Foro de elhacker.net

Seguridad Informática => Criptografía => Mensaje iniciado por: paje_95 en 4 Julio 2014, 20:13 pm


Título: ¿Qué cifrado puede estar usando esta clave?
Publicado por: paje_95 en 4 Julio 2014, 20:13 pm
¡Buenas tardes!,

Estoy jugando un poco con un sandbox que ha preparado un profesor de mi universidad para trabajar temas de cifrado, inyección SQL y bueno, para pasar un buen rato. He conseguido recuperar una base de datos bastante interesante que parece albergar las claves de administrador para poder meter un webadmin, ¿qué me encuentro cuando abro el fichero? ¡Esta belleza!

Código:
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n

Es la séptima entrada de la base de datos, que viene a decir algo como esto:

LoginPasswd
practicasMFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n

¿A alguien se le ocurre en qué formato puede estar cifrada o cómo desencriptarla?
A jugar por los \r\n diría que no es una clave de por sí, sino que forma parte de alguna otra clave que quizá esté incorporada en el .ASP que la procesa.

¡Un salido saludo!

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: engel lex en 4 Julio 2014, 20:28 pm
no estoy seguro que es pero parece un hash, parece sha-256 pero aparentemente diferencia mayusuclas de minusculas, los r n son saltos de linea

si es un hash que es lo que (deberia) parece ser, olvidate de descifrar... podrias intentar fuerza bruta, y dudo que sea facil

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: MinusFour en 5 Julio 2014, 07:20 am
Hmm, no creo que sea un hash porque las dos cadenas de base64 tienen longitudes diferentes... La primera creo que es de 384 bits y la segunda de 336 bits...

Bien podrías ser AES pero a saber de que tamaño es la llave...

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: engel lex en 5 Julio 2014, 07:27 am
en realidad creo que son 3, hay un slash en la regunda sección y divide 3 piezas, una de 64 caracteres, otra de 31 y la ultima de 24... si son base 64 es de algún binario, porque no tienen coherencia de caracteres... podría ser un AES puramente o algún otro

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: paje_95 en 6 Julio 2014, 20:39 pm
Pues de ser un AES creo que me faltaría obtener una llave :/

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: paje_95 en 6 Julio 2014, 20:49 pm
Por lo que veo hay más claves en el apartado "Passwd" de la base de datos, todas empiezan parecido pero tienen diferentes terminaciones a partir del primer carriage return, esto es lo que tengo:

Citar
Passwd
MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAECAmgBAgIAgAQA\r\nBBAOuSHdGVYhJs10qRJ65628BBKFszeoivfJTJGNe3gpF/K09yc=\r\n
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAACAmgBAgIAgAQA\r\nBBCydiBeYzA7v/hFvRdtsHClBBZNFbgj+deGw9RPyAjoPT5FGpOTQGks\r\n
MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAACAmgBAgIAgAQA\r\nBBDUd0IyDaDv1D3zBdX+oU5jBBKdlKDVoBfJSKZj4T3Qfm1O+lM=\r\n
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBA2c7x6D3A2AO8MxH4BiTD7BBZ1ZuUY+0v7LFqcis/vXxzAeWjf0xF9\r\n
MEwGCSsGAQQBgjdYA6A/MD0GCisGAQQBgjdYAwGgLzAtAgMCAAACAmgBAgIAgAQA\r\nBBDDNat1pmYUpdk3aj/9yb/RBArJ1Ri8gIHDjB2S\r\n
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n
MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAACAmgBAgIAgAQA\r\nBBCHeZAHtQvm2TF8k+EJDpvGBBItcWdzUi4ElYlovGKfAkHIXXM=\r\n

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: MinusFour en 6 Julio 2014, 22:13 pm
Hay algo sospechoso... Si esto es la contraseña de un formulario o algo similar, como pones un "/r/n" en un input box?

Creo que podría ser que la primera parte sea un hash de SHA-384 y la segunda parte algun metodo de cifrado...

Título: Re: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: engel lex en 7 Julio 2014, 01:38 am
O algún método custom con xor... parece ahora más base64 pero de directamente el binario (no ascii) de un hash o cifrado

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: el-brujo en 7 Julio 2014, 10:56 am
¿Has probado con Hash ID ( Hash Identifier)?

Citar
Identificar - Identificando el tipo de hash
Si desconoces el  tipo de Hash que posees, tienes la opción de poder utilizar un Script que te permite resolver el problema. La herramienta (script) escrita en Python es Hash ID ( Hash Identifier)

https://code.google.com/p/hash-identifier/

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: #!drvy en 7 Julio 2014, 12:51 pm
El primero antes del \r\n parece ser un SHA-256 .. el segundo podría ser algún tipo de salt (o viceversa).

Saludos

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: engel lex en 7 Julio 2014, 14:10 pm
Citar
MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAECAmgBAgIAgAQA\r\nBBAOuSHdGVYhJs10qRJ65628BBKFszeoivfJTJGNe3gpF/K09yc=\r\n
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAACAmgBAgIAgAQA\r\nBBCydiBeYzA7v/hFvRdtsHClBBZNFbgj+deGw9RPyAjoPT5FGpOTQGks\r\n
MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAACAmgBAgIAgAQA\r\nBBDUd0IyDaDv1D3zBdX+oU5jBBKdlKDVoBfJSKZj4T3Qfm1O+lM=\r\n
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBA2c7x6D3A2AO8MxH4BiTD7BBZ1ZuUY+0v7LFqcis/vXxzAeWjf0xF9\r\n
MEwGCSsGAQQBgjdYA6A/MD0GCisGAQQBgjdYAwGgLzAtAgMCAAACAmgBAgIAgAQA\r\nBBDDNat1pmYUpdk3aj/9yb/RBArJ1Ri8gIHDjB2S\r\n
MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n
MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAACAmgBAgIAgAQA\r\nBBCHeZAHtQvm2TF8k+EJDpvGBBItcWdzUi4ElYlovGKfAkHIXXM=\r\n

viendo esto no puede SHA, está diseñados para destruir toda predictibilidad posible y estos codigos tienen demsasiada similitud ej:

parece más algo en AES
Citar
t: el zorro corria rapido
c:1
r:sk0gtno6BNA2cde4LomHsFmprvU8SraxzjrZ3XrtjQE=

t: el zorro corria rapido1
c:1
r:sk0gtno6BNA2cde4LomHsG2NTumDLCz+ZrwYn1017Q4=

donde todos son mensajes similares, sin embargo esos son estrañamente similares porque para AES, altera con el minimo cambio mucho más


Citar
c:murcielago

t:el zorro corria rapido en la praderascon el mucilado
BSAXJ/O8kr/a9mAmmaO5Qb8Hb06kKhXR93mfA9Jq/ytcDfgTBh2uBwwq5B19p/GHCC+QKNbSarqW0ZQ9gW3oZA==

t:el zorro corria rapido en la pradera con el mucilado
BSAXJ/O8kr/a9mAmmaO5Qb8Hb06kKhXR93mfA9Jq/ysKri/Mu+cT7NNARfXpY9esCC+QKNbSarqW0ZQ9gW3oZA==
(un cambio similarmente largo (supongo que de 128 bits qeu es el modo que estoy usando) con la clave "1")

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: MinusFour en 8 Julio 2014, 02:02 am
Justo estaba pensando que no podía ser SHA por lo similar que son los hashes pero tampoco creo que sea AES, al menos no solamente una de las dos... parece que al hash/cifrado le pasaron un LSH o algo similar.

Por cierto, hay alguna razón por la cual digan que es SHA-256? Yo cuento 384 bits pero unos identificadores de hash al darles el base64 me dicen que es SHA-256 pero al pasarles el hexadecimal me dicen que es SHA-384...

Título: Re: ¿Qué cifrado puede estar usando esta clave?
Publicado por: engel lex en 8 Julio 2014, 03:30 am
256 porque es el más común y no conté los bits XD estoy seguro que #!drvy hizo lo mismo XD


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines