Portál AbcLinuxu, 17. července 2025 13:57


Dotaz: Cracknutí linuxového hesla

16.7.2006 13:28 tom84 | skóre: 6
Cracknutí linuxového hesla
Přečteno: 226×
Odpovědět | Admin
Existuje jiná možnost zjištění hesla z hashe, který je v /etc/shadow, než použitím Johna nebo programu crack? Jde mi o to, jestli lze použít kolize nebo jiný způsob, a nebo je to u hashe se saltem nemožné a musí se použít brute-force nebo wordlist?
Předem děkuji všem za odpověď.
"One World, One web, One program" - Microsoft Promo "Ein Volk, Ein Reich, Ein Fuhrer" - Adolf Hitler
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Luboš Doležel (Doli) avatar 16.7.2006 13:32 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Odpovědět | | Sbalit | Link | Blokovat | Admin
Kolize slouží ke zjištění hesla?!
16.7.2006 13:46 tom84 | skóre: 6
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
No co o kolizi vím, tak by zjištěný řetězec měl vygenerovyt stejný hash. Proto jsem se ptal jestli je možné si takto heslo (ať klidně není stejné) zjistit ;-)
"One World, One web, One program" - Microsoft Promo "Ein Volk, Ein Reich, Ein Fuhrer" - Adolf Hitler
16.7.2006 13:50 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
O kolizi se v této souvislosti mluví, pokud znáte dva vstupy, které dají stejný výstup. Vy ale máte k danému výstupu najít nějaký vstup, který dá příslušnou hodnotu.
Jardík avatar 16.7.2006 13:37 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Odpovědět | | Sbalit | Link | Blokovat | Admin
root:$1$JmCrUBDZ$ZaDVs/gpvikT4CaBj9Y260:13296::::::
To stačí vymazat (např. pomocí live cd). Pak to žádné heslo nechce (nebo teda alespon ve skole na debianu to nechtelo).
Věřím v jednoho Boha.
16.7.2006 13:39 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Některé systémy jsou nastaveny tak, že je-li položka prázdná, přihlášení nedovolí. V takovém případě bych tam buď zkopíroval heslo od jiného uživatele nebo prostě použil příkaz passwd (roota se na staré heslo neptá).
Max avatar 16.7.2006 13:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Tak tak, když už se člověk dostane k bootování livecd a fs nejni šifrovaný, tak ho nic nezastaví ;-)
Zdar Max
Měl jsem sen ... :(
16.7.2006 13:49 tom84 | skóre: 6
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Tohle všechno znám, ale já právě nemám fyz. přístup na daný PC a ani účet, že bych použil nějaký exploit na jádro. jediný co jsem z daného stroje získal je soubor /etc/passwd a /etc/shadow :-)
"One World, One web, One program" - Microsoft Promo "Ein Volk, Ein Reich, Ein Fuhrer" - Adolf Hitler
16.7.2006 13:51 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Pokud jste ho získal, pak jste tam buď měl roota nebo je jeho správce trestuhodně nedbalý. Tak či onak není zrovna morální vám v takové činnosti pomáhat.
16.7.2006 17:47 Ricardo | skóre: 27 | blog: Ricardo | Horní Suchá
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
nemusel mít nutně roota ... mohl tam běžet apache s mod php, které chroustalo trestuhodně nedbale napsaný kód (ve stylu místo )
My mind may be raving, my words may be void, but I am not afraid of being moderated below threshold!
16.7.2006 18:10 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Pokud běžel apache s čímkoliv pod rootem, tak toho roota měl/má a správce serveru je trestuhodně nedbalý...
-- Nezdar není hanbou, hanbou je strach z pokusu.
16.7.2006 18:14 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
A pokud snad ke čtení /etc/shadow nejsou potřeba práva roota nebo skupiny, do které žádný uživatel nepatří, pak také…
Heron avatar 16.7.2006 18:25 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Hmm dotaz: co je na tom souboru tak zvláštního? Jasně, jde o hesla, ale je to v SHA1, ta jde cracknout jedině brute force attackem. Takže pokud si někdo mění dostatečně často heslo, tak je to v pohodě, ne?

Tím nechci říct, že ten soubor by neměl být chráněn, ale ten, kdo má techniku na prolomení SHA v nějakém rozumném čase, tak ten se do toho PC stejně dostane.
Heron
16.7.2006 18:29 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
No minimálně je to seznam uživatelů počítače. Dobrý základ k hádání hesel. Například usr nbu heslo nbu123.
16.7.2006 18:34 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Seznam uživatelů dostaneš z normálně nastaveného systému z /etc/passwd. Blbé je, že průměrný uživatel (a velmi často i root) na většině systémů, se kterými jsem měl tu čest byl lempl a heslo měl velmi jednoduché. John si s tím poradil během pár hodin na (dnes už) slabém počítači.
-- Nezdar není hanbou, hanbou je strach z pokusu.
16.7.2006 18:33 Kníže Ignor | skóre: 19 | blog: stoupa
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
No, sha-1 je minimálně nalomená, pokud ne zlomená :-) Ale hlavní důvod je ten, že pak může člověk snadno udělat slovníkový útok.
Jestli máš zálohu mého blogu, tak mi ji pošli. Nějak jsem si ho smazal :-)
16.7.2006 18:34 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
SHA-1 jsem zatím takto využitou neviděl. V praxi se v Linuxu používá DES (použitý nepřímo, tj. heslem se šifruje pevný datový blok), MD5 (není to klasická MD5, ale algoritmus, který MD5 používá) a Blowfish (AFAIK opět použitý nepřímo podobně jako DES). Kromě toho DESu jsou to dostatečně silné algoritmy. Problém je spíš v předpokladu, že uživatelé nemají snadno uhodnutelná hesla, ten bohužel v praxi často splněn není. Koneckonců to, že není dobré mít hashe hesel ve world-readable souboru, je důvod, proč se shadow passwords kolem roku 1995 začala vůbec zavádět, do té doby byly hashe hesel přímo v /etc/password (což se dodnes odráží v jeho názvu a nepoužité druhé položce).
Heron avatar 16.7.2006 18:39 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Díky za vysvětlení.

Mno, zkusím Johna u sebe na serveru. Pravda, né každý má 18místná hesla jako já....
Heron
16.7.2006 21:07 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
18? Moje mají osm znaků. 15 pouze passfráze ke GPG a SSH a ty mi generoval apg :-D. Skoro by to chtělo anketu ...
When your hammer is C++, everything begins to look like a thumb.
16.7.2006 21:04 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Takže pokud si někdo mění dostatečně často heslo, tak je to v pohodě, ne?
Admin, který nechá shadow čitelný si pravděpodobně moc často měnit hesla nebude.
When your hammer is C++, everything begins to look like a thumb.
16.7.2006 22:46 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Nemluvě o tom, ho snad žádná distribuce jako world readable ani nenainstaluje. Pokud se mýlím, prosím o jmenovité nabonzování, ať všichni vědí, na koho si mají dát pozor.
16.7.2006 18:34 Frank J. Tomes | skóre: 29 | Plzeň
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pusťte si někdy Johna na vašem počítači a budete překvapeni, jaká hesla jsou schopni vymyslet vaši uživatelé :-)
[frank]$ uname -prs FreeBSD 4.11-RELEASE-p25 i386
16.7.2006 18:36 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Cracknutí linuxového hesla
Ono stačí nastavit trochu přísnější pravidla pro volbu hesla a pak sledovat, kolik pokusů potřebuje uživatel na jeho změnu… :-)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.