Sind Captcha's decodierbar ?

Kobil83

New member
Hallo,

ich habe die Presse in den letzten Monaten verfolgt, und gehört, dass viele Datenbanken mit Passwörtern
(u.a. von E-Mailkonten) geknackt worden sind. Die Passwörter der Nutzerkonten sind oft im MD5-Hashformat,
und haben laut MD5-Spezifikation sechzehn Byte (also 32Zeichen) und sehen z.B. so
263bce650e68ab4e23f28263760b9fa5
aus. Das o.g. MD5-Hashbeispiel ist die MD5-Codierung für das Wort maria. Wie man das herausfindet? Ganz
einfach. Man lädt eine Applikation wie z.B. Cain & Abel setup.exe 8MB für WinXP aus dem Internet herunter.
In der Menuleiste der Applikation geht man auf den vierten TAB, welcher mit CRACKER bezeichnet ist,
und wählt MD5 Hashes(0) aus. Man fügt dort das genannte Hash-Wort ein. Dann rechte Maustaste
drücken, wähle den Eintrag "Brute-Force Attack". Eine halbe Sekunde nachdem
man den Start-Knopf betätigt hat, erhält man die Meldung, dass das Passwort maria ist.

Nun die Gegenprobe (maria zu einem MD5-Hash codieren). Lösung: Drücke in der Applikation die Tastenkombination
Alt+C, Text-Eingabe "maria" ergibt nun das genannte Hashwort.

Soweit aber nur zur Einführung, ich habe ein Anliegen. Ich möchte wissen, wie
es aussieht bei der Decodierung von Captcha's?

Captcha's sind (oft 6stellige Zeichen) die man von einer Grafik abliest. Die abgelesenen Zeichen
gibt man in ein Textfeld ein (z.B. wenn man zwecks Kontaktaufnahme zu einer Firma ein Formular mit Captcha
ausfülllen muss). Als Beweis, dass man ein Mensch ist, gibt man eine Zahl ein wie z.B. 717716.

Der Hashwert von der Zahl 717716 steht als Duplikat immer irgendwo im HTML der Internet-Seite. Wenn
man das Kontaktformular vor sich hat und den HTML body durchsucht, stößt man auf einen Hashwert
wie z.B. AXDI7gcAAAA= .

Ich habe einmal einige Captcha's gesammelt, und hätte gerne gewusst ob Captcha's auch wieder decodiert
werden können, beziehungsweise ob man den Hash wie AXDI7gcAAAA= rückrechnen (d.h. decodieren) kann,
wie hier in dem Fall die Rückrechnung zur Zahl 717716.

Kann man zur Decodierung den "Base64 Password Decoder" in Cain&Abel (unter "Tools") benutzen,
oder wie rechnet man den Wert AXDI7gcAAAA= nach 717716 zurück?

Anbei einige Hashes zum Testen :
Code:
AXDI7gcAAAA= 717716
x5n67QcAAAA= 703848
K6uf7gcAAAA= 780857
1Uwx7gcAAAA= 728858
mfpG7AcAAAA= 706218
Zrv26wcAAAA= 722423
Ogpf5gcAAAA= 740067
Rm1e5gcAAAA= 728334
zpl+6wcAAAA= 726932
Ms4C5gcAAAA= 736557
MaUb6QcAAAA= 712761
/cAa6QcAAAA= 724053
nftl4wcaaaa= 767265
ZCso6wcAAAA= 730205
E1p/5gcAAAA= 763946
XB4t6QcAAAA= 794058
6vmt6AcAAAA= 791945
n9PA4wcAAAA= 727742
jQ+97AcAAAA= 740378
BnhK8AcAAAA= 780240
zQf+8AcAAAA= 771837
 
Zuletzt bearbeitet:

ChiefWiggum

New member
Hi,

wenn die ersteller der Captcha's nicht ganz doof sind werden sie die Loesung nicht decodierbar vermerken. Eine sichere Methode ware das ganze an die session zu binden und die Werte Serverseitig zu speichern. Dann bekommst du nur deine SessionID zu gesicht.

Mal davon ausgegangen, dass das bei dir nicht der Fall ist und der Code wirklich in Zusammenhang mit deinem Captcha-Problem steht waere das allerdings schon dumm, da du jedes mal den gleichen Captcha-Code und die Captcha-Antwort schicken koenntest und das jedes mal matchen wuerde. Das wuerde bedeuten mit einem Hash/Text-Paar koennte man alle Captcha-Anfragen umgehen. Wenns nicht noch eine Session-Komponente gibt ;)
 

SchwarzeBeere

Moderator
Mitarbeiter
Der Hashwert von der Zahl 717716 steht als Duplikat immer irgendwo im HTML der Internet-Seite. Wenn
man das Kontaktformular vor sich hat und den HTML body durchsucht, stößt man auf einen Hashwert
wie z.B. AXDI7gcAAAA= .

Wie du schon selbst herausgefunden hast, ist das kein Hashwert, sondern lediglich die einzugebende Zahl in Base64-Kodierung. Das Wort Kodierung bedeutet hierbei, dass du die Eingabe nur in einer anderen Form darstellst. Base64 kommt z.B. dann zum Einsatz, wenn du Zeichen auf dem Bildschirm ausgeben willst, die nicht printable sind.

Dies ist bei Hashes nicht der Fall, denn Hashes können nicht zurückgerechnet werden. Um diesen Punkt besser zur verstehen, könntest du dir z.B. eine große Datei anschauen, von der du den Hash-Wert bildest. Der Hash ist in der Regel um ein vielfaches kleiner als die Datei und man kann somit vom Hash niemals auf die Datei schliessen. Schwächere Hash-Algorithmen leiden jedoch darunter, dass sie nicht kollisionsresistent sind, d.h. du findest zwei Eingaben, die z.B. den selben MD5-Hash bilden. Was du jetzt mit Cain machst, ist eine einfache Suche nach einem Begriff, dessen Hash-Wert dem gesuchten Hash-Wert entspricht. Hier wird also nicht zurückgerechnet, sondern es werden nur so lange Hashes gebildet, bis dein gesuchter Hash zufällig mal auftritt. Und selbst dann kannst du dir nicht sicher sein, dass die Orginaleingabe dem entsprichst, was du als Eingabe gefunden hast.

Ich habe einmal einige Captcha's gesammelt, und hätte gerne gewusst ob Captcha's auch wieder decodiert
werden können, beziehungsweise ob man den Hash wie AXDI7gcAAAA= rückrechnen (d.h. decodieren) kann,
wie hier in dem Fall die Rückrechnung zur Zahl 717716.
Das ist - wie schon richtig angemerkt - mit Cain problemlos möglich, oder du bastelst dir selbst eine Lösung zur Automatisierung, siehe z.B. Base64 Implementierungen.

Allerdins bin ich derselben Meinung wie Chief Wiggum: Der Anbieter wäre schön dumm, wenn er die Zeichen, die im Captcha angezeigt werden, im Sourcecode hinterlegt. Das würde das Captcha ziemich nutzlos machen. Würde er das nicht machen, dann müsste man versuchen, das Captcha zu erkennen, was schon deutlich aufwändiger ist.
 
Zuletzt bearbeitet:

end4win

Member of Honour
Kann man zur Decodierung den "Base64 Password Decoder" in Cain&Abel (unter "Tools") benutzen,
oder wie rechnet man den Wert AXDI7gcAAAA= nach 717716 zurück?
.......

hier war mal SB's Text in anderen Worten

........

Bei automatisierten Angriffen auf Captchas wird in der Regel OCR-Software benutzt um die Kombination
zu erkennen.
Ist in Zwischenzeit so effektiv, dass die Captachas so gestaltet sind das Menschen
grösste Schwierigkeiten haben diese zu erkennen. :D

Gruss
 

Shiftl3ss

New member
.......

hier war mal SB's Text in anderen Worten

........

Bei automatisierten Angriffen auf Captchas wird in der Regel OCR-Software benutzt um die Kombination
zu erkennen.
Ist in Zwischenzeit so effektiv, dass die Captachas so gestaltet sind das Menschen
grösste Schwierigkeiten haben diese zu erkennen. :D

Gruss

Allerdings, da ist was dran. Hab mich eben angemeldet und 4 Versuche benötigt. :rolleyes:
 
Oben