SAP Hashwerte

[Drag0niZer]

Hy erstmal,

ich bin neu hier im Forum, habe aber schon einiges gelesen hier und denke ich bin mit meinem Problem hier gut aufgehoben.
Ich muss beruflich einige Hashwerte herausfinden, habe mir dazu auch schon John the Ripper geholt und es auch schon an einigen Hashwerten versucht.
Haben hier ein SAP Testsystem mit Fakeaccounts, jedoch sind die Hashwerte dort anders als sie John verarbeiten kann.


|DEMO |E2D86C174A023ADF
|EULENSPIEGEL|9CD6F9251AEF1789

Das sind zb 2 Benutzer, von denen ich die PW herausbekommen soll.
Meine Frage ist nun, wie mache ich das mit JtR und ausserdem ist der Firmenlaptop recht lahm (P-M 1,7 GHZ ) ich habe noch ein MacBookPro ( C2D 2,33 GHZ ) kann ich JtR auch auf dem Mac zum laufen bekommen!!?!?

vielen dank schonmal im voraus für eure Hilfe

 

[DarthRevan]

Meiner Meinung nach hast du 0 Ahnung von Verschlüsseln, denn dann wüsstest du, dass du erst einmal den Hashalgorythmus bestimmen musst mit dem SAP Systeme verschlüsselt werden!

JTR kann natürlich nur gewisse Verschlüsselungstechniken knacken (md5, DES...) und diese Verfahren brauchen je nach Verfahren eben länger oder nicht so lang... md5 mit JTR zu knacken wäre z.B. eine reine Zeitverschwendung -> Rainbowtables oder bei schwachen md5 auch online "cracker", wobei cracker hier falsch ist, da der hash nicht wirklich gecrackt wird, sondern nur mit einer liste von verschlüsselten pws verglichen wird und so auf das klartext pw gekommen wird.


1) finde den algorythmus
2) google dann oder schreibs hier rein (ich habe keine zeit für den spaß)
3) ich erkläre dir dann wie dus am besten knackst


zu jtr
bitte auf ner linux kiste installieren und mit ./configure verfeinern, kannst gleich ma n paar zig 1000 pws/sek mehr rausholen

 

[BlackSun1102]

Hi,

Irgendwie scheint das Bruteforcen von Hashs wohl eine Art Volkssport zu werden. 8o
Jeden 2. Tag ein Thread über Hashs...

Gruß Chris

 

[DarthRevan]

Original von BlackSun1102
Hi,

Irgendwie scheint das Bruteforcen von Hashs wohl eine Art Volkssport zu werden. 8o
Jeden 2. Tag ein Thread über Hashs...

Gruß Chris

und was hat das mit diesem Beitrag zu tun, außer dass es spam ist?
kannst du dem typen nicht seine freude lassen und wenn ich ihm helfen werde, dann ist das wohl meine sache, wenn du nichts sinnvolles zu diesem beitrag zu sagen hast, dann lass es einfach, deine inkompetenten aussagen helfen weder ihm noch mir noch dem forum hier!


danke

 

[valenterry]

Ich muss beruflich einige Hashwerte herausfinden,

Soso.
Warum?

 

[DarthRevan]

Original von valenterry

Ich muss beruflich einige Hashwerte herausfinden,

Soso.
Warum?

Abgesehen, dass ich ihm das selber nicht glaube könnte er ja nen penetrationstester sein, welcher kA hat und keine Freunde hat die er um hilfe bitten könnte, -> sehr unglaubwürdig... ich denke er will ein SAP System hacken...

 

[bitmuncher]

Original von DarthRevan
Abgesehen, dass ich ihm das selber nicht glaube könnte er ja nen penetrationstester sein, welcher kA hat und keine Freunde hat die er um hilfe bitten könnte, -> sehr unglaubwürdig... ich denke er will ein SAP System hacken...

Das denke ich auch, aber poiin2000 und/oder SUID:root werden da schon richtig entscheiden und den Thread ggf. entfernen. Bei deinen Tips 1. und 2. halte ich zum Teil mit. Algorithmus rausfinden, Googlen. Danach werden hier keine Fragen mehr dazu notwendig sein, vermute ich mal.

 

[Drag0niZer]

So bevor ihr euch unnötig anzickt...
1. ja ich habe leider noch wenig Ahnung von SAP und den Hashwerten.
2. ja ich muss mich in SAP einhacken bzw. die Kollisionen finden, da ich für ein Wirtschaftsprüfer arbeite und wir somit unseren Mandanten vor augen führen können, was man alles anstellen könnte, wenn sie fahrlässig mit Berechtigungen etc umgehen.

So das dazu...

ZUrück zum Thema:

Da ich das ganze erstmal an unserem SAP Testsystem versucht habe und erstmal 2 einfache Accounts erstellt habe, um nicht unnötig Zeit zu verlieren, vlt könnt ihr mir sagen, was ich falsch mache.

Habe den User Müller und das PW: peter genommen, da ich eine Rbwtabelle erstellen wollte und das nicht zu lange dauern sollte.
also wintrgen geholt und folgende eingaben gemacht:
oracle-hash loweralpha-char min.4 max.6 zeichen chainlen 7000 und 200.000 counts

so diese tabelle für müller erstellen lassen.

Dann habe ich in Cain&Abel bei oracle hash den namen und den hashwert, den sap mir aus müller und peter gemacht hat da eingegen und die tabelle von wintrgen genommen, nur leider gibt der mir kein pw raus...
wo ist denn mein denkfehler!?!

danke und wie gesagt... ich mach das beruflich um firmen sicherer zu machen...


danke