htaccess knacken

[ghostdog]

Ist es irgendwie möglich ne .htaccess zu knacken?

edit: sorry, ich hab jetzt gesehn dass sonen thread in den "müll" gelangt ist. ich will keine htaccess knacken. bin kein böser pseudo hacker ich will nur wissen auf was für ne art und weise sowas geknackt werden kann. kann man die datei runterladen so wie die class'es und swf's auf try2hack.nl?

 

[Elderan]

Hallo,
- entweder Brute Force auf das Abfrage Formular.
- Die Datei .htpasswd versuchen runterzuladen (fast nie möglich) + Verschlüsselung knacken
- Exploit für den Server zu suchen, der das umgeht

 

[Gulliver]

Sofern der httpd anständig konfiguriert ist geht es nicht.
Solltest du an diese Datei kommen musst du immer noch die .htpasswd finden, wo das eigentliche passwed liegt (was aber in der htaccess hinterlegt ist).
Dieses PAsswort kannst du auch nicht knacken sondern lediglich "bruteforcen".

mfg

++ sorry fürs doppeltposten- hatte meinen Vorgänger nicht gesehen..schlechtes timing ++

 

[Prometheus]

Noch zu erwähnen wäre:
Richtig genutzt ist htaccess eines der sichersten Passwortsch.
Es ist ratsamer es durch anderen Hackingmitteln zu umgehen.
Die schon erwähnten Methoden, von den anderen ist nur Möglich, wenn die Datei in dem das PW steht, nicht mit im geschützten Ordner liegt. Es gibt Leute, die so leichtsinnig sind. Das wäre mit Bruteforcen, eine von wenigeren Methoden, die sehr sehr selten funktionieren. Die meisten htaccess Passwortsch. sind durch die BruteForce Attacke auch schon gut abgesichert und erkennen auch Bruteforce-Attacken.

 

[ghostdog]

Brute Force is ja wohl die dümmste Methode, das kann ja teilweise Jahre dauern bis alle Versuche durch sind. Also was ich jetz so raushöre im Prinzip ist .htaccess unknackbar und das sicherste PW-Schutzsystem, dass es gibt. Oder gibts da noch was besseres?

 

[Elderan]

Hallo,
warum ist Brute Force dumm? Bevor ich stunden lange nach einem Exploit suche, lasse ich lieber ein paar Sekunden lang eine Wörterliste überprüfen, und ihr werdet euch wundern wieviele User nur Wörter als Passwort genommen haben.

Klar wenn es ein schlauer User mit einem Alpha Numerischen Passwort von 10 Stelle hat, dann ist ein Bug "besser", aber ein 7 stellen alpha-nummer Passwort kann man ca. in 2-4 Stunden knacken.

 

[donalduck]

@Elderan:
Wenn du eine Wörterliste überprüfen lässt, ist es halt keine Brute Force mehr. Bei Brute Force wird doch einfach jede mögliche Buchstaben, Zahlen oder Sonderzeichen Kombination ausprobiert.

 

[DaYwAlKeRII]

ob wörterliste oder alle buchstabenkombinationen, beides ist brute force

 

[Prometheus]

Das schwere an BruteForce ist ja auch an die Loginnamen ranzukommen.
Für die BruteForce Newbies: Brute Force heißt auf deutsch Rohe Gewalt und verbindet alles was mit Ausprobieren von einzelnen Wörtern oder Fragmente aus einer Wortliste zu tun hat. Genauso wie Zufallskombinationen, die direkt von einen Programm ausprobiert werden. Bei vielen BruteForcer gibt es auch die Möglichkeit, die in der htacces Datei verschlüsselten Passwörter zu entschlüsseln. solche Passwörter werden shadowed genannt, das ist nur die Eigneschaft dieser Passwörter, denn sie sind ja verschlüsselt. Die bekanntesten und zur Zeit besten BruteForcer sind John oder Brutus. Das zum Thema BruteForce, das Web wird sicherlich noch reichliche Informationen darüber bereithalten. Auch Anleitungen zu den BruteForcern gibt es genügend.
An eurer Stelle würde ich mich nicht nur auf BruteForce spezialisieren, denn es gibt auch andere Methoden, wie man so ein Passwort knacken kann. Nur wenn ihr diese Methoden kennt und wißt wie sie funktionieren, dann würdet ihr auch wissen, wie man sie der Situation entsprechend einsetzen kann.