Hack de ce site!

[ Advertise With HackThisSite.org :: Hide These Ads ] [Publicité HackThisSite.org:: cacher ces annonces]

"I never give them hell. I just tell the truth and they think it's hell." "Je n'ai jamais leur donner l'enfer. Je viens de dire la vérité et ils pensent que c'est l'enfer." -- President Harry Truman - Le président Harry Truman

Realistic 5 - Full Tutorial Réalistes 5 - Tutoriel complet
Published by: nikolanicic , on 2008-01-28 03:10:24 Publié par: nikolanicic, le 2008-01-28 03:10:24
Since there is no other walthrough/guide for Realistic Mission 5, I made one :P Comme il n'y a pas d'autres walthrough / guide pour les réalistes Mission 5, j'ai fait un: P What you will have learnt at the end of this guide : Qu'est-ce que vous aurez appris à la fin de ce guide: 1. What is hashing in general ? Qu'est-ce que le hachage en général? 2. Is hashed password safe? Mot de passe hachés est-il sûr? Can it be decrypted/cracked ? Peut-il être décrypté / fissuré? 3. What are collisions and how are they created ? Quels sont les collisions et comment sont-ils créés? ---------- Damn Telemarketers! Damn téléphone! Telemarketers are invading peoples privacy and peace and quiet. Le télévendeur envahir la vie privée des peuples et la paix et la tranquillité. Get the password for the administrative section of the site to delete their database and return the privacy of their victims! Obtenir le mot de passe pour la section administrative du site de supprimer leur base de données, et retour à la vie privée de leurs victimes! ----- From: spiffomatic64 De: spiffomatic64 Message: Yo! Message: Yo! This is Spiffomatic64 from Hackthissite.org! C'est à partir de Spiffomatic64 Hackthissite.org! I'm a bit of a hacker myself as you can see, but I recently came upon a problem I couldn't resolve... Je suis un peu de moi-même un pirate comme vous pouvez le voir, mais je suis récemment tombé sur un problème je ne pouvais pas résoudre ... Lately I've been getting calls day and night from the telemarketing place. Dernièrement, j'ai reçu des appels de jour et de nuit de la place de télémarketing. I've gone to their website and hacked it once deleting all of their phone numbers so they wouldn't call me anymore. Je suis allé à leur site web piraté et une fois la suppression de tous leurs numéros de téléphone pour ne pas appeler moi. That was a temporary fix but they put their database back up, this time with an encrypted password. Il s'agit là d'une solution provisoire, mais ils ont mis leur base de données, sauvegarde, cette fois avec un mot de passe crypté. When I hacked them I noticed everything they used was 10 years out of date and the new password seems to be a 'message digest'. Quand je leur piraté, j'ai remarqué tout ce qu'ils utilisé était de 10 ans de la date et le nouveau mot de passe semble être un 'message'. I have done some research and I think it could be something called MD5. J'ai fait des recherches et je pense qu'il pourrait être quelque chose qui s'appelle MD5. I think you could somehow reverse engineer it or brute force it. Je pense que vous pourriez en quelque sorte l'ingénierie inverse ou la force brutale il. I also think it would be a good idea to look around the server for anything that may help you. Je pense aussi que ce serait une bonne idée de regarder autour de serveur pour tout ce qui vous aider à mai. ----- http://www.hackthissite.org/missions/realistic/5/ ---------- So we begin... Ainsi, nous commençons ... First step is to observe closely all content on the site, especially the news items. La première étape est à suivre de près tout le contenu sur le site, en particulier les articles de nouvelles. Read all the news, did you find anything suspicious? Retrouvez toute l'actualité, avez-vous trouvé quelque chose suspectes? 9/15/03 - Google was grabbing links it shouldn't be so I have taken extra precautions. 9/15/03 - Google a été illicite de liens, il ne devrait pas être si j'ai pris des précautions supplémentaires. So yes, you got it, now the question is how does one prevent Google from indexing his site? Alors, oui, vous l 'ai, maintenant la question est de savoir comment peut-on empêcher Google d'indexer son site? Answer is pretty simple, google it. La réponse est assez simple, il google. Considering you have made it past the first stage, you now have access to 2 new directories. Considérant que vous avez fait passé la première étape, vous avez maintenant accès à 2 nouveaux répertoires. One will allow you to download a hash file and the other will give you a 32 bit HEX string (0-9a-f). Un vous permettra de télécharger un fichier de hachage et de l'autre vous donne un 32 bits HEX chaîne (0-9a-f). Both of these are equally important for this mission. Ces deux sont tout aussi importantes pour cette mission. Now remember go back to the Mission Message and read it again, thouroughly. Rappelez-vous maintenant retourner à la Mission des messages et de la lire de nouveau, thouroughly. It gives an idea regarding the algorithm used for hashing the password along with a statement that goes like..... Il donne une idée concernant l'algorithme de hachage utilisée pour le mot de passe avec une déclaration qui va comme ..... ...When I hacked them I noticed everything they used was 10 years out of date....... ... Quand je leur piraté, j'ai remarqué tout ce qu'ils utilisé était de 10 ans de la date ....... Suspicious isn't it? Suspect n'est-ce pas? But now since you have acquired the hash file lets make some good use of it. Mais maintenant, puisque vous avez acquis le fichier de hachage permet de faire quelques bon usage. What do you do with a file that hash no extension, open it up in notepad to see what treasure lies inside. Que faites-vous avec un fichier de hachage pas d'extension, l'ouvrir dans le Bloc-notes pour voir ce qui se trouve trésor intérieur. Yes indeed it gives you... Oui en effet il vous donne ... 1. The algorithm used for hashing L'algorithme de hachage utilisée pour 2. The Character Set used for the password. Le jeu de caractères utilisé pour le mot de passe. Now that you know what the algorithm is lets enlighten ourselves, read up a little on the algorithm. Maintenant que vous savez ce que l'algorithme permet de nous éclairer, de lire un peu sur l'algorithme. OK I wouldn't go into details explaining the actual algorithms behind hashing strings using MD4/MD5 etc but a general explanation of what hashing actually is. OK je ne voudrais pas entrer dans les détails expliquant le retard des algorithmes de hachage en utilisant des chaînes MD4/MD5 etc, mais une explication générale de ce que le hachage est en réalité. ----- A hash value (or simply hash), also called a message digest, is a number generated from a string of text. Une valeur de hachage (ou tout simplement de hachage), également appelé un message, est un nombre généré à partir d'une chaîne de texte. The hash is substantially smaller than the text itself, and is generated by a formula in such a way that it is extremely unlikely that some other text will produce the same hash value. Le hachage est sensiblement plus petit que le texte lui-même, et est généré par une formule de telle sorte qu'il est extrêmement peu probable que d'autres texte produira la même valeur de hachage. ----- http://www.webopedia.com/TERM/H/hashing.html Make a note of that last statement Prenez note de cette dernière déclaration extremely unlikely that some other text will produce the same hash value.... extrêmement peu probable que d'autres texte produira la même valeur de hachage .... Yes, indeed extremely unlikely, but definately possible. Oui, en effet extrêmement improbable, mais certainement possible. ----- Weaknesses in MD4 were demonstrated by Den Boer and Bosselaers in a paper published in 1991. Faiblesses dans MD4 a été démontré par Den Boer et Bosselaers dans un document publié en 1991. In August 2004, researchers reported generating collisions in MD4 using "hand calculation" [1], alongside attacks on later hash function designs in the MD4/MD5/SHA/RIPEMD family. En août 2004, les chercheurs ont signalé génératrices de collisions en utilisant MD4 "part de calcul" [1], aux côtés des attaques sur le côté fonction de hachage dans le cadre du concours MD4/MD5/SHA/RIPEMD famille. ----- http://en.wikipedia.org/wiki/MD4 So a little summary.. Alors, un peu sommaire .. * MD4/MD5 are message digest/hashing algorithms which will produce a 32 character hexdecimal string, no matter however long the input may be. * MD4/MD5 sont message / algorithmes de hachage qui va produire un 32 caractères hexdecimal chaîne, peu importe le temps la contribution de mai. * Since the possible combinations of hashes is a limited amount (2^128) for 128bit hashes, and the possibility of input strings is infinity, there will always be more than one string generating the same MD4/MD5 hash. * Depuis les combinaisons possibles de valeurs de hachage est une quantité limitée (2 ^ 128) pour les valeurs de hachage 128 bits, et la possibilité de chaînes de caractères d'entrée est infini, il y aura toujours plus d'une chaîne de générer le même MD4/MD5 de hachage. These strings are known as collisions. Ces chaînes sont connus comme étant des collisions. * They are one way algorithms hence, MD4/MD5 cannot be cracked, but they can be bruteforced to find collisions. * Ils sont un moyen d'algorithmes, par conséquent, MD4/MD5 ne peut pas être cassées, mais ils peuvent être bruteforced de trouver des collisions. Once you find a collision the telemarketing site will accept that password and do a md4/md5 hash of the password and compare it with the md4/md5 value stored in the database. Lorsque vous trouvez une collision de télémarketing le site accepte que le mot de passe et de faire un md4/md5 de hachage du mot de passe et le comparer avec le md4/md5 valeur stockée dans la base de données. When they match you will be given access. Quand ils correspondent vous sera donné accès. But now the question arises, how will you find a collision? Mais aujourd'hui, la question se pose, comment allez-vous trouver une collision? Simple answer again a Google search will reveal numerous tools for bruteforcing MD4/MD5 hashes. De réponse simple à nouveau une recherche Google va révéler de nombreux outils pour bruteforcing MD4/MD5 valeurs de hachage. Head on to http://membres.lycos.fr/mdcrack/ and download MDCrack GUI version. Chef à télécharger et http://membres.lycos.fr/mdcrack/ MDCrack version GUI. Now comes the fun part, where we will actually bruteforce the MD4/MD5 hash we got earlier using this tool. Maintenant vient la partie la plus agréable, où nous en fait la bruteforce de hachage MD4/MD5 nous avons obtenu plus tôt l'aide de cet outil. Enter the 32 chracter hash into the box. Entrez les 32 chracter de hachage dans la boîte. Select the Character Set you found in the hash file. Sélectionnez le jeu de caractères que vous avez trouvé dans le fichier de hachage. And from the algorithms menu select the algorithm you found within the hash file. Et les algorithmes de menu, sélectionnez l'algorithme vous avez trouvé dans le fichier de hachage. When thats done hit the Start button and wait for about 30 seconds. Quand thats fait frapper le bouton Démarrer et attendre environ 30 secondes. The program will find the first collision and stop. Le logiciel se trouve la première collision et arrêter. Make a note of that collision string, thats your password through Mission 5. Prenez note de cette chaîne de collision, thats votre mot de passe par le biais de la Mission 5. Now a few footnotes. Maintenant, quelques notes de bas de page. You may conclude from the above that MD5 algorithm is absolutely unsafe. Vous mai conclure de ce qui précède que l'algorithme MD5 est absolument impropre à la consommation. Well, not always. Eh bien, pas toujours. A general practice on a website is to accept user input of password append it on both sides with a secret key (consisting of random ASCII characters, yes, all 255 characters are allowed), and then MD5 the resultant string and compare it with the MD5 stored in the database for authentication. Une pratique générale sur un site Web est d'accepter l'entrée de l'utilisateur de joindre le mot de passe sur les deux faces d'une clé secrète (composée de caractères ASCII hasard, oui, tous les 255 caractères sont autorisés), puis MD5 la chaîne résultante et le comparer avec le MD5 stockées dans la base de données pour l'authentification. So even if you DO find a collision for that MD5 hash, its certainly of no use since when the website appends the secret key to both its sides it becomes different from what the original password string would look like when hashed using MD5. Ainsi, même si vous ne trouver une collision pour que hachage MD5, sa certainement d'aucune utilité depuis quand le site Web ajoute la clé secrète à la fois à ses côtés, il devient différent de ce que le mot de passe d'origine chaîne ressemblera à l'aide lors de hachage MD5. Example : Exemple: I find a collision for 3d5e7f9a9c47af65de95b876c065d87e Je trouve une collision pour 3d5e7f9a9c47af65de95b876c065d87e Say it is b348hi Dire qu'il est b348hi And the Secret stored in the Database of the server is hf&^ft% Et le secret dans la base de données du serveur est hf ^ p &% The actual password of the user is : flash Le mot de passe de l'utilisateur est: flash Now 'b348hi' when hashed using MD5 will generate the above hash. Now 'b348hi "lors de hachage MD5 aide va générer au-dessus de la table de hachage. But hf&^ft%b348hihf&^ft% will generate a completely different hash when compared to hf&^ft%flashhf&^ft% Mais hf ^ p &% & b348hihf ^ p% va générer un hachage complètement différent par rapport à hf ^ p &% & flashhf ^ p% By: nikolanicic Par: nikolanicic
Cast your vote on this article Voter sur cet article Note: the order of the votes has been reversed. Note: l'ordre des votes a été inversée.

Comments: Commentaires:
Published: 23 comments. Publié: 23 commentaires.

vicarious - 10:45 pm Sunday January 27th, 2008 Vicarious - 10:45 h Dimanche 27 Janvier 2008

hahahaha the end is so confusing, 10/10 hahahaha la fin est tellement confus, 10/10

But i do see some spelling errors >_> Mais je vois certaines fautes d'orthographe> _>

0x41444D54 - 09:52 am Monday January 28th, 2008 0x41444D54 - 09:52 h Lundi Janvier 28, 2008

hf&^ft% + b348hi + hf&^ft% hf ^ p &% + + b348hi hf ^ p &%
b348hi delimited by f&^ft% b348hi délimité par des f & ^ p%
hf&^ft%b348hihf&^ft% = confusion hf ^ p &% & b348hihf% ^ p = confusion
nice tutorial! tutoriel!

M0WnS4 - 04:05 pm Tuesday January 29th, 2008 M0WnS4 - 04:05 h Mardi, Janvier 29, 2008

How random to come out with this. Comment hasard pour sortir avec cela. It\'s good though, no spoilers and it reads well. Il \ 'est si bon, pas de fauteurs de troubles et il se lit bien.
For this, I give you a 10/10. Pour cela, Je vous donne un 10/10.

nikolanicic - 04:50 pm Tuesday January 29th, 2008 nikolanicic - 04:50 h Mardi, Janvier 29, 2008

Thanks everyone for commenting!!! Merci à tous pour les commentaires! Really apreciate it, comment on my profile too(IF YOU WANT OFCOURSE!!!) Some more articles comming soon(I HOPE!). Apreciate il vraiment, de faire des commentaires sur mon profil trop (si vous le souhaitez bien entendu!) D'autres articles à venir (je l'espère!). Thanks for the 10\'s, i really apreciate that too. Merci pour les 10 \ 's, i apreciate vraiment que trop.

alexdahacker - 08:52 pm Tuesday January 29th, 2008 alexdahacker - 08:52 h Mardi, Janvier 29, 2008

u wipe ur own but u ur effacer propre mais

godfather - 08:06 am Wednesday January 30th, 2008 parrain - 08:06 Mercredi 30 Janvier 2008

hmm, I think there shouldn\'t be a tutorial for a real mission as easy as this one :) hmm, je pense qu'il ne devrais \ 'est pas un tutoriel pour une véritable mission aussi simple que celui-ci:)

but anywayz 7/10 mais anywayz 7 / 10

//EDIT: 8/10 cuz you\'re nikolanicic / / EDIT: 8 / 10 cuz vous \ 'es nikolanicic

c24lightning - 05:08 pm Thursday January 31st, 2008 c24lightning - 05:08 h Jeudi 31 Janvier 2008

Nice tutorial. Nice tutorial. Although I suggest Cain-great hash cracker and a lot more.... Bien que je suggère-Cain grand pirate de hachage et bien plus encore ....

10/10 10.10

hacker_san - 01:23 am Friday February 08th, 2008 hacker_san - 01:23 h Vendredi Février 08e, 2008

its nice dat every one got their comments over here, ni try to put one of mine too......... sa belle dat chacun a leurs observations d'ici, ni essayer de mettre une mine de trop ......... Its nice to get a tutorial like this.(to be frank its really confusing cos Im new to this). Sa belle pour obtenir un tutoriel comme celui-ci. (Pour être franc vraiment sa confusion cos Im de nouveau à ce sujet). I would like to know abt cracking into windows , hacking into a site etc,. Je voudrais savoir abt fissuration dans les fenêtres, le piratage dans un site, etc. If possible any one please help me know abt the basics of hacking............. Si possible un quelconque s'il vous plaît aidez-moi savoir ABT les principes de base de piratage .............

DOOMDUDEMX - 02:56 pm Friday February 08th, 2008 DOOMDUDEMX - 02:56 h Vendredi Février 08e, 2008

i cant seem to find the site when i google it, could you name the search phrases please. i cant semblent trouver le site quand je google il, pourriez-vous le nom de phrases s'il vous plaît.

TurinPT - 01:50 pm Sunday February 17th, 2008 TurinPT - 01:50 h Dimanche Février 17, 2008

just a correction: theres no MDCrack GUI version, at least not in that site. juste une correction: There's No MDCrack version graphique, du moins pas dans ce site.

Eyeless - 06:51 am Friday February 29th, 2008 Eyeless - 06:51 h Vendredi Février 29, 2008

There is a GUI here, lol Il ya ici une interface graphique, lol
http://rs19.rapidshare.com/files/15386632/MDCrack-NG.exe

naghizodeh - 11:12 am Thursday March 06th, 2008 naghizodeh - 11:12 Jeudi 06e Mars, 2008

almost dead ,all the collision finder are just some code that never can be compile presque morts, tous de recherche de la collision ne sont que quelques exemples de code qui ne peut jamais être compiler
and that hash string never can come back to it real source you just combine your info et que chaîne de hachage ne peut jamais revenir à la vraie source, il vous suffit d'associer votre info
do not give the tools for a game... ne donnent pas les outils pour un jeu ...
i\'ll give you 1/10 i \ 'll donner vous devez 1 / 10

burnerhacker - 04:13 am Tuesday April 08th, 2008 burnerhacker - 04h13 Mardi 08 avril, 2008

where the hell do i get a collision finder ?? Où diable puis-je obtenir une recherche de collision? i need links .thanx J'ai besoin de liens. thanx

jerkhacker - 09:34 am Saturday April 19th, 2008 jerkhacker - 09:34 am Samedi 19 avril 2008

good article but your too young to write articles bon article, mais votre trop jeune pour écrire des articles

Fors4ken - 10:39 pm Sunday April 27th, 2008 Fors4ken - 10:39 h Dimanche 27 avril 2008

What the hell kind of comment is that? Qu'est-ce que l'enfer genre de commentaire est-ce? Age doesnt matter. Ne marche pas question d'âge. It was a good article. Il a été un bon article.

One thing that I though could use a bit more explanation was the character set used. Une chose que j'ai bien pu utiliser un peu plus d'explication a été le jeu de caractères utilisé. You mention when we open the file with notepad you now know the charset and algorithm. Vous parlez quand nous ouvrir le fichier avec le Bloc-notes, vous savez maintenant le jeu de caractères et de l'algorithme. I used notepad++ and notepad and while I saw the algorithm I didnt see anything saying what the charset was for sure so when I ran MDCrack I assumed it was alphanumeric. J'ai utilisé notepad + + et bloc-notes et j'ai vu alors que l'algorithme I didn't vois rien de dire ce que le jeu de caractères a été bien sûr le cas lorsque je me suis MDCrack Je suppose qu'il a été alphanumérique. Also note that MDCrack does not support regular expressions for the charset so you can either type out every letter used or use the built in shortcuts %u (uppercase) $n (numeric) %l (lowercase). Notez également que MDCrack ne prend pas en charge les expressions régulières pour le jeu de caractères de sorte que vous pouvez taper chaque lettre utilisée ou utiliser les raccourcis% en U (majuscule) $ n (numérique)% l (en minuscule).

nikolanicic - 01:12 am Wednesday May 14th, 2008 nikolanicic - 01:12 Mercredi 14 Mai 2008

Thanks to Fors4ken for leaving such an informing comment. Merci à Fors4ken pour laisser un tel commentaire informer.

futex - 11:18 pm Friday June 06th, 2008 Futex - 11:18 pm Vendredi Juin 06e, 2008

lol Great artical and iv been trying to crack the md5 with rainbow charts lol never thought that bruteforce would work. lol Grande article IV et tentent de déchiffrer le md5 arc-en-ciel avec les cartes lol jamais pensé que bruteforce pourrait fonctionner.

juleshs312 - 09:08 am Saturday June 21st, 2008 juleshs312 - 09:08 h Samedi Juin 21, 2008

I have tried this but am having problems, I got the md4 hash from /secret/admin.bak.php and the hash file that tells me the character set and algorithm from /lib/ and I have fed the 32 character hash into MDCrack, selected md4 and entered the character set found, but it cannot seem to decrypt. J'ai essayé, mais j'ai du mal, j'ai eu l'md4 de hachage / secret / admin.bak.php et le fichier de hachage qui me dit que le jeu de caractères et de l'algorithme / lib / et j'ai nourri les 32 caractères de hachage en MDCrack, md4 sélectionnés et sont entrés dans le jeu de caractères trouvés, mais il n'arrive pas à décrypter. It racks up loads of time before failing. Il racks de charges de temps avant d'échouer.

I also tried entering the hash into online bruteforcers and reverse-lookup databases to no luck, they all say it cannot be decrypted. J'ai également essayé d'entrer dans le hachage en ligne et d'inverser bruteforcers de recherche de bases de données à pas de chance, ils ont tous dit qu'il ne peut pas être décrypté.

Could you help me please, is the hash I got impossible or am I doing something wrong ? Pouvez-vous m'aider s'il vous plaît, est le résultat du hachage je suis impossible ou que je fais quelque chose de mal?

juleshs312 - 09:16 am Saturday June 21st, 2008 juleshs312 - 09:16 h Samedi Juin 21, 2008

The md4 hash the mission gives me is: Le hachage MD4 la mission me donne est:
69061b73a2949d52aaf4b3995a755d4c
If that helps. Si cette aide. Thanks, Juleshs312. Merci, Juleshs312.

Vive - 10:45 am Thursday July 24th, 2008 Vive - 10:45 Jeudi Juillet 24, 2008

Actually, Fors4ken, I think this is the char set ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789 En fait, Fors4ken, je pense que c'est le char ensemble ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789

sniffle6 - 03:44 am Friday July 25th, 2008 sniffle6 - 03:44 h Vendredi Juillet 25, 2008

could someone do mine for me and send it to me in a pm? quelqu'un pourrait faire le mien pour moi et l'envoyer à moi dans un h?
because i can not find a working MDcracker...... parce que je ne peux pas trouver un travail MDcracker ......

"122e55a076fced67fc631c5b910e92e6"

kazadduum - 12:22 am Monday September 22nd, 2008 kazadduum - 12:22 h Lundi Septembre 22, 2008

you dont need to google it,because password field reports to secret/admin.php vous n'avons pas besoin de google, parce que les rapports de terrain mot de passe secret d'/ admin.php
yeah,lecture is good, oui, lecture est bonne,
Nikola bravo majstore! Nikola majstore bravo!

kazadduum - 12:23 am Monday September 22nd, 2008 kazadduum - 12:23 h Lundi Septembre 22, 2008

This site is the collective work of the HackThisSite staff. Ce site est le travail collectif de la HackThisSite personnel. Please don't reproduce in part or whole without permission. S'il vous plaît ne pas reproduire en partie ou en totalité sans permission.
Page Generated: Mon, 01 Dec 2008 23:32:37 -0500 Exec: 10 Page générée: Mon, 01 Dec 2008 23:32:37 -0500 Exec: 10
_{Page loaded in 0.17156 seconds!} _{Page chargée en 0.17156 secondes!}

Donate Faire un don

Challenges Défis

Get Informed Informez-vous

Get Involved Impliquez-vous!

Communicate Communiquer

About HTS À propos de HTS

Translate Traduire

Partners Partenaires