Md5 kraker
Door Han eev, 22 jaar geleden, 8.294x bekeken
Ik wil graag gecodeerde wachtwoorden kraken
Dus ik ging een script ervoor maken
Het werkt
Maar ik weet niet of dit wel mag
Gebruik op eigen risico!
Han
ps: Het moet eigenlijk md5 Brute Force heten
Een deel gemaakt door SanThe ^^
Voorbeeld: http://img380.imageshack.us/img380/8894/md59uc.jpg
Gesponsorde koppelingen
PHP script bestanden
Er zijn 74 reacties op 'Md5 kraker'
0 
-0 
-0
Sweet script, altijd al willen weten hoe dat moet...
alleen:
Typfout: header("localtion: ".$_SERVER['PHP_SELF']);
alleen:
Typfout: header("localtion: ".$_SERVER['PHP_SELF']);
0 -0
-0
Kraken is een foute term, want md5 kan je niet kraken, wel brute forcen zoals jij doet. verder mooi script, maar voor lange strings is php denk ik toch te langzaam. :)
0 -0
-0
Btw, header() is toch hoofdlettergevoelig?
Dan moet het "Location: .........." zijn
En location moet een url zijn
Dan moet het "Location: .........." zijn
En location moet een url zijn
0 -0
-0
Raar... Bij mij niet...!
@Sebastiaan: $_SERVER['PHP_SELF'] word gewoon een link naar zichzelf
EDIT: typo
@Sebastiaan: $_SERVER['PHP_SELF'] word gewoon een link naar zichzelf
EDIT: typo
0 -0
-0
Location ging het in zijn bericht om. Volgens mij is het http-protocol inderdaad hoofdletter gevoelig.
0 -0
-0
Moet met hoofdletter.
Aardig script, zat er van de week aan te denken om een database te maken met alle maal md5's en daarbij dan de bron maar dat kan de server denk ik niet aan (en mijn hosting provider gaat het niet leuk vinden)
Aardig script, zat er van de week aan te denken om een database te maken met alle maal md5's en daarbij dan de bron maar dat kan de server denk ik niet aan (en mijn hosting provider gaat het niet leuk vinden)
0 -0
-0
Mooi script, maar inderdaad, het duurt een beetje lang bij langere strings
stel hij doet er per karakter 30 milliseconden over, dan zijn 2 karakters:
30 x 30 = 900 milliseconden
3 karakters = 30 x 30 x 30 = 27 seconden
een w8woord is vaak ongeveer 7 karakters lang dus dat duurt dan 1,56e306 (een 156 met 304 nullen) seconden... dus mocht iemand er echte w8woorden mee wille kraken, dan moet diegene heel veel geduld hebben...
stel hij doet er per karakter 30 milliseconden over, dan zijn 2 karakters:
30 x 30 = 900 milliseconden
3 karakters = 30 x 30 x 30 = 27 seconden
een w8woord is vaak ongeveer 7 karakters lang dus dat duurt dan 1,56e306 (een 156 met 304 nullen) seconden... dus mocht iemand er echte w8woorden mee wille kraken, dan moet diegene heel veel geduld hebben...
0 -0
-0
Ik heb location verandert met een hoofdletter ;)
Location:
En idd het duurt wel lang...
Location:
En idd het duurt wel lang...
0 -0
-0
een wachtwoord met 4 karakters doet hij bij mij héél lang over =/
0 -0
-0
@Han: Leuk, helemaal zelf gemaakt?
Laat dit hieronder nou een post van mij zijn, en wat lijkt jouw manier daar toch verschrikkelijk veel op. Ik vraag me af of je wel weet dat dit recursief programmeren is.
Re: Alle mogelijke woorden op 10.11.2005 21:21 wijzig bericht quote bericht
Laat dit hieronder nou een post van mij zijn, en wat lijkt jouw manier daar toch verschrikkelijk veel op. Ik vraag me af of je wel weet dat dit recursief programmeren is.
Re: Alle mogelijke woorden op 10.11.2005 21:21 wijzig bericht quote bericht
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
$alfabet=array("a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r",
"s","t","u","v","w","x","y","z","A","B","C","D","E","F","G","H","I","J","K","L","M",
"N","O","P","Q","R","S","T","U","V","W","X","Y","Z");
$maxletters=count($alfabet);
$maxtekens=3;
function x($a, $t)
{
$t++;
global $maxtekens, $maxletters, $alfabet;
for($i=0;$i<$maxletters;$i++)
{
echo $a . $alfabet[$i] . "<br />";
if($t < $maxtekens)
{
x($a . $alfabet[$i], $t);
}
}
}
x("", 0);
?>
$alfabet=array("a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r",
"s","t","u","v","w","x","y","z","A","B","C","D","E","F","G","H","I","J","K","L","M",
"N","O","P","Q","R","S","T","U","V","W","X","Y","Z");
$maxletters=count($alfabet);
$maxtekens=3;
function x($a, $t)
{
$t++;
global $maxtekens, $maxletters, $alfabet;
for($i=0;$i<$maxletters;$i++)
{
echo $a . $alfabet[$i] . "<br />";
if($t < $maxtekens)
{
x($a . $alfabet[$i], $t);
}
}
}
x("", 0);
?>
0 -0
-0
Dit zijn dus dingen waar je beter een andere taal voor kan gebruiken en niet een server taal ;) :P
0 -0
-0
Ik wil niet heel lastig doen, maar hoe dacht je dit te gaan gebruiken bij een loginscript? Tenminste ik doe het altijd zo dat die terug gaat naar de loginpagina als iemand ongeldig probeert in te loggen.
Of heb je daar ook weer wat voor?
Of heb je daar ook weer wat voor?
0 -0
-0
Als je de lengte al weet, is dat best knap :O
Eigenlijk heb je hier dus weer niets aan, daar je normaal gesproken de lengte niet weet ...
Eigenlijk heb je hier dus weer niets aan, daar je normaal gesproken de lengte niet weet ...
0 -0
-0
Ja, maar het wachtwoord niet...
Oftewel, je hebt gelijk...
Mitch:
Wel als een vriend van je zegt dat zijn password zoveel letters/cijfers heeft...Eigenlijk heb je hier dus weer niets aan, daar je normaal gesproken de lengte niet weet ...
Oftewel, je hebt gelijk...
0 -0
-0
Quote:
MD5 heeft een standaard lengte ej ;)
Iets met een klok en een klepel voor Legolas ...
0 -0
-0
Nee je moet een lengte opgeven want dan gaat hij eerst alle 1,2,3 enz...
dus als je 10 invult komt hij lang de 3 dus dan heb je ook een wachtwoord van 3
En dit is eigenlijk niet zo goed voor php, kan beter met c++ ofzow
dus als je 10 invult komt hij lang de 3 dus dan heb je ook een wachtwoord van 3
En dit is eigenlijk niet zo goed voor php, kan beter met c++ ofzow
0 -0
-0
Ik heb nu al 2 scripies die heel wat reacties kregen.
wat is er zo bijzonder aan mijn scripts?
wat is er zo bijzonder aan mijn scripts?
0 -0
-0
Jou andere script was een mooi script. Dit script gaat gewoon over een onderwerp wat veel discussie oplevert.
0 -0
-0
Minimum lengte kan nut hebben, want op sommige websites moet je als minimale lengte voor een wachtwoord 6 tekens doen, dan heeft het geen nut om 1,2,3,4,5 tekens te proberen :)
0 -0
-0
bij mij geeft die altjd een foutje...
Warning: set_time_limit(): Cannot set time limit in safe mode in /www/users/pcfreaky.downfire.com/pw.php on line 2
Fatal error: Maximum execution time of 20 seconds exceeded in /www/users/pcfreaky.downfire.com/pw.php on line 23
wa kan ik hieraa doen?
Bij voorbaat dank, PcFrEaKy
Warning: set_time_limit(): Cannot set time limit in safe mode in /www/users/pcfreaky.downfire.com/pw.php on line 2
Fatal error: Maximum execution time of 20 seconds exceeded in /www/users/pcfreaky.downfire.com/pw.php on line 23
wa kan ik hieraa doen?
Bij voorbaat dank, PcFrEaKy
0 -0
-0
ik had ook al eens zo'n script gemaakt, maar dat ging ontzettend traag en moest iets 26^(aantal letters) doorlopen
0 -0
-0
Op mijn Windows Apache PHP 5 'server' begint ie vanaf 4 letters moeilijk te gaan doen. Heel moeilijk.
0 -0
-0
bij mij gaat ie niet zo moeilijk doen....
Vul 10 keer een a in, en hij vind het super snel:P
3 keer een z en hij gaat stuiteren...
Vul 10 keer een a in, en hij vind het super snel:P
3 keer een z en hij gaat stuiteren...
0 -0
-0
Maar als je localhost doet gaat het sneller :)
Wachtwoord kraker
Eerst Uitkomst
md5: a45c4ef1b3932641ea48adb8cf26bbdc Wachtwoord: lool
Deze Loop: 11 Totaal: 8,225,060
Created in: 283.40016 Seconds
283.40016/60=4,723336 Minuten
Helft sneller dus als je local doet
Wachtwoord kraker
Eerst Uitkomst
md5: a45c4ef1b3932641ea48adb8cf26bbdc Wachtwoord: lool
Deze Loop: 11 Totaal: 8,225,060
Created in: 283.40016 Seconds
283.40016/60=4,723336 Minuten
Helft sneller dus als je local doet
0 -0
-0
tuurlijk, dat komt omdat jij een snelle pc, ik loop op een hele oude pc en dan duurt het 20 keer langer
0 -0
-0
hallo, even voor de noobs, waar haal ik zo'n md5 dinges vandaan?
Hoe kom ik achter zo'n : a45c4ef1b3932641ea48adb8cf26bbdc reeks...
groetjes Gijs
Hoe kom ik achter zo'n : a45c4ef1b3932641ea48adb8cf26bbdc reeks...
groetjes Gijs
0 -0
-0
Het is eigenlijk de bedoeling dat jij in een systeem breekt en een md5 van de admin jat
En dat door dit systeem haalt en dan kom je achter het wachtwoord van de admin
Niet echt slim om dit te zeggen maarjah :P
Han
En dat door dit systeem haalt en dan kom je achter het wachtwoord van de admin
Niet echt slim om dit te zeggen maarjah :P
Han
0 -0
-0
Haha, ik heb mijn (een van) mijn wachtwoord(en) er ook door gehaald, na een lange tijd wachten was ik er zat van, en heb ik php gestopt.
0 -0
-0
Ja. De conclusie is nu wel duidelijk. Bovendien weet je de lengte van een wachtwoord vaak niet.
0 -0
-0
Met PHP-GTK gaat het ook niet veel sneller.
Ik ben nu een C++ proggie aan 't schrijven,
kijke hoe die het doet ;)
Ik ben nu een C++ proggie aan 't schrijven,
kijke hoe die het doet ;)
0 -0
-0
Als iemand zelf kan instellen wat de lengte van een wachtwoord minimaal moet zijn.
Dus bijvoorbeeld de minimale lengte wordt 3, dit is makkelijk te kraken. Dan kun je het beste twee keer md5 uitvoeren, zo dus:
Het gaat er dus om dat we een hash hashen,
probeer dat maar eens te kraken.
Dus bijvoorbeeld de minimale lengte wordt 3, dit is makkelijk te kraken. Dan kun je het beste twee keer md5 uitvoeren, zo dus:
Het gaat er dus om dat we een hash hashen,
probeer dat maar eens te kraken.
0 -0
-0
@reactie hierboven:
Nu nog leren wat de echte syntax van PHP is en je bent een echt scriptkiddy, net zoals al je andere vrienden. *zugt*
Nu nog leren wat de echte syntax van PHP is en je bent een echt scriptkiddy, net zoals al je andere vrienden. *zugt*
0 -0
-0
Dit script was gewoon voor de lol ;)
niet voor serieus gebruik.
Je kan zoiets veel beter maken in C++
niet voor serieus gebruik.
Je kan zoiets veel beter maken in C++
0 -0
-0
heb een ander md5 Brute Forcer geprobeerd, op een amd athlon 3400+ duurt een redelijk lang wachtwoord zo'n 3 kwatier
0 -0
-0
Quote:
Vul 10 keer een a in, en hij vind het super snel:P
3 keer een z en hij gaat stuiteren...
3 keer een z en hij gaat stuiteren...
Kun je de letters in de $alfabet dan niet beter op volgorde van hoe vaak ze gebruikt worden zette, dus iets van eauoi.....xqy? Dan gaat het misschien sneller als iemand niet allemaal weiniggebruikte letters neemt...
0 -0
-0
^^ ga je ook nog een maken voor sha1? :P
^^ heb hem lokaal getest, je moet wel hele lange execution time hebben
^^ heb hem lokaal getest, je moet wel hele lange execution time hebben
0 -0
-0
Quote:
Maar als je localhost doet gaat het sneller :)
Wachtwoord kraker
Eerst Uitkomst
md5: a45c4ef1b3932641ea48adb8cf26bbdc Wachtwoord: lool
Deze Loop: 11 Totaal: 8,225,060
Created in: 283.40016 Seconds
283.40016/60=4,723336 Minuten
Helft sneller dus als je local doet
Wachtwoord kraker
Eerst Uitkomst
md5: a45c4ef1b3932641ea48adb8cf26bbdc Wachtwoord: lool
Deze Loop: 11 Totaal: 8,225,060
Created in: 283.40016 Seconds
283.40016/60=4,723336 Minuten
Helft sneller dus als je local doet
hoe kan ik op mijn mac local php hosten ofzo?
0 -0
-0
Al duurt het lang, een echte hacker die waarschijnlijk al een aantal dagen heeft zitten werken om eindelijk in het systeem te komen, zal het waarschijnlijk niet zo heel erg vinden om dan eventjes een uurtje pauze te nemen, ondertussen dat het wachtwoord wordt gekraakt.
Verder best leuk dat er zoveel commentaar op het scriptje komt ;-) :-p
Verder best leuk dat er zoveel commentaar op het scriptje komt ;-) :-p
0 -0
-0
Ik hoop dat iedereen begrijpt dat je met meerdere datareeksen op dezelfde MD5 hash kunt uitkomen. Je kraakt de waarde dus niet, maar je probeerd net zo lang door tot dat je 1 van de ontelbare waarden hebt die op dezelfde MD5 hash uitkomen. Een makkelijkere manier is door MD5 Collisions te gebruiken. Hierbij worden heel veel mogelijkheden berekend om op dezelfde MD5 waarde uit te komen dmv. het opsplitsen van de hash en met die blokken berekeningen uit te voeren. Het echte plain-text wachtwoord van iemand zul je dus nooit kunnen vinden, maar je kunt wel een wachtwoord krijgen waarmee je op dezelfde MD5 hash uitkomt. En dat ik gelukkig ook goed :)
0 -0
-0
Als je je database beter wilt beveiligen, dan zou je je eerst je wachtwoord kunnen encrypten met :
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php
// gebruik 64 bits encrypte
function htpasswd($pass)
{
$pass = crypt(trim($pass),base64_encode(CRYPT_STD_DES));
return $pass;
}
$pw = "help";
$secret = htpasswd($pw);
// encode the password now for use in phpbb
$phbb_password = md5($secret);
echo $phbb_password;
[code]<?
Probeer deze uitkomst maar eens te kraken, volgens mij is dat bijna niet te doen. Deze procedure heb ik gemaakt voor HNQCMS (een content management systeem die dit jaar nog open source gaat worden!).
De uitkomst van $phbb_password wordt :
dc5c95aebcdfc7e04436dec9ee2fc60f
En als een 'gewone' md5 wordt dit :
657f8b8da628ef83cf69101b6817150a
Totaal anders dus.
Probeer deze 'code' eens te kraken :
bf9494677d8a6b624a30189326044ff2
Ben benieuwd! ;-)
Groetjes,
Cynthia
// gebruik 64 bits encrypte
function htpasswd($pass)
{
$pass = crypt(trim($pass),base64_encode(CRYPT_STD_DES));
return $pass;
}
$pw = "help";
$secret = htpasswd($pw);
// encode the password now for use in phpbb
$phbb_password = md5($secret);
echo $phbb_password;
[code]<?
Probeer deze uitkomst maar eens te kraken, volgens mij is dat bijna niet te doen. Deze procedure heb ik gemaakt voor HNQCMS (een content management systeem die dit jaar nog open source gaat worden!).
De uitkomst van $phbb_password wordt :
dc5c95aebcdfc7e04436dec9ee2fc60f
En als een 'gewone' md5 wordt dit :
657f8b8da628ef83cf69101b6817150a
Totaal anders dus.
Probeer deze 'code' eens te kraken :
bf9494677d8a6b624a30189326044ff2
Ben benieuwd! ;-)
Groetjes,
Cynthia
0 -0
-0
Ja dit zou je dus nu ook weer allemaal moeten decrypten, erg irritant en onnodig.
Daarnaast wanneer ik nu een soort gelijk script erover heen haal, zal het even makkelijk gaan als bij md5.
Met soort gelijk bedoel ik dan een script dat steeds van (hoofd)letters, cijfers. In dit geval alleen 4 kleine letters die je random laadt in het text vakje. Dan komt er vanzelf wel eens help uit 4 combinaties.
Wat ik dus wel zeggen is dat het geen moer uit maakt wat en hoe je het encrypt het gaat erom dat je een wachtwoord kiest dat langer dan 6 tekens is en cijfers en hoofdletters betekent (dat is het enige onkraakbare, of ten minste ben je daar stront lang mee bezig).
Gebruik een salt, 3x handiger dan deze bullshit, zodat er geen letterlijke md5 hash van het wachtwoord in de db staat als er onverhoopt iemand in je db zit (maar dat ligt dan aan wat anders dan je script).
Grt.
edit:
wat je namelijk niet begrijpt is dat dit brute forcen is en niet de 500 mogelijke encrypties achter haalt.
Daarnaast wanneer ik nu een soort gelijk script erover heen haal, zal het even makkelijk gaan als bij md5.
Met soort gelijk bedoel ik dan een script dat steeds van (hoofd)letters, cijfers. In dit geval alleen 4 kleine letters die je random laadt in het text vakje. Dan komt er vanzelf wel eens help uit 4 combinaties.
Wat ik dus wel zeggen is dat het geen moer uit maakt wat en hoe je het encrypt het gaat erom dat je een wachtwoord kiest dat langer dan 6 tekens is en cijfers en hoofdletters betekent (dat is het enige onkraakbare, of ten minste ben je daar stront lang mee bezig).
Gebruik een salt, 3x handiger dan deze bullshit, zodat er geen letterlijke md5 hash van het wachtwoord in de db staat als er onverhoopt iemand in je db zit (maar dat ligt dan aan wat anders dan je script).
Grt.
edit:
wat je namelijk niet begrijpt is dat dit brute forcen is en niet de 500 mogelijke encrypties achter haalt.
0 -0
-0
met 21 tekens duurt het iets van 40 keer langer dan dat de aarde bestaat :S
0 -0
-0
@Tim:
Wikipedia:
md5 is voor de huis-tuin-en-keuken toepassingen van de gemiddelde php-hulper veilig genoeg. Diegene die meer wil en/of nodig heeft, gebruikt sha1. Heb je nog meer veiligheid nodig, huur dan gewoon een specialist in, dan krijg je waar voor je geld.
En die doet heel wat meer dan alleen veilige hash opleveren, begin bv. eerst eens met een ssl-certificaat. md5 en sha1 zijn volkomen zinloos wanneer je geen ssl gebruikt. Iedereen (!!!) kan namelijk jouw wachtwoorden via het net afluisteren.
Wikipedia:
Quote:
Jij wilt dus beweren dat de aarde zo'n 30 uur bestaat?In 2004 werden ernstigere fouten gevonden, waardoor het gebruik voor veiligheidstoepassingen twijfelachtig is. In oktober 2005 volgde de publicatie van de broncode van een programma waarmee 'collisions' gevonden kunnen worden. Dit programma genereert een brontekst die dezelfde hashwaarde oplevert als een gegeven hash. Gegeven voldoende rekentijd kan dit altijd, maar het geïmplementeerde algoritme is in staat om op een Pentium IV 1,6 GHz processor in 45 minuten een collision te genereren.
md5 is voor de huis-tuin-en-keuken toepassingen van de gemiddelde php-hulper veilig genoeg. Diegene die meer wil en/of nodig heeft, gebruikt sha1. Heb je nog meer veiligheid nodig, huur dan gewoon een specialist in, dan krijg je waar voor je geld.
En die doet heel wat meer dan alleen veilige hash opleveren, begin bv. eerst eens met een ssl-certificaat. md5 en sha1 zijn volkomen zinloos wanneer je geen ssl gebruikt. Iedereen (!!!) kan namelijk jouw wachtwoorden via het net afluisteren.
0 -0
-0
en wat als ik mijn wachtwoorden maak met vreemde tekens of letters uit bijvoorbeeld Russisch, Tais ,Chinees, Japans of Arabisch, Bataanse letters, of dat ik letters en cijfers in spiegelschrift maak?
0 -0
-0
@ Niek,
Hij controleerd gewoon alle tekens die in de array $alfabet staan.
Als erin het wachtwoord teken(s) voorkomen die niet in die array staan zou je nooit achter het juiste wachtwoord komen.
Hij controleerd gewoon alle tekens die in de array $alfabet staan.
Als erin het wachtwoord teken(s) voorkomen die niet in die array staan zou je nooit achter het juiste wachtwoord komen.
0 -0
-0
perfect script op te laten zien hoe het werkt !
Als je echt md5 wilt "kraken" dan kan je beter rainbow tables gebruiken ...
duurt even voor ze klaar zijn maar gaat een stuk sneller dan dit en vaak hebben hackers al toegan tot grote irc channels met MD5 crack bots
Quote:
PHP Newbie schreef op 22.06.2006 14:22
Al duurt het lang, een echte hacker die waarschijnlijk al een aantal dagen heeft zitten werken om eindelijk in het systeem te komen, zal het waarschijnlijk niet zo heel erg vinden om dan eventjes een uurtje pauze te nemen, ondertussen dat het wachtwoord wordt gekraakt.
Al duurt het lang, een echte hacker die waarschijnlijk al een aantal dagen heeft zitten werken om eindelijk in het systeem te komen, zal het waarschijnlijk niet zo heel erg vinden om dan eventjes een uurtje pauze te nemen, ondertussen dat het wachtwoord wordt gekraakt.
Als je echt md5 wilt "kraken" dan kan je beter rainbow tables gebruiken ...
duurt even voor ze klaar zijn maar gaat een stuk sneller dan dit en vaak hebben hackers al toegan tot grote irc channels met MD5 crack bots
0 -0
-0
wat doe je met een site die hun wachtwoorden dubbel md5'en? of die een string gebruiken die ze samen met het wachtwoord md5'en?
0 -0
-0
hmmm, das wel een goed idee denk ik.
Een str_replace voor je ww gebruiken en dan md5 erover :)
Een str_replace voor je ww gebruiken en dan md5 erover :)
0 -0
-0
lol kom hier toevallig via via even...
$_SERVER['PHP_SELF'] in een hack scriptje... LOL
niet echt overtuigend gezien $_SERVER vars over het algemeen zelf zo lek als een mandje zijn... ;)
$_SERVER['PHP_SELF'] in een hack scriptje... LOL
niet echt overtuigend gezien $_SERVER vars over het algemeen zelf zo lek als een mandje zijn... ;)
0 -0
-0
Nee dat snap ik... En was bezig met encryptie en kwam via google op deze topic toevallig...
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu