[HaBo]

abcd

Anzeige

Hi, mich würde mal interessieren wo ich die cookies finde, die erstellt wurden, wenn ich mich bei einem phpbb board angemeldet hab (also wenn ich da auf "immer angemeldet bleiben" bin) Und wird dann da das Passwort als MD5 Hash abgespeichert oder wie darf man sich das vorstellen? (ich benutze Firefox)

mfg

Xalon

X:\Documents and Settings\userXXX\Application Data\Mozilla\Firefox\Profiles\XXXXXXX.default\cook ies.txt

Suche

Xalon

abcd

Ok, danke :] Kannst du mir jetzt noch sagen, wie das bei so einem PhpBB Board verschlüsselt wird?? Oder ist das da einfach in der "rohfassung", das ergäbe doch keinen Sinn oder?

Malo

Es wird kein Passwort gespeichert (es sei denn, du verwendest Autologin). das, was gespeichert wird, ist die Session-ID. Diese wird benötigt, um herauszufinden, ob ein User noch eingeloggt oder ausgeloggt. Es werden in der Datenbank mit deiner IP z.B. die Loginzeit und die SID gespeichert. Es wird dann z.B. die SID aus der Datenbank mit der SID aus deinem Coockie verglichen (es wird zu deiner IP der entsprechende Eintrag der Datenbank gesucht). Wenn es übereinstimmt, wird noch einmal geprüft, wann du dich eingeloggt hast, bzw. wann dein letzter Seitenaufruf war. Die Differenz zur aktuellen Zeit wird dann mit einer bestimmten Zeitspanne verglichen. Dadurch findet das phpBB-Script heraus, ob du gerade eingeloggt bist oder nicht.
Das nur zur Erklärung

Im Falle des Autologins wird höchstwahrscheinlich ein MD5-hash gespeichert, der dann mit dem MD5-Hash aus der Datenbank verglichen wird.
Ein Hashverfahren lässt sich nicht eindeutig zurückberechnen (also entschlüsseln ist nicht ).

abcd

Ok, danke für die ausführliche antwort...
aber dazu, dass man md5 hashs nicht entschlüsseln kann das wiederspricht sich doch mit dem: http://hackerboard.de/thread.php?pos...306#post162306 oder?
Und was bitte bewirkt diese Seite die in dem Thread gepostet wurde? :http://www.milw0rm.com/md5/ ?? thx schonmal

Malo

Dass man MD5-Hashes eindeutig entschlüsseln kann ist mir neu. Aber vielleicht geht es ja tatsächlich.
Aber warum willst du überhaupt an das Passwort herankommen?

abcd

Wieso sollte ich an mein eingenes passwort herankommen wollen Nein, ich hab nur diesen Thread gelesen, und dachte mir, dann müsste man doch eigentlich auch die cookies entschlüsseln können, wenns ein md5 hash ist... also geht das jetzt oder nicht ?( und ich verstehe immernoch nicht wieso es solche seiten im inet gibt, wie http://www.milw0rm.com/md5/ ...? ich dachte immer ein md5hash sei nicht so irgendwie zu entschlüsseln...

Malo

Das dachte ich auch.
Wenn ich es jedoch richtig verstanden hab, verläuft das ganze nach einem bruteforce-ähnlichem Prinzip. Es wird so lange probiert, bis eine Kollision auftritt (d.H. der erzeugte Hash entspricht deinem Hash).

Du kannst aber auch selbst einen Hash erzeugen. Es gibt viele MD5-Programme, und auch der Sourcecode dürfte IMHO bekannt sein. D.H.: Einfach einen MD5-Hash erzeugen, und dann überprüfen, ob es echt funnktioniert hat

schmidtl_dd

Nur das der Algorithmus, der die Kollision findet, kein Bruteforcer ist...das würde Jahre dauern...sondern auf handelsüblichen Systemen bereits nach Stunden ein ergebniss hat... (laut Angabe des Entwicklers ca. 50 min mit nem 1,6GHz Pentium)

abcd

Aha, kann mir einer sagen wo ich so ein System finde? Weil wenn ich auf der benannten Seite einen generierten MD5 Hash eingebe, dann nimmt der den nicht an... also wenn ich auf search gehe findet der den nicht-->ich glaub mal, das liegt daran, dass es da irgendwie ein Limit gibt -.- ...

mfg

Malo

Ich meinte mit "Bruteforce-ähnlichem Konzept" ein Durchprobieren von Möglichkeiten, bis sich eine richtige Lösung finden lässt. Das ist aber soweit richtig, oder?

schmidtl_dd

Finde ich nicht...ich weiß nicht wie der Algorithmus arbeitet, aber ein simples "durchprobieren" dauert zu lange.... der wird die kollission schon echt "berechnen"

ivegotmail

seiten wie http://www.milw0rm.com/md5/ und all die anderen online hash cracking services arbeiten größtenteils mit rainbow tables.
rainbow tables werden für ein bestimmtes charset mit einer bestimmten wortlänge im voraus berechnet und in tabellen gespeichert. eine rainbow table ist also eine liste mit wörtern im klartext und den zugehörigen hash werten.
wenn man auf solch einer seite einen hash wert zum suchen einträgt, werden dann die vorhandenen rainbow tables durchsucht und wenn man glück hat, ist der gesuchte hash dabei.

dazu mal ein zitat von http://www.plain-text.info/
hier ein kleines tutorial zum thema rainbow tables:
http://hytronic.hy.funpic.de/webspac...ash%20V1.0.htm

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

schmidtl_dd

Richtig...aber ich dachte hier geht es um die gefundene Möglichkeit zu gezielten Kollisionssuche bei md5...