[HaBo]

ghostdog · 04.08.04, 20:07

Ist es irgendwie möglich ne .htaccess zu knacken?

edit: sorry, ich hab jetzt gesehn dass sonen thread in den "müll" gelangt ist. ich will keine htaccess knacken. bin kein böser pseudo hacker ich will nur wissen auf was für ne art und weise sowas geknackt werden kann. kann man die datei runterladen so wie die class'es und swf's auf try2hack.nl?

**Elderan** · 04.08.04, 20:16

Hallo,
- entweder Brute Force auf das Abfrage Formular.
- Die Datei .htpasswd versuchen runterzuladen (fast nie möglich) + Verschlüsselung knacken
- Exploit für den Server zu suchen, der das umgeht

Anzeige

- Anzeige -

04.08.04, 20:17

Sofern der httpd anständig konfiguriert ist geht es nicht.
Solltest du an diese Datei kommen musst du immer noch die .htpasswd finden, wo das eigentliche passwed liegt (was aber in der htaccess hinterlegt ist).
Dieses PAsswort kannst du auch nicht knacken sondern lediglich "bruteforcen".

mfg

++ sorry fürs doppeltposten- hatte meinen Vorgänger nicht gesehen..schlechtes timing

++

Prometheus · 04.08.04, 22:18

Noch zu erwähnen wäre:
Richtig genutzt ist htaccess eines der sichersten Passwortsch.
Es ist ratsamer es durch anderen Hackingmitteln zu umgehen.
Die schon erwähnten Methoden, von den anderen ist nur Möglich, wenn die Datei in dem das PW steht, nicht mit im geschützten Ordner liegt. Es gibt Leute, die so leichtsinnig sind. Das wäre mit Bruteforcen, eine von wenigeren Methoden, die sehr sehr selten funktionieren. Die meisten htaccess Passwortsch. sind durch die BruteForce Attacke auch schon gut abgesichert und erkennen auch Bruteforce-Attacken.

ghostdog · 05.08.04, 09:16

Brute Force is ja wohl die dümmste Methode, das kann ja teilweise Jahre dauern bis alle Versuche durch sind. Also was ich jetz so raushöre im Prinzip ist .htaccess unknackbar und das sicherste PW-Schutzsystem, dass es gibt. Oder gibts da noch was besseres?

**Elderan** · 05.08.04, 16:51

Hallo,
warum ist Brute Force dumm? Bevor ich stunden lange nach einem Exploit suche, lasse ich lieber ein paar Sekunden lang eine Wörterliste überprüfen, und ihr werdet euch wundern wieviele User nur Wörter als Passwort genommen haben.

Klar wenn es ein schlauer User mit einem Alpha Numerischen Passwort von 10 Stelle hat, dann ist ein Bug "besser", aber ein 7 stellen alpha-nummer Passwort kann man ca. in 2-4 Stunden knacken.

donalduck · 05.08.04, 17:04

@Elderan:
Wenn du eine Wörterliste überprüfen lässt, ist es halt keine Brute Force mehr. Bei Brute Force wird doch einfach jede mögliche Buchstaben, Zahlen oder Sonderzeichen Kombination ausprobiert.

DaYwAlKeRII · 08.08.04, 13:39

ob wörterliste oder alle buchstabenkombinationen, beides ist brute force

Prometheus · 08.08.04, 15:58

Das schwere an BruteForce ist ja auch an die Loginnamen ranzukommen.
Für die BruteForce Newbies: Brute Force heißt auf deutsch Rohe Gewalt und verbindet alles was mit Ausprobieren von einzelnen Wörtern oder Fragmente aus einer Wortliste zu tun hat. Genauso wie Zufallskombinationen, die direkt von einen Programm ausprobiert werden. Bei vielen BruteForcer gibt es auch die Möglichkeit, die in der htacces Datei verschlüsselten Passwörter zu entschlüsseln. solche Passwörter werden shadowed genannt, das ist nur die Eigneschaft dieser Passwörter, denn sie sind ja verschlüsselt. Die bekanntesten und zur Zeit besten BruteForcer sind John oder Brutus. Das zum Thema BruteForce, das Web wird sicherlich noch reichliche Informationen darüber bereithalten. Auch Anleitungen zu den BruteForcern gibt es genügend.
An eurer Stelle würde ich mich nicht nur auf BruteForce spezialisieren, denn es gibt auch andere Methoden, wie man so ein Passwort knacken kann. Nur wenn ihr diese Methoden kennt und wißt wie sie funktionieren, dann würdet ihr auch wissen, wie man sie der Situation entsprechend einsetzen kann.

Anzeige

- Anzeige -

04.08.04, 20:07	#1 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	htaccess knacken Anzeige Ist es irgendwie möglich ne .htaccess zu knacken? edit: sorry, ich hab jetzt gesehn dass sonen thread in den "müll" gelangt ist. ich will keine htaccess knacken. bin kein böser pseudo hacker ich will nur wissen auf was für ne art und weise sowas geknackt werden kann. kann man die datei runterladen so wie die class'es und swf's auf try2hack.nl? __________________ Die neuen Desire Z und Desire HD Smartphones

05.08.04, 09:16	#5 (permalink)
ghostdog Senior Member Themenstarter Registriert seit: 18.05.04 Likes: 0	Brute Force is ja wohl die dümmste Methode, das kann ja teilweise Jahre dauern bis alle Versuche durch sind. Also was ich jetz so raushöre im Prinzip ist .htaccess unknackbar und das sicherste PW-Schutzsystem, dass es gibt. Oder gibts da noch was besseres? __________________ Die neuen Desire Z und Desire HD Smartphones

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
htaccess Videostream	pinky	Network · LAN, WAN, Firewalls	6	25.08.06 14:28
htaccess Zugriffsproblem...	keymaker	Windows	7	14.04.04 20:06
.htaccess	spy	(Web-) Design und webbasierte Sprachen	5	06.03.04 17:56
.htaccess	steffen	(Web-) Design und webbasierte Sprachen	2	13.04.03 22:56
Help: HTACCESS ?!?!	Indi	(Web-) Design und webbasierte Sprachen	6	19.10.01 15:19

04.08.04, 20:16	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, - entweder Brute Force auf das Abfrage Formular. - Die Datei .htpasswd versuchen runterzuladen (fast nie möglich) + Verschlüsselung knacken - Exploit für den Server zu suchen, der das umgeht

04.08.04, 20:17	#3 (permalink)
Gulliver Guest Likes:	Sofern der httpd anständig konfiguriert ist geht es nicht. Solltest du an diese Datei kommen musst du immer noch die .htpasswd finden, wo das eigentliche passwed liegt (was aber in der htaccess hinterlegt ist). Dieses PAsswort kannst du auch nicht knacken sondern lediglich "bruteforcen". mfg ++ sorry fürs doppeltposten- hatte meinen Vorgänger nicht gesehen..schlechtes timing ++

04.08.04, 22:18	#4 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Noch zu erwähnen wäre: Richtig genutzt ist htaccess eines der sichersten Passwortsch. Es ist ratsamer es durch anderen Hackingmitteln zu umgehen. Die schon erwähnten Methoden, von den anderen ist nur Möglich, wenn die Datei in dem das PW steht, nicht mit im geschützten Ordner liegt. Es gibt Leute, die so leichtsinnig sind. Das wäre mit Bruteforcen, eine von wenigeren Methoden, die sehr sehr selten funktionieren. Die meisten htaccess Passwortsch. sind durch die BruteForce Attacke auch schon gut abgesichert und erkennen auch Bruteforce-Attacken.

05.08.04, 16:51	#6 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, warum ist Brute Force dumm? Bevor ich stunden lange nach einem Exploit suche, lasse ich lieber ein paar Sekunden lang eine Wörterliste überprüfen, und ihr werdet euch wundern wieviele User nur Wörter als Passwort genommen haben. Klar wenn es ein schlauer User mit einem Alpha Numerischen Passwort von 10 Stelle hat, dann ist ein Bug "besser", aber ein 7 stellen alpha-nummer Passwort kann man ca. in 2-4 Stunden knacken.

05.08.04, 17:04	#7 (permalink)
donalduck Registriert seit: 13.06.04 Likes: 0	@Elderan: Wenn du eine Wörterliste überprüfen lässt, ist es halt keine Brute Force mehr. Bei Brute Force wird doch einfach jede mögliche Buchstaben, Zahlen oder Sonderzeichen Kombination ausprobiert.

08.08.04, 13:39	#8 (permalink)
DaYwAlKeRII Registriert seit: 12.06.04 Likes: 0	ob wörterliste oder alle buchstabenkombinationen, beides ist brute force

08.08.04, 15:58	#9 (permalink)
Prometheus Senior Member Registriert seit: 01.01.04 Likes: 0	Das schwere an BruteForce ist ja auch an die Loginnamen ranzukommen. Für die BruteForce Newbies: Brute Force heißt auf deutsch Rohe Gewalt und verbindet alles was mit Ausprobieren von einzelnen Wörtern oder Fragmente aus einer Wortliste zu tun hat. Genauso wie Zufallskombinationen, die direkt von einen Programm ausprobiert werden. Bei vielen BruteForcer gibt es auch die Möglichkeit, die in der htacces Datei verschlüsselten Passwörter zu entschlüsseln. solche Passwörter werden shadowed genannt, das ist nur die Eigneschaft dieser Passwörter, denn sie sind ja verschlüsselt. Die bekanntesten und zur Zeit besten BruteForcer sind John oder Brutus. Das zum Thema BruteForce, das Web wird sicherlich noch reichliche Informationen darüber bereithalten. Auch Anleitungen zu den BruteForcern gibt es genügend. An eurer Stelle würde ich mich nicht nur auf BruteForce spezialisieren, denn es gibt auch andere Methoden, wie man so ein Passwort knacken kann. Nur wenn ihr diese Methoden kennt und wißt wie sie funktionieren, dann würdet ihr auch wissen, wie man sie der Situation entsprechend einsetzen kann.

[HaBo]

htaccess knacken