ComputerBase Menü
Aktuelles

MySql 5.x Hashcode entschlüsseln

  • Ersteller Ersteller user_deleted_9
  • Erstellt am Erstellt am
U

user_deleted_9

Gast
Moin...
Ich habe einen Metin2 Pserver offen. Nun hat jmd sein PW vergessen und will es wieder wissen. Ich bin dann mit NaviCat in die Database rein und hab das PW rausgesucht, aber die sind alle als Hashcodes gespeichert. Da ich weis, dass es sich um einen Mysql 5.x Hashcode handelt, möchte ich wissen wie man diesen entschlüsselt.

Das ist der Hashcode den ich entschlüsseln will:
E0B32A9D5C9427F921C4937F8EAA8C5127E9421B

Ich hab im Internet nur ein Generator gefunden um solche Hashcodes zu erstellen, aber nicht um sie zu entschlüsseln.

Kann mir jemand helfen?

Gruß
 
einen hash kannst du nicht entschlüsseln, denn es wurde gehasht und nicht verschlüsselt (details erfährst du in wikipedia). setz ein neues passwort und lass es vom user selbst aus ändern. anders geht es nicht, außer er kommt vllt. doch noch auf das passwort.

edit: rein vom draufgucken sieht es wie ein md5-hash aus. falls dich das interessiert, kannst du danach ja auch mal bei wikipedia suchen.
 
Zuletzt bearbeitet:
Für md5 ist das zu lang. Könnte RIPEMD-160 sein.

Es ist ja gerade Sinn der Sache, dass man die Passwörter nicht im Klartext speichert und nach Möglichkeit aus dem Hash kein passendes Passwort konstruieren kann.
 
Ja, ein 40 stelliger Hash ist entweder RIPEMD-160 oder SHA-1. MD5 hat 32 Stellen.
Das ist dann nicht mehr Zeitnah mit den herkömmlichen Mitteln zu berechnen.
 
mildmr schrieb:
Das ist dann nicht mehr Zeitnah mit den herkömmlichen Mitteln zu berechnen.
Zum Vergrößern anklicken....

Es ist gar nicht zu berechnen ;) Man kann höchstens mittels Bruteforce solange verschiedene Strings hashen, bis zufällig der selbe rauskommt. Dass muss dann aber nicht das gleiche Passwort sein wie der User angegeben hat, es kann auch ein anderer String sein der zufällig den gleichen Hashwert hat.
 
aber genau das ist bei md5 und vor allem aufwärts sehr unwahrscheinlich ;)

ich plädiere auch für neues passwort setzen, so wird das normalerweise auch gemacht und sollte schon wegen dem vertrauensverlust, wenn plötzlich der provider das passwort weiß, bevorzugt werden.
 
aber genau das ist bei md5 und vor allem aufwärts sehr unwahrscheinlich ;)
Zum Vergrößern anklicken....
Sobald man auch Passwörter in Betracht zieht, die länger als 160 Bit sind (bzw. die Länge des jeweiligen Hashwertes), ist es sogar (fast) sicher, dass mehrere passenden Passwörter existieren.
 
natürlich und trotzdem gibt es weniger wahrscheinlich kollisionen, um die es hier ja geht. ein auto ist ein auto ist ein auto. ein auto ist ein grünes auto ist kein blaues auto. mehr beschreibende information -> weniger kollision.
 
Du kannst mit recht dubiosen Tool, meist aus dem .ru Raum, Dein MySQL Passwort "Knacken" lassen. Meine Empfehlung - laß' die Finger davon!

Du kannst hingegen Dein Passwort, auch das root Passwort, zurücksetzen. Siehe <hier>
oder <hier> wie man neue Passwörter vergibt.
 
Hallo,

mit einer SHA-1 Rainbow Table ergibt sich für obigen Hash das Wort "headshot". Mit der MySQL-PASSWORD()-Funktion erhält man aus "headshot" wieder obigen Hash.

MfG
 
Hallo,
ich bin zufällig über Google auf diesen Beitrag gestoßen...
Ich habe genau das gleiche Problem und wollte nun Fragen, wo man solche Rainbow tables herbekommt. Muss man die download, wenn ja wo? oder gibts die auch online, wenn ja wo?

Ich hoffe ihr könnt mir helfen, vor allem Gobble-G


Christoph
 
Das sie oft sehr Groß sind weis ich...
Ich schau mir die zwei links jetzt mal an und hoffe, dass kein Virus oda so drin ist...

Übrigens, wie macht mein Pserver das eigendlich? Der muss das Passwort doch auch irgendwie zurück hashen, da man sich ja nicht mit dem Hash einloggt, sondern mit dem Passwort.


Christoph


Edit: Der erste link entschlüsselt Wörter oder zahlen, aber nicht beides zusammen, beim 2ten blick ich momentan noch nicht durch...
 
Zuletzt bearbeitet:
Christoph212 schrieb:
Übrigens, wie macht mein Pserver das eigendlich? Der muss das Passwort doch auch irgendwie zurück hashen, da man sich ja nicht mit dem Hash einloggt, sondern mit dem Passwort.
Zum Vergrößern anklicken....

user gibt passwort -> hash -> vergleich mit gespeichertem hash -> nicht der selbe:"ey, du kommst hier net rein!!"

aber wie schon gesagt ist es deutlich einfacher schlicht und einfach den gespeicherten hash zu ersetzen statt das passwort in ewiglicher arbeit rauszuprügeln :rolleyes:
 
Genauso hab ichs mir grad vorgestellt...

Bis jetzt hab ich auch immer ein neues Passwort reingemacht, aber wenn es jetzt ganz leicht gegangen wäre ...xD

Christoph
 
AndrewPoison schrieb:
Es ist gar nicht zu berechnen ;) Man kann höchstens mittels Bruteforce solange verschiedene Strings hashen, bis zufällig der selbe rauskommt. Dass muss dann aber nicht das gleiche Passwort sein wie der User angegeben hat, es kann auch ein anderer String sein der zufällig den gleichen Hashwert hat.
Zum Vergrößern anklicken....

Ich wollte nicht mit Latain wie Kollisionen, Bruteforce oder Wordlists um mich werfen, Diese Algoryhtmen sind mittlerweile aber unsicher. Und daher angreifbar. Das meinte ich mit berechnen.
 
das schnellste passwortcrackprogramm überhaupt findest du in meiner signatur.
(schneller als der sch..ß von elcomsoft ^^ ... ivan golubev hat 10 jahre für elcomsoft gearbeitet und ist vor einem jahr ausgetreten. jetzt versucht er anscheinend elcomsoft mit seiner kostenlosen software kaputtzumachen, da sie 1. schneller und halt eben 2. kostenlos ist :P)

habs dir mal eben geknackt ^^
"headshot" ist das passwort zu dem hash.
hat 6 minuten 38 sekunden gedauert.
(hab mir grad ne kippe angemacht und es war fertig, bevor ich sie zuende hatte xD)

zur info: radeon karten sind dabei extrem viel schneller als jede nvidia-karte (incl. fermi).


meine 5770 dürfte etwa so schnell sein wie die gtx480.
 
Zuletzt bearbeitet:
geht ja gut ab das programm. :D 78 °C hats geschafft. werd gleich mal furmark gegentesten, dann weiß ich welchen "benchmark" ich demnächst nutze. ;)
Code: 
Found 1 CAL device(s)
Starting brute-force attack, Charset Len = 26, Min passlen = 4, Max passlen = 10

Charset (unicode -> 0) [abcdefghijklmnopqrstuvwxyz]
Charset in HEX: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 7
6 77 78 79 7a
Starting from [aaaa]
Hash type: MYSQL5, Hash: e0b32a9d5c9427f921c4937f8eaa8c5127e9421b
Device #0: [RV870] 850.00 Mhz 1600 SP
Hardware monitoring enabled, threshold temperature is 90°C.
CURPWD: ktsmsioh DONE: 70.49% ETA: 1m 31s AVRSPD: 675.3M
Found password: [headshot], HEX: 68 65 61 64 73 68 6f 74
Processed 155 575 123 968 passwords in 3m 51s.
Thus, 675 473 792 password(s) per second in average.
aber wo hast du denn die x64 her bzw. wie bindest du die cpu mit ein?
 
die x64 ist ausm blog.
cpu zusätzlich nutzen funktioniert nur bei md5 momentan.
http://www.golubev.com/blog/?p=70
lies dir den blogeintrag mal durch, dann weißt dus ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Dark Thoughts
[Suche] PHP 5.x & MySQL 5.x Buch
Antworten
8
Aufrufe
1.085
Dark Thoughts
Dark Thoughts
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz