Entschlüsselungsweg 28 Chars herausfinden

Hackse

Hackse

0
Hallo,

hier sind das verschlüsselte und entschlüsselte Passwort gegeben:

<value name="passHash" id="11">{sha1}lU753sQ+bdObvLCNBRbGQ3WxQ8M=</value> Passwort: "computer3"

Wie man sieht hat die unbekannte Applikation den String
{sha1}
Zum Vergrößern anklicken....
vor das verschlüsselte Passwort geschrieben. Nun, Wortlänge und Alphabet stimmen jedoch nicht mit einem SHA1-Hash überein.

Sieht jemand wie man von dem gegebenen Passwort zu dem verschlüsselten Wert kommt?

Greetz
Hackse
 
Zuletzt bearbeitet:
Könnte der binäre Hash in Base 64 sein.
// ja ist es, base 64 dekodiert ist es genau 20 Bytes (160 Bit) groß und damit ein normaler SHA-1 Hash, nur eben etwas ungewöhnlich kodiert.
 
enkore hat gesagt.:
Könnte der binäre Hash in Base 64 sein.
// ja ist es, base 64 dekodiert ist es genau 20 Bytes (160 Bit) groß und damit ein normaler SHA-1 Hash, nur eben etwas ungewöhnlich kodiert.
Zum Vergrößern anklicken....

Genau das war auch mein erster Gedanke wegen der Länge von 20 Zeichen und dem "=" an letzter Stelle, aber dann sollte der Hex-Wert von Base64-Decode des verschlüsselten Wertes mit der SHA1-Summe des gegebenen Passwortes übereinstimmen, aber das tun sie leider nicht:

Base64 Decode:
Code: 
>>> from hashlib import sha1
>>> print 'lU753sQ+bdObvLCNBRbGQ3WxQ8M='.decode('base64').encode('hex')
[B]954ef9dec43e6dd39bbcb08d0516c64375b143c3[/B]
SHA1-Hash des Passwortes:
Code: 
echo -n computer3 | sha1sum 
[B]0ba5df2abeb92bfd4993d4a0171b2d783aeb7198[/B]  -
 
Zuletzt bearbeitet:
Bei sowas hilft eigentlich nur die Anwendung zu analysieren (reverse engineering).

Ansonsten, was wird als Hash für den leeren String ausgegeben? So kann man evt. per BruteForce das Pepper (fester, geheimer Salt) herausfinden. Wenn das aber gut gewählt ist, wirst du da nicht weit kommen.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben