Strona 1 z 2
Dostęp do haseł uŻytkowników
: 29 września 2007, 11:44
autor: Smerf
Cześć! Jak sprawdzić jakie hasła mają poszczególni użytkownicy? Oglądałem pliki passwd i shadow ale są one jakoś szyfrowane. Jeżeli będą potrzebne to mam uprawnienia roota. Narazie eksperymentuje sobie z debianem i potrzebuję te hasła do logowania się jako określony użytkownik w trybie graficznym...
tia
: 29 września 2007, 14:34
autor: db
Są w /etc/shadow. Dokładniej nie są szyfrowane, a hashowane [ wyliczane suma kontrolna ze stringa z hasłem ]. Hasło wydobyć można jedynie poprzez sprawdzanie kolejnych ciągów znaków, czyli bruteforce.
: 29 września 2007, 14:34
autor: nightwish86
Skoro masz root'a to po co ci hasła?
I jesteś. Hasła innych użytkowników są ICH. Nie twoje.
: 27 grudnia 2007, 17:15
autor: cola-n1
A jak wyciągnąć plik passwd nie majac zadnych hasel, i pozniej mogl je rozszyfrowac przez john the ripper? jestem wdzieczny za kazda podpowiedz
: 27 grudnia 2007, 17:26
autor: Jony
Jeśli hasła są hashowane to nie można ich "odszyfrować". Możesz jedynie zgadywać, lub (jeśli jest to hash md5) wygenerować sobie kilkaset możliwych haseł o takim samym hashu i je wypróbowywać. Oczywiście żadna z tych metod nie daje CI 100% pewności powodzenia.
: 28 grudnia 2007, 14:03
autor: Rad
stepek: cola chyba miał po prostu takie zadanie w szkole, żeby wyciągnąć hasło roota czy tam innego usera
: 30 grudnia 2007, 15:24
autor: Immortal
Jony pisze:(jeśli jest to hash md5) wygenerować sobie kilkaset możliwych haseł o takim samym hashu i je wypróbowywać.
Z tego co się orientuję to dla każdego ciągu znaku hash md5 jest inny
bo jaki miało by sens hashowanie jeśli dla ciągu znaków pies i kot otrzymalibyśmy ten sam hash ?
: 30 grudnia 2007, 15:38
autor: neptunek
kazdy dowolny ciag znakow poddany algorytmowi MD5 generuje hash-a - a wiec kot inny hash, pies inny hash, Pies jeszcze inny itd.
Zeby dobrac sie do zrodla hash-a to sa dwie metody:
1. brutforce (w celu zalogowania? bez sensu bo np fail2ban i potrzebny czas wydluza sie w miliony lat
)
2. generator ciagow znakow + slowniki -> hash MD5 -> porownanie z /etc/shadow + najlepiej jakis klasterek obliczeniowy
Obie metody niewydajne, nieekonomiczne, malo skuteczne (wrecz zerowa skutecznosc), dlugotrwale.
Najlepiej przejac haslo root-a a pozniej su -user, a jezeli zapomnialo sie hasla dla uzytkownika to prosba do root-a i po problemie.
: 30 grudnia 2007, 15:38
autor: Jony
Immortal: jeśli masz nieskończoną liczbę możliwych ciągów, które masz zhashować do ciągu skończonego to muszą istnieć grupy ciągów o takim samym hashu. Dzięki temu nie można odgadnąć hasła posiadając jego hash. Z tym że md5 niedawno zostało złamane i można w nietrudny sposób wygenerować ciąg na podstawie hasha.
: 30 grudnia 2007, 15:44
autor: stepek
Owszem Jeny. Tylko tak jak wspomniales dla kilku ciagów znaków md5 moze być takie samo. Wiec moze byc kilka propozycji rozwiazania.
Co do hasla roota to po co lamac to haslo skoro jak jest dostep do maszyny to haslo na roota mozna poprostu zmienic??