|
Расшифровка хэш с помощью SHA1 | ||
|---|---|---|---|
|
0
JuixyJes
18.05.20
✎
12:13
|
Подскажите пожалуйста, знаю что хэш пароля создается вот так:
Хэш = СтрЗаменить(Base64Значение(Лев(СохраняемоеЗначение, Найти(СохраняемоеЗначение, ",") - 1)), " ", ""); Можно ли обернуть процедуру обратно? |
||
|
1
D_E_S_131
18.05.20
✎
12:19
|
А при чем тут SHA1?
|
||
|
2
mistеr
18.05.20
✎
12:21
|
(0) Во-первых, где тут SHA1?
Во-вторых, где тут хэш. Base64 это не хэш ни разу. Во-вторых, по-моему тут какая-то чушь написана. |
||
|
3
mistеr
18.05.20
✎
12:21
|
(2) *В-третьих*
|
||
|
4
JuixyJes
18.05.20
✎
12:28
|
SHA1 при том, что сейчас пользуюсь сайтом для расшифровки хэшей.
Вот результат одного из запросов: 70f15d4334dec2125a254ea6aac1c710540197db:148257:SHA1 |
||
|
5
vde69
18.05.20
✎
12:29
|
Base64 - вполне обратим... например http://base64.ru/
|
||
|
6
JuixyJes
18.05.20
✎
12:36
|
А допустим, хэш который 1С использует для хэширования пароля?
|
||
|
7
JuixyJes
18.05.20
✎
12:36
|
Получится декодировать?
|
||
|
8
mistеr
18.05.20
✎
12:37
|
А вот SHA1 не обратим. Иначе не были бы нужны "сайты для расшифровки хэшей".
|
||
|
9
JuixyJes
18.05.20
✎
12:46
|
(8) сайты же работают с алгоритмами. Быть может кто то знает какими именно. Вот и спрашиваю.
|
||
|
10
dezss
18.05.20
✎
12:50
|
(6) Я вот, если честно, не в курсе. 1С разве хэширует пароли?
Насколько я знаю, используется просто Basic-аутентификация. |
||
|
11
dezss
18.05.20
✎
12:50
|
(10) Как раз то самое преобразование в Base64
|
||
|
12
Garykom
гуру
18.05.20
✎
12:57
|
(0) Если у тебя есть криптоферма то за пару лет можно "обернуть процедуру обратно"
|
||
|
13
Lama12
18.05.20
✎
12:58
|
(0) Хэши обратно, однозначно не восстановимы, т.к. подразумевают потерю информации.
В (0) потеря информации заключается в использовании функций "СтрЗаменить" и "Лев". (9) Сайты работают не с обратным преобразованием, а с построением хэш таблиц по алгоритму расчета хэша. Далее просто поиск в таблице. Замучаешься считать таблицы. Тебе пароль что ли узнать надо? Кроме хэш еще есть соль. Не забывай. |
||
|
14
Garykom
гуру
18.05.20
✎
13:01
|
(12)+ Хотя если короткие логин с паролем и SHA1 то все намного быстрее, буквально часы на нескольких современных видяхах
Если только Base64 то он обратим |
||
|
15
Йохохо
18.05.20
✎
13:02
|
а откуда в бэйс64 пробелы?
|
||
|
16
Lama12
18.05.20
✎
13:04
|
(15) Наверно для надежности сделали :-)
(0)Запусти в несколько потоков вложенные циклы. За день наверно и на 1С до 3-4 знаков дойдешь. И послушай (15), функцию в (0) можно упростить. |
||
|
17
vde69
18.05.20
✎
13:06
|
(9) сайты работают по базам данных, банально они самые популярные пароли захешировали и в базе хранится
если хеш = 3aaa4455 значит пароль был 123, то есть на сайтах никто не расшифровывает пароли а банально ищет хеш в своей базе, если его там нет - сайт выдаст "не Шмогла" |
||
|
18
Йохохо
18.05.20
✎
13:07
|
(0) короче, перед этой строчкой раньше был комментарий
// Удобных функций у нас нет, примем что бейс64 для наших целей достаточно хорошо выполнит функции хеширующей функции // Хэш тСтр = Base64Значение(Лев(СохраняемоеЗначение, Найти(СохраняемоеЗначение, ",") - 1)); |
||
|
19
Garykom
гуру
18.05.20
✎
13:07
|
(17) Для коротких паролей уже давно базы построены, для длинных согласен не шмогла
|
||
|
20
Йохохо
18.05.20
✎
13:09
|
(18) точнее не так
// Могут прилететь непойми какие символы, чтобы их убежать будем хранить в бейс64, а чтоб дороже выглядело обзовем хеш |
||
|
21
JuixyJes
18.05.20
✎
13:09
|
Понятно)
|
||
|
22
mistеr
18.05.20
✎
13:15
|
(21) Если нужно сбросить пароль в 1С, интернет полон инструкций. Зачем именно расшифровывать?
|
||
|
23
JuixyJes
18.05.20
✎
13:18
|
Чтобы не сбрасывать, логично?:D
|
||
|
24
hhhh
18.05.20
✎
13:20
|
(23) есть же просто копирование паролей стандартными средствами, перенос паролей из базы в базу. На ИТС этого как грязи. Зачем декодировать?
|
||
|
25
Arbuz
18.05.20
✎
13:25
|
О! я уж было подумал тут брутфорс sha1 на 1с будет, ну или там радужные генерировать ))) клиент-серверно через вк на ферме видях и в скуле хранить, или схалтурить и через http запрашивать у сервисов по словарям... а тут...
|
||
|
26
vde69
18.05.20
✎
13:30
|
(23) что-бы не сбрасывать - ставишь вин авторизация на себя и заходишь... потом снимаешь...
|
||
|
27
mistеr
18.05.20
✎
13:38
|
(21) То есть что бы человек не узнал, что его хакнули? Это уже УК, девушка. С этим вам на другой форум.
|
||
|
28
JuixyJes
18.05.20
✎
13:50
|
(27) Вы не поняли, это лишь в целях изучения, надо знать, возможно ли такое
|
||
|
29
Arbuz
18.05.20
✎
13:51
|
(27) т.е. если узнал, то это уже не УК?
|
||
|
30
JuixyJes
18.05.20
✎
13:51
|
(29) Если об этом уведомлять человека и он против этого ничего не имеет, тогда да, не УК
|
||
|
31
Arbuz
18.05.20
✎
13:57
|
(30) в рф не всегда. пентестеров из российского инфосека спросите
|
||
|
32
Йохохо
18.05.20
✎
13:59
|
(30) бейс64 это все равно, что пароль хранится в открытом виде. это не взлом, а услуга по долгу службы
|
||
|
33
mistеr
18.05.20
✎
14:04
|
(28) Это возможно, если пароль несложный (короткий или состоит из словарных слов с небольшими вариациями типа $ вместо S и т.п.) и уникальный. Но требует вычислительных ресурсов пропорционально сложности.
|
||
|
34
fisher
18.05.20
✎
14:06
|
Если тебе просто надо под другим пользователем зайти, то не нужно ничего хакать. Админские права позволяют подменять хэши.
|
||
|
35
mistеr
18.05.20
✎
14:13
|
(34) Это как?
|
||
|
36
fisher
18.05.20
✎
14:15
|
(35) ПользовательИнформационнойБазы.СохраняемоеЗначениеПароля
Доступно для записи. Можно запомнить старый хэш, записать свой, зайти под своим паролем, потом вернуть старый хэш. ИР так умеет. |
||
|
37
fisher
18.05.20
✎
14:18
|
Никакого криминала в этом нет. Если имеешь админский доступ к сторонней БД (не 1С) с хэшами, можно сделать точно также.
Против админа поможет только админ из СБ. |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|