Tema destacado: Deseas probar algunas mejoras a la interfaz del foro? Prueba cake! acerca de
 Autor
|
Tema: (solucionado) ¿Cual es el mínimo de caracteres para registrar un nombre de user? (Leído 1,445 veces)
|
EleKtro H@cker
 Desconectado
Mensajes: 722
Fearless
|
Hola, Quizás esta pregunta esté más ubicada en "dudas generales", si es así lo siento, muevanlo donde crean conveniente...
¿Cual es el mínimo de caracteres para registrar un nombre de usuario y la contraseña?
¿Y el máximo?
¿Y los caracteres permitidos?
Simple curiosidad, Necesito esta información para crear diccionarios "User:Pass" y creo que nadie puede darme una respuesta mejor que el encargado de administrar esas cosas en el foro xDDD
Muchas gracias
|
|
|
|
« Última modificación: 24 Enero 2012, 15:20 por EleKtro H@cker »
|
En línea
|
|
|
|
drvy | BSM
Desconectado
Mensajes: 1.035
badstupidmonkey
|
Hola,
No sabría decirte si en este foro (ademas de ser la versión 1.x) esta tocado, pero normalmente en un foro SMF 2.x, la tabla de usuarios esta así:
member_name varchar(80) = Osease, máximo 80 caracteres.
passwd varchar(64) = Eso es una encriptacion sha1.
La contraseña por defecto debe ser de mínimo 4 caracteres. He hecho pruebas, y puede llegar a ser de mas de 100 caracteres.
Ademas, al menos en la versión 2.x, el admin puede poner un limite de intentos para entrar.
EDIT: El mínimo de caracteres para registrar un usuario en un Foro SMF 2.x no tocado es de 1.
Saludos
|
|
|
|
« Última modificación: 21 Enero 2012, 18:35 por drvy | BSM »
|
En línea
|
|
|
|
EleKtro H@cker
Desconectado
Mensajes: 722
Fearless
|
Hola,
member_name varchar(80) = Osease, máximo 80 caracteres.
passwd varchar(64) = Eso es una encriptacion sha1.
La contraseña por defecto debe ser de mínimo 4 caracteres. He hecho pruebas, y puede llegar a ser de mas de 100 caracteres.
Saludos
me has dado información muy útil, muxigimas gracias Joder pues si tengo que hacer un wordlist de 100 caracteres la llevo clara xDDDDD saludos
|
|
|
|
|
En línea
|
|
|
|
EleKtro H@cker
Desconectado
Mensajes: 722
Fearless
|
Hola de nuevo
Me surge otra pregunta...
Cuando introduces la contraseña en el campo de contraseña, osea, cuando vas a loguearte en una página o foro... ¿En la mayoría de los casos es sensible a las mayusculas y minusculas?
lo siento si es una pregunta tonta xD
|
|
|
|
|
En línea
|
|
|
|
jdc
Desconectado
Mensajes: 3.242
janito dos cuatro...
|
Si y si estas pensando en fuerza bruta debes pensar en que tienes un número limitado de intentos y además un tiempo definido entre un intento y otro
|
|
|
|
|
En línea
|
|
|
|
EleKtro H@cker
Desconectado
Mensajes: 722
Fearless
|
Si y si estas pensando en fuerza bruta debes pensar en que tienes un número limitado de intentos y además un tiempo definido entre un intento y otro
ok, gracias Si es por brute force pero mi idea es hacer un generador de combolist, no un craqueador que vaya probando cada código y que mida los intentos y el tiempo xD tema resuelto gracias d nuevo
|
|
|
|
|
En línea
|
|
|
|
|
dimitrix
|
Recordar que al ser SHA1 existe la colisión de HASH.
|
|
|
|
|
En línea
|
|
|
|
|
El As del Club Paris
|
Ademas el foro usa un SALT, no manda el password simplemente cifrado en SHA1. Creo que es SHA1(user . password . SALT)
|
|
|
|
|
En línea
|
|
|
|
|
dimitrix
|
Ademas el foro usa un SALT, no manda el password simplemente cifrado en SHA1. Creo que es SHA1(user . password . SALT)
El As del Club Paris que yo sepa es: SHA1(pass . SALT); El usuario creo que no lo usaban, más que nada por que se puede cambiar el nombre de usuario sin cambiar la contraseña 'creo'.
|
|
|
|
|
En línea
|
|
|
|
drvy | BSM
Desconectado
Mensajes: 1.035
badstupidmonkey
|
Hola, smf usa esto sha1(strtolower($regOptions['username']) . $regOptions['password']) . $regOptions['register_vars']['password_salt'])); Se puede cambiar el real_name pero el username se queda en la base de datos para siempre y no es cambiable (a no ser que el administrador lo cambie). Por eso yo tengo puesto drvy | BSM, pero en realidad mi perfil es badstupidmonkey. Saludos |
|
|
|
« Última modificación: 29 Enero 2012, 15:54 por drvy | BSM »
|
En línea
|
|
|
|
|
dimitrix
|
Pero si el admin lo cambia, sería necesario cambiar la pass ¿No?
|
|
|
|
|
En línea
|
|
|
|
jdc
Desconectado
Mensajes: 3.242
janito dos cuatro...
|
Pero si el admin lo cambia, sería necesario cambiar la pass ¿No?
fijate en el enlace a tu perfil: http://foro.elhacker.net/profiles/dimitrix-u171250.htmlPuedes cambiar tu nombre y tu perfil seguira siendo el mismo, por ejemplo el mio: http://foro.elhacker.net/profiles/janito24-u269382.htmlmi nick actual es jdc pero sigue usando janito24, asi que perfectamente podria usarse el nombre de usuario y el pass, si se cambia el nombre de usuario ps solo basta con actualizar el pass con el nuevo usuario como si se cambiase el pass
|
|
|
|
|
En línea
|
|
|
|
|
dimitrix
|
jdc mi nombre de usuario real dimitrix, sino dimitrix10.
Años después le pedí a el-brujo que me lo cambiara por dimitrix y lo hizo.
|
|
|
|
|
En línea
|
|
|
|
drvy | BSM
Desconectado
Mensajes: 1.035
badstupidmonkey
|
Hola, si, efectivamente cuando vas a reiniciar el username (el que se queda en la base de datos para siempre), SMF te dice que tiene que reiniciar la contraseña. To change this member's username, the forum must also reset their password, which will be emailed to the member with their new username.  PD: Estoy hablando de SMF 2.x.. con 1.x ya no trato. (me cae mal xD) Saludos |
|
|
|
|
En línea
|
|
|
|
WHK
吴阿卡
Moderador Global
Desconectado
Mensajes: 3.979
The Hacktivism is not a crime
|
Si vas a hacer un crackeador o algo así tendrias que hacer otro diccionario con los hash salt para generar el sha1, o sea debes multiplicar cada palabra de tu lista de contraseñas por la cantidad de hashses salt, algo asi como un millon por cada password si es que vas a intentar acceder atraves de la cookie o crackear cookies. Si vas a intentar fuerza bruta no te resultará porque smf tiene un numero maximo de intentos para probar contraseñas, despues te banea automaticamente. Bueno, eehhmm, en realidad hace un par de meses encontré un agujero en smf que se lo comenté a psymera el cual te permite probar todas las contraseñas que quieras evitando el sistema de baneo de smf  talves hayas encontrado lo mismo y quieres probar, pues suerte!  y si encuentras algún acceso no dudes contactarte con el admin para que te premie con un viaje a acapulco (la calle acapulco). Recuerda que los usuarios y contraseñas pueden contener carácteres especiales, números y letras minusculas y mayusculas, no creo que puedas hacer un listbox con mas de mil millones de items. Si quieres prueba con el Jaguar, ese supercomputador que se dosea solo cuando abres internet explorer. |
|
|
|
« Última modificación: 30 Enero 2012, 18:14 por WHK »
|
En línea
|
|
|
|
|
 |
