HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Joomla 3.x и новый алгоритм хэширования Blowfish
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 05.07.2015, 23:32
6agupa
Новичок
Регистрация: 08.05.2015
Сообщений: 27
Провел на форуме:
9392

Репутация: 0
По умолчанию
Удалось сдампить несколько сайтов на новой Joomla 3.x.

Однако, к моему удивлению, пароли в базе имеют вид:

$алгоритм$кост$EKEJ4Pyq0nGMFO67fTrR7.D1omqXBlеGhGtlBLJjWNNihRGe PWwWS6

Посмотрела код свежайшего релиза и выяснила, что теперь Joomla использует стандартную функцию PHP crypt(), которая юзает алгоритм blowfish. Кто-нибудь может подсказать онлайн-сервис для крэка этого алгоритма? Каковы шансы сбритить такой шэш хэшкатом?

И кто что вообще думает про Joomla 3.x?
 
Ответить с цитированием

  #2  
Старый 06.07.2015, 00:13
BigBear
Новичок
Регистрация: 04.12.2008
Сообщений: 11
Провел на форуме:
69033

Репутация: 8
По умолчанию
Сталкивался с таким движком. Нужно было пролезть внутрь.

В итоге обновил хэш в бд на старый солёный и залогинился. Благо права на пма были.

Другого пути для такой ситуации не вижу.
 
Ответить с цитированием

  #3  
Старый 07.07.2015, 00:02
usasoft
Новичок
Регистрация: 29.09.2007
Сообщений: 4
Провел на форуме:
40410

Репутация: 10
По умолчанию
Сбрутить можно цифры до 6 знаков, самый реальный вариант - атака по словарю

Сервис - платная расшифровка хэшей
 
Ответить с цитированием

  #4  
Старый 08.07.2015, 12:46
6agupa
Новичок
Регистрация: 08.05.2015
Сообщений: 27
Провел на форуме:
9392

Репутация: 0
По умолчанию
Цитата:
Сообщение от usasoft  

Сбрутить можно цифры до 6 знаков, самый реальный вариант - атака по словарю
Сервис - платная расшифровка хэшей
А кто предоставляет такой платный сервис по расшифровке Blowfish? И как он работает?
 
Ответить с цитированием

  #5  
Старый 08.07.2015, 13:57
faza02
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435

Репутация: 1013
По умолчанию
Цитата:
Сообщение от 6agupa  

А кто предоставляет такой платный сервис по расшифровке Blowfish? И как он работает?
он про это: /threads/355101
 
Ответить с цитированием

  #6  
Старый 08.07.2015, 18:15
strelok20094
Познающий
Регистрация: 26.03.2011
Сообщений: 81
Провел на форуме:
24770

Репутация: 2
По умолчанию
Цитата:
Сообщение от 6agupa  

Удалось сдампить несколько сайтов на новой Joomla 3.x.
Однако, к моему удивлению, пароли в базе имеют вид:
$
алгоритм
$
кост
$EKEJ4Pyq0nGMFO67fTrR7.D1omqXBlеGhGtlBLJjWNNihRGe PWwWS6
Посмотрела код свежайшего релиза и выяснила, что теперь Joomla использует стандартную функцию PHP crypt(), которая юзает алгоритм blowfish. Кто-нибудь может подсказать онлайн-сервис для крэка этого алгоритма? Каковы шансы сбритить такой шэш хэшкатом?
И кто что вообще думает про Joomla 3.x?
Вообще гугл говорит что есть онлайн сервисы по расшифровке blowfish

К примеру, 2

Насколько я понял нужно знать ключ шифрования, если у юзера через которого ты слила права file_priv = Y, то можно спокойно прочитать в конфиге этот ключ.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.