Danny92 Skrevet 13. april 2008 Del Skrevet 13. april 2008 Hei! Jeg har et problem, jeg har lagget et logg inn script som skal logge seg inn via vbulletin databasen. vb bruker kryptering og jeg har prøvd både md5 og sha1 men ingen av dem funker eller matcher i databasen. Noen ider på på hvordan dette skal løses? Lenke til kommentar
Martin A. Skrevet 13. april 2008 Del Skrevet 13. april 2008 Sjekk i brukertabellen om det er lagret et salt som benyttes under innlogginen. Du kan også hvordan vB foretar innloggingen ved å se i PHP-filen for det. Lenke til kommentar
Danny92 Skrevet 13. april 2008 Forfatter Del Skrevet 13. april 2008 Har sett veldig mye i kilde koden men finner det ikke helt ut. Og hva mener du med "salt"? Lenke til kommentar
ThorB Skrevet 13. april 2008 Del Skrevet 13. april 2008 (endret) Har sett veldig mye i kilde koden men finner det ikke helt ut. Og hva mener du med "salt"? salt er en tekst streng som hashes sammen passordet, sånn at i realiteten ingen av hashene som ligger i databasen er hashet opp av bare brukerens passord.så vidt jeg husker, mener jeg å ha lest en plass at hashen tar lengre tid å knekke når strengen som hashes er lengre..(er ikke helt sikker på den påstanden.. mulig det gjalt en annen hash enn md5) $salt = "hemmelig"; $brukernavn = "thor"; $passord = "passord"; $hash = md5($salt.$passord); Endret 13. april 2008 av ThorB Lenke til kommentar
Martin A. Skrevet 13. april 2008 Del Skrevet 13. april 2008 Saltet brukes for at man ikke kan ta den hashede strengen og sjekke den mot rainbow tables. Eller knekke en ved å bruke ordbok (at bruteforcingen sjekker alle ord som ligger i en ordbok mot strengen). Har aldri vært borti vB, så i hvilke filer du finner innloggingsmetoden vet jeg ikke. I IP.Board (IPB) ligger det hvertfall i ./sources/action_public/login.php , og hashen er md5( md5( $salt ) . md5( $passord ) ); Lenke til kommentar
ThorB Skrevet 14. april 2008 Del Skrevet 14. april 2008 (endret) Saltet brukes for at man ikke kan ta den hashede strengen og sjekke den mot rainbow tables. Eller knekke en ved å bruke ordbok (at bruteforcingen sjekker alle ord som ligger i en ordbok mot strengen). Har aldri vært borti vB, så i hvilke filer du finner innloggingsmetoden vet jeg ikke. I IP.Board (IPB) ligger det hvertfall i ./sources/action_public/login.php , og hashen er md5( md5( $salt ) . md5( $passord ) ); interessant. er en stund jeg sjekka ut om salting. men du kan da vel bruke rainbow tables fordi om den er saltet? rainbow tables er jo bare prehashed strenger lagret i en database (indeksert) som går an å gjøre oppslag mot for å kjappere knekke passordet. ellers gode poeng. Endret 14. april 2008 av ThorB Lenke til kommentar
Danny92 Skrevet 15. april 2008 Forfatter Del Skrevet 15. april 2008 Nå har jeg søkt og prøvd veldig mye og gir opp! Sikker på at ingen vet det? Lenke til kommentar
Ernie Skrevet 15. april 2008 Del Skrevet 15. april 2008 Passord-hash i vBulletin er md5($passord.$salt) hvor $salt hentes ut fra raden tilhørende brukeren i user-tabellen. Hvis du dog skal logges inn i vBulletin-forumet også må du såklart gjøre endel mer siden vBulletin lagrer session i databasen. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå