elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


  Mostrar Mensajes
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 27
1  Foros Generales / Foro Libre / Re: Tengo 19 años y quiero comenzar en: 13 Mayo 2021, 16:53 pm
Hola.

Nunca es tarde para nada, siempre que quieras algo hazlo, la vida es corta para dudar diría algún que otro sabio...

Tu objetivo no es claro, "ayudar a la gente", ¿cómo quieres ayudar?
Lo que tendrás que saber de antemano es que la informática es enorme.
Aunque el nombre del foro engañe, no simplemente se trata de "hacking" aquí.
Se destaca la informática y es el tema principal, aunque hay algún que otro post de otras índoles como podrás ver en el foro libre.
Primero entiende bien que quieres hacer y luego arranca.

Te adjunto una cita en donde le respondía una pregunta similar a la tuya a otro usuario, espero que te sirva. Y como mencioné ahí, te recomiendo amigarte con la herramienta buscar del foro y con Google, en internet existe todo lo que buscas.


Saludos.
2  Foros Generales / Foro Libre / Re: Se acabó: por qué descargar vídeos de YouTube es ahora más difícil en: 13 Mayo 2021, 05:04 am
Hola.

Con respecto a los últimos comentarios, ya es posible descargar vídeos desde la propia aplicación.

Edito: Habré visto mal... Simplemente en android y algunas versiones de IOS. En windows por el momento no.

Saludos.
3  Foros Generales / Dudas Generales / Re: No se escucha bien, se entrecorta página web como illamadas! en: 13 Mayo 2021, 04:59 am
Hola.

Es conveniente optar por abonar un servicio de telefonia o realizar llamadas desde los puestos que se encuentran en la calle antes que optar por estos sitios web...
He probado varios y la verdad que ninguno funciona como corresponde, pues claro está, lo gratis no garantiza nada.

Y en respuesta a tu pregunta; No. No se escucharía mejor con auriculares si la falla no tiene que ver con tu dispositivo, sino que con la infraestructura del servicio.

Saludos.
4  Seguridad Informática / Hacking Ético / Re: Acceder a SMF con contraseña hasheada ¿es realmente posible? en: 13 Mayo 2021, 01:10 am
Perfecto, muchas gracias a todos por sus aportes, ya logré entender el asunto.

Una función similar se utiliza para iniciar al panel de administración index.php?action=admin: hashAdminPassword que se encuentra en scripts.js al igual que hashLoginPassword.

El cambió que habría que hacer en esa función para loguear con el hash es el siguiente, lo dejo por si a alguien le sirve:
Código
  1. function hashAdminPassword(doForm, username, cur_session_id)
  2. {
  3.    // Compatibility.
  4.    if (cur_session_id == null)
  5.        cur_session_id = smf_session_id;
  6.  
  7.    if (typeof(hex_sha1) == 'undefined')
  8.        return;
  9.  
  10.    doForm.admin_hash_pass.value = hex_sha1(doForm.admin_pass.value + cur_session_id); //En esta linea se realiza el cambio.
  11.    doForm.admin_pass.value = doForm.admin_pass.value.replace(/./g, '*');
  12.  
  13.  
  14. }
  15.  


Saludos.
5  Seguridad Informática / Hacking Ético / Re: Acceder a SMF con contraseña hasheada ¿es realmente posible? en: 12 Mayo 2021, 04:22 am
Ya, ahora entiendo, pero para que eso sea posible tiene que estar vulnerable la base de datos y/o el foro.
Exactamente.
Yo intentaba probar en localhost con SMF 2.0.16/17 el acceso mediante los parámetros cifrados, pero no logré entender al 100% como acceder teniendo la contraseña hasheada.

Ahora recuerdo que una programadora de SMF comento en su momento que mejorar el sistema de cifrado sería sobreescribir parte del código de SMF e incluso hasta se había pensado en crear un mod para esto que no recuerdo si al final se lo creó o no, también se comento que para que éste mod funcione deberían restablecer su contraseña todos los usuarios, es decir que les llegaría un email pidiéndoles que generen su nueva clave.

Ayer antes de realizar el posteo revise por arriba como funcionaba el sistema del hash en el formulario y es mediante la función, que puede ser modificada a gusto.
Ya después utilizar sha1 u otro cifrado en lo que vendría a ser el foro completo es algo distinto y que cambiarlo si sería mucho más complejo, pero no imposible.

Si no me equivoco ya existen los mods que nombras.

Saludos.

6  Foros Generales / Foro Libre / Re: "Los golpearemos con más fuerza": Netanyahu promete que Hamás y la Yihad Islámica Palestina pagarán "un alto precio en: 12 Mayo 2021, 04:04 am
Terrible y lamentable todo lo que está pasando.
7  Seguridad Informática / Hacking Ético / Re: Acceder a SMF con contraseña hasheada ¿es realmente posible? en: 12 Mayo 2021, 03:33 am
Hola, hasta donde tengo conocimientos eso no es así...

SMF 2.0 utiliza éste método para cifrar las contraseñas de los usuarios:

Código
  1. $hash = sha1(strtolower($username) . $password);

Las contraseñas utilizan un salt y ese salt es el nombre de usuario, entonces se cifra el usuario + la contraseña.

Y no, no es posible acceder como piensas aunque tengas la contraseña hasheada ya que al intentar iniciar sesión el foro vuelve a hashear la contraseña y aunque esté hasheada la va a volver a cifrar igual a otra distinta, por lo que obviamente no será la misma porque no van a coincidir.

De todas maneras en SMF 2.1 se mejora el método de cifrado utilizando lo más seguro hasta ahora que es bcrypt.


Saludos
Hola.

Fijate el post que compartí de SMF, ahí se especifica bien todo y se menciona lo que dijiste, en SMF 2.1 está "solucionado".



En teoría, si tu tienes el hash (el hash usuario+password) tu puedes iniciar sesión con ese usuario. Por ejemplo, si encuentras una vulnerabilidad que imprima el hash de un usuario podrías iniciar sesión con ese usuario. En cambio, si no se hiciera esto del lado del cliente, el atacante no podría usar este hash.

Claro, comprendo el error pero no como es posible "explotarlo".
¿Con qué parámetros finales accedería el usuario?
8  Seguridad Informática / Hacking Ético / Re: Programa que no encuentro en: 11 Mayo 2021, 20:28 pm

El programa es el de la imagen la saque de un amigo mio. Y no me quiere decir el nombre porque dice que aprenda por cuenta propia
Hola.

Ni la menor idea de que programa estás hablando, dile a tu amigo que te de el nombre así nadie pierde tiempo.


Saludos.
9  Seguridad Informática / Hacking Ético / Acceder a SMF con contraseña hasheada ¿es realmente posible? en: 11 Mayo 2021, 08:08 am
Hola.

Hace años que utilizó SMF, hoy me cruce en el foro con un post interesante:

Inicio de sesión SMF a través de hash de contraseña

En resumen se argumenta que es posible acceder a SMF mediante una contraseña hasheada (haciendo referencia a que gracias a esto, no sirve de nada el hash ante un posible robo de la base de datos).
Esto ya que mediante el método POST que utiliza el formulario de login lo que se hace es enviar la contraseña cifrada + la sesión ID.

Es decir:
Código
  1. SHA1(hash + session_id)
  2.  

Código
  1. <form action="https://tuforo.ejemplo/index.php?action=login2" name="frmLogin" id="frmLogin" method="post" accept-charset="UTF-8" onsubmit="hashLoginPassword(this, 'add5f76205f957b650bb0a5aa71e6ccd');">
  2. <!-- Viendo esto en el onsubmit-->
  3.  

¿Es realmente es esto posible o entendí mal? Supuestamente está "solucionado" en 2.1.

Edit:
Código
  1. //Función mencionada encargada del hash que viene por defecto en SMF.
  2. function hashLoginPassword(doForm, cur_session_id)
  3. {
  4. // Compatibility.
  5. if (cur_session_id == null)
  6. cur_session_id = smf_session_id;
  7.  
  8. if (typeof(hex_sha1) == 'undefined')
  9. return;
  10. // Are they using an email address?
  11. if (doForm.user.value.indexOf('@') != -1)
  12. return;
  13.  
  14. // Unless the browser is Opera, the password will not save properly.
  15. if (!('opera' in window))
  16. doForm.passwrd.autocomplete = 'off';
  17.  
  18. doForm.hash_passwrd.value = hex_sha1(hex_sha1(doForm.user.value.php_to8bit().php_strtolower() + doForm.passwrd.value.php_to8bit()) + cur_session_id);
  19.  
  20. // It looks nicer to fill it with asterisks, but Firefox will try to save that.
  21. if (is_ff != -1)
  22. doForm.passwrd.value = '';
  23. else
  24. doForm.passwrd.value = doForm.passwrd.value.replace(/./g, '*');
  25. }
  26.  
  27.  


Saludos.
10  Seguridad Informática / Wireless en Windows / Re: ¿Como se pueden robar los datos de los dispositivos que se conectan a mi WIFI? en: 11 Mayo 2021, 03:57 am
Hola.

No veo nada ético lo que buscas hacer; "robar los datos de los dispositivos que se conectan a mi WIFI".


Saludos.
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 27
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines