md5 decodieren

Kategorien: PHP & MySQL
28 Antworten
beyox
beyox am Montag, 30. Mai 2005 um 14:42
hi ich habe hier zB diesen schönen md5 codierten string habe 66c6d5e15a5d7079cf7f3973e721ebce - wie decodiere ich ihn? gibts da eine möglichkeit? habe bisher nur gelesen, dass es nicht geht, aber irgendein programm muss ja so lange probieren können, bis es stimmt.....oder kann php das sogar selbst?

Kommentare

Morpheus
Morpheus am Montag, 30. Mai 2005 um 15:30

die Antwort auf deine Frage ist total einfach:


[b]NEIN[/b]


es ist nicht möglich md5 zu decodieren!
Und da gibt es auch kein wenn und aber. Ist nunmal so.
Denn wenn man es decodieren könnte, wäre es ja nicht mehr sicher ;)
Crypt-Codierung kann man aber glaub ich decodieren... Wird aber kaum noch verwendet da es daher eben zu unsicher ist.

beyox
beyox am Montag, 30. Mai 2005 um 20:10

angenommen man schreibt ein programm, dass so lang irgendwelche zufalls-generierten strings codiert, bis der neu-codierte mit dem alten übereinstimmt (?)

Morpheus
Morpheus am Montag, 30. Mai 2005 um 20:21

es ist einfach nicht möglich... wenn man sowas schreiben könnte dann hätte dass auch schon jemand gemacht... Schau es ist auch logisch: Wenn man md5 (-Passwörter) entschlüsseln könnte, wären sie umsonst... dann kannst du gleich das Passwort einfach so reinschreiben.

beyox
beyox am Montag, 30. Mai 2005 um 20:26

ja hast recht, trotzdem ist ja die md5 codierung für ein bestimmtes wort immer die gleiche.....das macht mich irre :D
was ja zumindest schonmal soviel heißt, wie: ich kann mir ne sammlung mit hunderten von codierten wörtern anlegen und gucken, welches passt.

-xXx-
-xXx- am Montag, 30. Mai 2005 um 21:28

da gibts einen roman von dan brown (mir fall jetz der name net ein) da schreibt er das das FBI einen "supercomputer" hat der wirklich alles, nach der brute force methode entschlüssen kann. obs war is, kA! jednfalls hat er die infos von einem ex-fbi encrypter *gg*

creationX
creationX am Montag, 30. Mai 2005 um 23:57

Hallo,
es gibt einige programme die md5 decodieren können, mit brute force methoden.
Jedoch dauerts Xtrem lang , hab versucht ein pw zu decodieren dauerte ca 2 stunden obs den aufwand wert is ??
Und das pw war 4 stellig daher 2 stunden is zu viel ;)

cya

phadiax
phadiax am Dienstag, 31. Mai 2005 um 08:43

Es gibt/gab Projekte, die versucht haben für mehrere Wörter identische md5-Strings zu finden. Die benötigte Datenbank dafür wurde von Usern gefüllt, ähnlich wie es damals bei Seti@home war (Bildschirmschoner, der Berechnungen anstellt und die dann an einen Server sendet .. damals wurde nach Aliens gesucht ;) ).

Ich hab grad den Link nicht mehr, wenn ich den nochmal finde, schreib ichs hier :)

blackfeet
blackfeet am Dienstag, 31. Mai 2005 um 13:01

Per durchprobieren, ist natürlich alles drin und man einfache Passwörter wie Hund, Hase, & co. leicht entschlüsseln. Passwörter wie 9Mjo(23@e würden dann aber sehr sehr lange benötigen bzw. von einem normalen Pc nie geschafft werden.

md5 selbst kann bis jezt aber nicht rekodiert werden.

unkie
unkie am Dienstag, 31. Mai 2005 um 14:19

ja mit bruteforce ist es möglich dauert nur ~100 Jahre ^^
es ist einfach hammer schwer! das ganze wird ja mit ne was weiß ich wie langen gleichung gemacht! und ohne den wert von ne paar bestimmten variablen ist es recht schwer es zu schaffen

es gibt verschiedene von diesen "unlösbaren" codes, wobei ich nicht denken, das man eine rechnung nicht gegengleichen kann, denn irgentwie muss man ja auch drauf gekommen sein ;)

blackfeet
blackfeet am Dienstag, 31. Mai 2005 um 22:31

Klar, md5 ist aber noch nicht dekodiert, es arbeiten schätzungsweise gerade aber genug daran ;) Also du musst theoretisch durch verschlüsseln verschiedenster wörter versuchen irgendwann auf ähnlichkeiten zu kommen.

Die Frage die ich mir schon mal gestellt habe, der ich bis jetzt aus Mangel an Zeit noch nicht nachgegangen bin, ist folgende:
Da beispielsweise php open source ist und es möglich ist den code zu sehen muss man doch auch die php funktion md5() irgendwo finden und anschaun können, wie der Code erzeugt wird. Warum scheinbar doch nicht?

cruz
cruz am Dienstag, 31. Mai 2005 um 22:40

naja .. kann sein, dass das ja verschlüsselt is ... mysql verwendet ja zb auch md5() als spezielle funktion .. das muss relativ geheimgehalten werden oder verschlüsselt ... glaub ich mal :)

blackfeet
blackfeet am Mittwoch, 1. Juni 2005 um 17:24

Ja aber zumindest die developer müssens dann kennen und das da nix durchsickert? Wenn ich zeit hab, dann schau ich mal nach.

beyox
beyox am Mittwoch, 1. Juni 2005 um 17:33

ja dachte ich mir auch, dass bei einer so viel verwendeten codierung sicher irgendwo mal der algorithmus durchsickert, sodass man das rückgängig machen kann.

zu brute force: was ist das? wer hat dieses programm mit dem es 4 stunden gedauert hat? creationx - hast du das programm noch? 2 stunden sind nich so wichtig. lasse ich halt durchlaufen, wenn ich gerade mal nich da bin.....wäre auf jeden fall sehr lustig.

blackfeet
blackfeet am Sonntag, 5. Juni 2005 um 19:51

beyox, das geht nur bei Kinderpasswörtern ala Hund, Katze, etc.. bei einem sinnvollen Passwort stell dich auf Tage ein und jede sinnvolle Anwendung hat einen Bruteforce Schutz, wie zum Beispiel 2 sek warten bis erneut eingeloggt werden darf, .. dann brauchst du eine halbe Ewigkeit.

reaLfoX
reaLfoX am Montag, 6. Juni 2005 um 22:39

also ich stell nun mal eine ganz dumme frage, bitte nicht lachen :P

wofür braucht man diese md5 codierung eigentlich wenn man ein passwort verschlüsseln kann, es aber nicht wieder entschlüsseln kann. ich versteh nicht in welchem zusammenhang man das benutzen kann. :(

hoffe ihr liegt nun nicht unterm tisch und lacht euch kaputt ^^

creationX
creationX am Montag, 6. Juni 2005 um 23:13

Hallo,

md5 ist dazu da das niemand es herausbekommt.
Daher ist es ja auch so das beim forum (wbb) oder auch hier ein neues pw erstellt wird, da man das md5 nicht wieder anzeigen kann in seiner ursprungs form.

Das heißt folgendes:
Gibst du bei der registrierung das passwort exe034 an, so wird es md5 codiert, in der db steht dan z.b folgendes 3i4ji43j4.
Logst du dich ein wird dein passwort was du eingibst also exe034 codiert und verglichen stimmt das eingegebene md5 mit dem md5 in der datenbank überein? Wenn ja Log in.

mfg

reaLfoX
reaLfoX am Dienstag, 7. Juni 2005 um 20:07

ok danke habs dann verstanden, danke :)

blackfeet
blackfeet am Mittwoch, 8. Juni 2005 um 13:34

md5 ist ja eigentlich keine verschlüsselung, sondern bildet eine Prüfsumme. MD5 gibt immer einen 32 zeichen langen code zurück egal wie lange das zu "verschlüsselende" war. So wird md5 oftmals als Prüfsumme für downloads verwendet. Man lädt die Datei(en) herunter und den dazugehörigen md5 code. Dann errechnet man sich einen eigenen md5 Hash und vergleicht den mit dem heruntergeladenen. Stimmen die beiden überein hat man ziemlich sicher keine übertragungsfehler.

Nur ein anderes Anwendungsbeispiel für md5.

beyox
beyox am Freitag, 17. Juni 2005 um 21:35

@ blackfeet

dachte bei der brute force methode an ein programm dem ich den md5 code angeben kann, denn den habe ich, und das mit dem schutz hat sich erledigt, da das eigentliche programm(forum oÄ) komplett rausfällt

(sowas wie zB pquak) brauche ich nicht, wobei das ja auch immer recht fix ging. und soweit ich das in erinnerung habe hat das programm auch alles gefunden, somit denke ich es sollte auch ein anderes programm geben, was das schafft - eben mit ner md5 codierung und diese mit der ursprünglichen vergleicht

meersau
meersau am Mittwoch, 20. Juli 2005 um 01:39

www.faqs.org/rfcs/rfc1321.html
hier habt ihr etwas wo ihr nachlesen könnt wie md5 verschlüsselt wird ;)

passcracking.com/
hier was wo md5 entschlüsselt wird (teilweise)

MaNo
MaNo am Mittwoch, 1. März 2006 um 12:48

Mann kann MD5 encodieren nur es ist unmöglich wenn das normale Password länger als 12 Zeichen ist.

www.milw0rm.com/cracker/insert.php

da seht ihr.

habe auch ein C Programm dafür ^^

unkie
unkie am Mittwoch, 1. März 2006 um 13:53

wobei das eigentlich nur lauter md5-hashes erstellt und vergleicht! da dauert dann auch seine zeit ...

Apple
Apple am Montag, 6. März 2006 um 14:20

Naja, dann is es ja eigentlich auch nur ne Bruteforce attacke ;)

unkie
unkie am Montag, 6. März 2006 um 15:47

jop

HeinzelMann
HeinzelMann am Dienstag, 7. März 2006 um 20:03

Hallo mein erster Post :]
Ich wollte auch mal meinen Senf dazugeben.
Es gibt sehr viele Methoden , da ich [Ex]Hacker bin kann ich euch sagen das es mit BruteForce Methode geht aber zulange dauert, ~paar Tage. Name des Programmes : Cain (& Abel) . Google hilft!
MfG HeinzelMann

Apple
Apple am Donnerstag, 9. März 2006 um 16:24

Wenn ich den Hash habe war ich schon in der Db drinnen...dann setz ich doch gleich ein neues :P

Ansonsten nehmt ihr das Script APPLEISNTOLLERHACKER die hashdb müssts selber anlegen ;)

<?
$hash = "gelleechterhash";

$sql = "select hash,real from db_hashes";
$query = $mysql_query($sql);
while($1337 = mysql_fetch_object($query))
{
if ($hash == $1337->hash)
{
echo "Passwort: ".$1337->real;
exit();
}
}
?>

wer die ironie findet darf sie behalten...

blackfeet
blackfeet am Donnerstag, 9. März 2006 um 20:41

Lass doch bitte die Datenbank vergleichen :)

$sql = "select hash, real from db_hashes WHERE hash='".$gelleechterhash."'";

Aber dein script ist wirklich gut, da erkennt man wer wirklich Erfahrung im hacken hat ;)

Und bitte, vergesst nicht die script Laufzeit ein bisschen in die höhe stellen!

ini_set('max_execution_time','100');

Apple
Apple am Freitag, 24. März 2006 um 08:52

psssst, die Antihackers sind überall :P