HASH

    CTF #nullcon 2012: Programación 5

    nullcon1.jpg

    Bueno llegamos a la quinta prueba de la categoría y que como veremos no tiene nada de programación, a menos que te quieras crear tu propio crackeador de MD5.

    La prueba consistía en lo siguiente: tenemos una página dónde introducimos cualquier texto y nos devolvía un hash. Si miramos el código fuente de dicha página una vez nos ha dado el hash, encontramos una pista:

    Es decir, password en este case es el texto que nosotros introducimos, a éste se le añade un texto que no conocemos (salt) y se calcula el MD5. Nuestro objetivo es averiguar dicha salt.

    Jan 30, 2012
    CyberlabProgramaciónHacking

    Encuentra mi hash

    550px-Rainbow_table1.svg.png

    La única forma de crackear un hash es a través de fuerza bruta. Como ya sabéis, un hash es el resultado de la aplicación de una función hash, valga la redundancia, aplicado a una entrada de datos. La particularidad de estas funciones es que no pueden ser invertidas, es decir, a partir un hash no podemos saber el valor original.

    Por lo tanto, como decía antes, la única forma de llegar al los datos originales es por fuerza bruta, pero eso no suele ser una opción por el coste en tiempo, a menos que el dato original sea muy corto o que sea una palabra común que puede ser fácilmente encontrada en un diccionario, lo que nos llevaría a lo que se conoce como ataques de diccionario, que no deja de ser un ataque por fuerza bruta.

    Sep 29, 2011
    HackingSeguridad

    Cómo funciona Blake - Vídeo

    En este vídeo podemos ver de forma gráfica el funcionamiento de Blake, uno de los 5 finalistas que tendrán de la competición organizada por el NIST. El ganador se convertirá en el próximo estándar SHA-3.

    El resto de finalistas son: Grøstl, JH, Keccak y Slein.

    Más información:

    THIRD (FINAL) ROUND CANDIDATES

    Sep 25, 2011
    Seguridadvideos

    Inyección de SQL con raw MD5 hashes

    sqlinjection

    Acabo de leer en este post, sobre esta nueva técnica, al menos nueva para mi, sobre la inyección de código SQL usando raw MD5 hashes.

    Normalmente la autentificación (más común y sencilla) de un usuario en una aplicación web, suele lanzar una query de este tipo:

    SELECT usuario FROM usuarios WHERE password = (hash del password)

    Es decir, una vez hayamos introducido los credenciales, lo que realmente comparamos con “password” es su hash, porque tu no guardas los passwords en texto plano, ¡a qué no! (Nota, hoy en día el uso de MD5 no se aconseja).

    Nov 29, 2010
    SeguridadHacking

    Servicio online de búsqueda de hashes MD5

    Un hash es la forma más común a la hora de guardar una contraseña en una base de datos. Por que es un mecanismo de cifrado de sólo un camino, lo que quiere decir que a través del hash no podemos averiguar la contraseña, a menos, que generemos los hashes para todas las contraseñas conocidas y los guardemos en algún medio que nos permita su búsqueda a posteriori, como una base de datos.

    Ya son muchos los servicios online que almacenan bases de datos gigantes con millones de hashes pregenerados, también conocidas como Rainbow Tables y de las que ya en cyberhades hemos hecho referencia alguna vez.

    Mar 27, 2010
    Recursos InformáticaHackingSeguridad