martes, 1 de marzo de 2011

Tengo tu contraseña

¡Que levanten la mano los que no hayan usado nunca una contraseña!
¿ninguno?
¡ahora solo los que tengan alguna contraseña que no sea suya!
¿Qué pasa?
¿No tenemos suficiente con el Gran Hermano de Mercedes Milá que lo queremos espiar todo?

Parece que no, pues me encontré con una de esas webs que guardan en su base de datos infinidad de hashes, nada más ni nada menos que 25 millones de contraseñas junto a su equivalente hash cifrado con los algoritmos SHA-1, md5, incluso la paranoica del administrador más Geek de la oficina, que se encarga de cifrar el md5 resultante pasándole nuevamente otro md5 por encima → md5(md5())




La página en cuestión contiene el número de contraseñas más grande del mundo y es que si no encuentras la tuya en sus listas, seguro escribes en arameo.
Pero sin duda lo que más gracioso me resulta, es en la cuarta línea del encabezado de la página, aparece textualmente "Use Ctrl+F to search the hash in page".




¡Ok! ¡de p*t* madre!

Osea que para buscar la contraseña que quiera encontrar ¿tengo que pasar exactamente por 25.000 páginas presionando Ctrl+F y la tecla Enter?

Lo mismo cuando termine dentro de un par de años, el banco al que quería dar el palo del que me saqué de la manga el admin con SQLi ¡a cerrado por la crisis!

Pues nada, se me ocurrió cerrar antes de que ocurriese eso la página debido al estrés mental ocasionado y buscar en Google.





Y mi propio SHA-1, por si no confiáis en que sea el 4n0nym0us original y no esos copiones de Wikileaks.





Si somos un poco manitas, seguro podríamos programar una aplicación que a base de Split, lográsemos exportar todas las password de la página a un archivo de texto para utilizarlo como un superdiccionario de fuerza bruta. Seguramente el archivo pesaría una tonelada y lo más posible es que ni el software que presenté anteriormente lo aguante sin tildarse, pero bueno es una idea malévola de las mías.

Saludos 4n4les!

10 comentarios:

  1. Ja! una de mis múltiples contraseñas no aparece en la página!!!!

    ResponderEliminar
  2. gracias por la info!no conocia la pagina

    ResponderEliminar
  3. Estas en la rooted? Winsock

    ResponderEliminar
  4. Winsock@

    Justo tengo el intensivo del carnet de conducir, de 9 de la mañana a 8 de la tarde, sábado y domingo... ójala pudiera ir!

    ResponderEliminar
  5. Eres un mierda, pensé que estarías por aquí. Bueno, ya me recompensas, yo por lo pronto echare por aquí el día. Winsock

    ResponderEliminar
  6. Winsock@

    Espero que lo grabéis los afortunados. La recompensa sera invitarte a una buena jarra en un Irlandés de Sol que me encanta. ;)

    ResponderEliminar
  7. Que pasa comenten respecto al tema , no ridiculeses

    ResponderEliminar
  8. Bueno, la pagina no existe :S

    Que se habra hecho paso a otra ip/host?

    ResponderEliminar
  9. Amigo, muy buen blog, pero quisiera que explicaras como explotar los codigos XSS y CSRF, especificamente este: /?1.5.9-x (Según está obsoleto)

    Bueno, te reto a poner esto, de lo contrario, sabré de lo que estás hecho ;)

    ResponderEliminar