuchs mal mit Proxys von hidemyass.com - [...]
24.11.11 09:13
Habe den Server nun wieder gekündigt. War wo [...]
16.11.11 19:13
In der USA sind leider manchmal auch ein paa [...]
16.11.11 17:27
Nette Sache, war der Speed in Ordnung? Der P [...]
16.11.11 17:24
Ich habe für den Zweck ein SSH-basierten Pro [...]
16.11.11 17:04
Ja, außerdem sollte es doch dann mit Tinypro [...]
16.11.11 17:03
In der squid.conf den Parameter
forwarded [...]
