banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: mr_pi  XML
Profile for mr_pi Messages posted by mr_pi [ number of posts not being displayed on this page: 0 ]
 
Thấy cái này hay hay. Tại sao mấy anh chị không lập 1 site như hellboundhackers.org hay hackthissite.org cho bọn mới vào như em thực hành nhỉ? smilie
Bạn đưa link lên đây xem nào smilie

quachminhkha wrote:
em co thằng bạn xài phần mền kaspersky internet security 2011 nó có mấy cái key em xin về xài lúc nhập key vào thì nó báo lỗi không thích hợp nhưng bạn em nó xài vẫn được bạn em thì xài laptop em thì may tính bàn mông mấy anh chỉ giùm em smilie đây là email của em kingkhacm@gmail.com 


Key đã bị block. Laptop của bạn bạn có thể do không nối mạng nên không bị block key. Bạn google tìm key khác nhé smilie

lyhuuloi wrote:

kimtulong wrote:
như bác hoasimtim nói như trên gần như là không thể vậy sao mọi người hack lỗi SQL injection tìm ra được cái mật khẩu md5 chỉ để ngắm thôi sao?hichic! smilie 

Do md5() về thực tế là khó có thể dịch được, nên mã md5 lấy ra được từ kết quả hack thường được dùng vào việc tạo fake cookie smilie

Về lý thuyết, cookie nào được lưu về dưới 1 tên ABC nào đó đều là sản phẩm của một thuật toán dựa vào mã md5 đã lưu ở database - hoặc trường hợp coder hơi gà một tí là lưu mã md5 có trong database mà không mã hóa thêm nữa.

Như vậy, hacker hoàn toàn có thể mô phỏng lại quy trình mã hóa này bằng cách dựa vào mã md5 lấy được, họ sẽ tạo được fake cookie để có thể đăng nhập một cách hợp lệ.

Chỉ có vậy thôi. 


Nhưng đăng nhập được thì cũng không vào admincp được, chỉ sử dụng chức năng ở trang index thôi smilie

mrro wrote:
@kimtulong: câu hỏi của bạn làm mình nhớ đến một tình huống cách đây vài năm cũng ở trên HVAOnline này, có một bạn cũng có thành tích hacking dữ dội lắm. lần đó thì sau khi đã hack được một cái web-app, upload được cả shell lên, bạn đó muốn vào chức năng admin của cái webapp, nên lấy database ra thì password toàn là hash.

rồi bạn đó lên HVAOnline cũng hỏi y chang câu hỏi của bạn, sau đó còn hì hụi tìm cách brute force đám md5 đó. trong khi có một cách dễ hơn rất nhiều và cũng không để lại dấu vết gì: cứ copy cái đám md5, backup lại chỗ nào đó, cần vào quyền của user nào, thì cứ tạo đại một cái md5, cập nhật cái md5 đó vào field password của user đó là xong. làm xong thì lấy cái md5 cũ cập nhật lại.

hình như sau lần đó thì bạn ấy bỏ nghề luôn. thế là nước nhà mất đi một hacker tài năng.

 


Cách làm như anh bảo có phải là edit cookie không? ;smilie. Trên Hellbound Hackers cũng có mấy challenges như vậy smilie. Nhưng như thế chắc chỉ đăng nhập nick admin được ở ngoài trang index, không biết pass thì làm sao vào được admincp? smilie
Về vấn đề giải mã MD5 mình nghĩ không thực sự cần thiết. Nếu đã có được user và pass (MD5) thì chỉ cần tạo thêm cookie user và pass chứa thông tin user và pass đó là có thể đăng nhập được mà. (thực ra mình chưa thực hành cái này bao giờ, chỉ làm mấy mission hacking thấy vậy thôi :">smilie
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|