Bug w php-fusion

[adikx]

Witam...

Po zalogowaniu na stronie hackme.pl i zakodowaniu tam mojego hasła przez algorytm md5 mogłem się za pomocą wygenerowanego hashy zalogować lecz ponowne zalogowanie normalnym hasłem jest nie możliwe!!!

Czy to jakiś błąd???
I czy jest możliwość po uzykaniu hasha zalogować się na konto admina bez konieczności jego rozkodowania??

 

[amex]

O ile Cię dobrze zrozumiałem...

Originally posted by adikx+--><div class='quotetop'>CYTAT(adikx)</div>

Czy to jakiś błąd???[/b]

Nie, po prostu hash jest hashowany powtórnie, jednak odhashowany hash nie jest jednakowy z zahashowanym rozhashowanym hasłem xD

(namieszałem troche, mam nadzieje że jasno się wyraziłem)

<!--QuoteBegin-adikx
I czy jest możliwość po uzykaniu hasha zalogować się na konto admina bez konieczności jego rozkodowania??

jak wyżej, jak wpiszesz hash, zostanie on zahashowany, i nie będzie się zgadzał z zahashowanym hasłem...

podsumowując, nie jest to błąd, lecz logiczna kolej rzeczy...

 

[adikx]

Tak ale chyba skrypt php robi to w ten sposób:

skrypt php
BAZA::::::::::::::::::::::::::::::::::::::::::::::::::::Formularz

wysłanie zapytania z bazy::::::::::::::::::::::::::::obranie danych z formularza

odebranie i zformatowanie danych::::::::::::::::::::zakodowanie przez md5

Porównanie danych


Więdz chyba hash nie powinien zostać zmieniony w bazie danych???

 

[amex]

patrz i sprobuj skapować:

wpisujesz w formularzu hasło>haslo jest zahashowywane>zahashowane haslo jest sprawdzane

jesli w formularzu haslo wpiszesz zahashowane słowo, zostanie ono powtórnie zahashowane, i nie będzie się zgadzało z tym w bazie, co tu jest nie jasne?

 

[adikx]

Tak więc po wpisaniu hasha zamiast hasła nie powinno się zgadzać z tym w bazie czyli nie powinno dojść do zalogowania.

 

[Magnefikko]

Nie, gdyż zostanie to porównane z hashem hasha.

Przykład:

MYŚLDEBILU -> 8c94c4e4d784197ed310b72ec987f299

8c94c4e4d784197ed310b72ec987f299 -> ca360fbb05dc3878b9f29d5dfde4b5c4



Pomyśl troche logicznie ;-)

 

[ikem]

hmmm
a nie lepiej było by rozhashowac tego hasa?? za pomocą jakiejś tęczowej tablicy?
gwarantuje ze na md5 działa o ile ktoś nie przegiął z hasłem

 

[SegFault]

Originally posted by ikem
hmmm
a nie lepiej było by rozhashowac tego hasa?? za pomocą jakiejś tęczowej tablicy?
gwarantuje ze na md5 działa o ile ktoś nie przegiął z hasłem

Hash'ow sie nie da "rozhashowac"..

 

[ikem]

da się :]
tutaj dokładnie nie chodzi o rozhaszowanie tylko o wykorzystanie tęczowych tablic tablic do wielokrotnych porównań, nie złamie się tym każdego hasła i nie jest to metoda uniwersalna ale jakieś przeciętne hasełko da radę

 

[seba2122]

a może Multi koder/dekoder (wystarczy google)
_________________________________
raczej MD5 nie można od-MD5

(MD5 to chyba Hash co nie

)