Ik heb een scriptje gemaakt om in te loggen, maar als je in de source kijkt dan zie je het wachtwoord staan. Weer iemand hier een oplossing voor?
:strip_icc():strip_exif()/u/7418/the_hat_icon.jpg?f=community){kind=icon}
/u/10128/icon.JPG?f=community){kind=icon}
:strip_exif()/u/2043/313546.gif?f=community)
VIA javascript kan ik alles.Op dinsdag 13 februari 2001 14:11 schreef raptorix het volgende:
wedden voor 25 gulden dat ik een beveiliging via javascript kan maken
Echter moet het wachtwoord dan ook in de javascript zitten
En jah ik heb een hele goeie proxy thuis die alles gewoon kan proxyen al staat er in de code dat het niet geproxied mag worden... en als het wachtwoord in javascript staat is het te achterhalen in dat javascript .
kan altijd de wachtwoord via javascript naar de server sturen en de server laten reageren of het klopt of niet. Maar das toch stiekum server side en niet java-script.
Wedden is ongezond.
Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR
/u/13620/crop611bc7af5725b_cropped.png?f=community)
wachtwoord scramblen dmv een hashtabel ofzo 
There's no such thing as a mistake, just happy accidents - Bob Ross
Relaxte muziek: altijd okee!
- Soulseek rulez -
Hash berekening zit dan in de javascript.Op dinsdag 13 februari 2001 14:42 schreef Tsjipmanz het volgende:
wachtwoord scramblen dmv een hashtabel ofzo
Back In Black!
"Je moet haar alleen aan de ketting leggen" - MueR
:strip_exif()/u/13818/episodebutler_60x60.gif?f=community)
Hash berekening heeft als voordeel dat het maar 1 kant op werkt..... Zul je d'r weer een setje koetjes tegenaan moeten gooien om achter het wachtwoord te komen....Op dinsdag 13 februari 2001 15:09 schreef dusty het volgende:
[..]
Hash berekening zit dan in de javascript.
Wat je het beste kunt doen is de verborgen pagina "wachtwoord.html" noemen en dan in je javascript open(wachtwoord + '.html) zetten...
Aangezien het leleik is om een 404 error te geven kun je nu hash gebruiken om te controleren of het wachtwoord goed is. maw .. laat het zoals hierboven, maar zodra de hash niet klopt ga je gewoon naar "foutwachtwoord.html"
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
:strip_exif()/u/925/cookieani.gif?f=community)
in dat js bestandje gaat wel lukken, maar dan wil ik nog wat.
Je kunt met een javascript zien waar die persoon vandaan komt he? Nu wil ik het zo hebben, als die persoon niet van die pagina komt waar je je wachtwoord op moet geven, dat je dan een foutmelding krijgt en de pagina niet te zien krijgt.
snappie?
wie kan me helpen
Je kunt met een javascript zien waar die persoon vandaan komt he? Nu wil ik het zo hebben, als die persoon niet van die pagina komt waar je je wachtwoord op moet geven, dat je dan een foutmelding krijgt en de pagina niet te zien krijgt.
snappie?
wie kan me helpen
Ja klopt, ik heb hier op GoT al us eerder een js password script gepost, en ik neem maar aan dat dat inderdaad niet gelukt is om het te kraken, anders had iemand dat mij wel laten weten 
dees die ik dus net noemde is nieuw, en nog beter, dus doe je best zou ik zeggen
dees die ik dus net noemde is nieuw, en nog beter, dus doe je best zou ik zeggen
Instagram | Flickr | "Let my music become battle cries" - Frédéric Chopin
25,- voor diegene die dit maakt:
een inlog pagina, die moeilijk te kraken is.
username + password goed , dan naar de goede pagina.
username + password fout, dan een foutmelding, mar je blijft op de inlogpagina
Als iemand in 1 keer naar de goede pagina gaat zonder de inlogpagina te gebruiken, moet er ook een foutmelding komen en de pagina mag niet weergegeven worden.
een inlog pagina, die moeilijk te kraken is.
username + password goed , dan naar de goede pagina.
username + password fout, dan een foutmelding, mar je blijft op de inlogpagina
Als iemand in 1 keer naar de goede pagina gaat zonder de inlogpagina te gebruiken, moet er ook een foutmelding komen en de pagina mag niet weergegeven worden.
Gôh, wasda :
var crtLogs = new Array();
crtLogs[0] = "-60,-18,-81,58,-59,-67,-122,-18,-46,4,-56,50,-2,-24,-76,68,-104,-118,-24,-89,-7,9,-2,-68,-21,-64,-1,8,31,-17,-29,-65,71,-109,-49,-17,-98,45,-16,-13,-69,-91,-61,1,7,38";
crtLogs[1] = "47,67,62,78,-45,-115,-39,69,69,69,-5,14,-95,-50,-124,36,-112,-8,8,23,-51,69,63,47,82,-2,-48,24,51,50,-3,57,5,-107,13,-104,27,-121,47,-1,15,-52,47,67,55,74";
crtLogs[2] = "-92,30,57,62,0,-119,13,1,69,82,-136,51,13,-36,-33,49,-26,-52,9,43,-149,40,53,51,58,-65,80,-8,51,63,-135,39,9,15,-15,58,-35,1,0,36,-96,-40,45,66,51,-58";
En de rest mogen de JavaScript goeroe's uitzoeken, heb ik geen zin in. Ben geen
!!!
var crtLogs = new Array();
crtLogs[0] = "-60,-18,-81,58,-59,-67,-122,-18,-46,4,-56,50,-2,-24,-76,68,-104,-118,-24,-89,-7,9,-2,-68,-21,-64,-1,8,31,-17,-29,-65,71,-109,-49,-17,-98,45,-16,-13,-69,-91,-61,1,7,38";
crtLogs[1] = "47,67,62,78,-45,-115,-39,69,69,69,-5,14,-95,-50,-124,36,-112,-8,8,23,-51,69,63,47,82,-2,-48,24,51,50,-3,57,5,-107,13,-104,27,-121,47,-1,15,-52,47,67,55,74";
crtLogs[2] = "-92,30,57,62,0,-119,13,1,69,82,-136,51,13,-36,-33,49,-26,-52,9,43,-149,40,53,51,58,-65,80,-8,51,63,-135,39,9,15,-15,58,-35,1,0,36,-96,-40,45,66,51,-58";
En de rest mogen de JavaScript goeroe's uitzoeken, heb ik geen zin in. Ben geen
!!!
/u/1830/acm.png?f=community)
Tis best aardig geschreven.
Beetje op het publickey/privatekey principe van algemenere authenticatie protocollen, lijkt me.
't Is best te kraken, maar dan moet je vooral even checken wat ie er van brabbelt als je een verkeerd paswoord etc intikt.
Maar waarschijnlijk net als die auth. protocollen alleen met een koetje.
Btw Clay: Waarom heb je er eigenlijk [url="shttp://"]shttp://[/url] instaan bij die hasValidUrl check?
moet dat niet [url="https://"]https://[/url] zijn?
En als ik die url check zo begrijp, dan heb je ergens een andere dir (evt op andere server) waar ie naartoe linkt.
Dat url wordt toch zeker wel gefabriceerd door je gehussel met getallen daar?
En dan rolt er iets al http://valid.server.nl/directory/index.html uit. Dat lijkt me trouwens WEL te bookmarken, maar ik neem aan dat je je gebruikers wel vertrouwd.
Ik vindt mijn pages met php toch netter beveiligd, daar kan je niet eens de source zien. En, je kan heel simpel usernames en paswoorden etc toevoegen/veranderen.
Kijk maar op http://blok.gdries.com
is wel een beetje een 'nutteloze' pagina voorderest, maar als je weet in te loggen wil ik dat graag weten
(ook als het niet lukt 
)Oh, en houd je eventuele 'hackactie' netjes
Dat is inderdaad de 'enige' oplossing denk ik. Opzich nog best te doen. Want dat ding verteld zelf al of ie goed zit
Dat is best wel te doen hoor.
Het algoritme vinden, sterker nog. In principe staat het er gewoon. Maar je hebt twee variabelen nodig (username en paswoord) om een goed resultaat te krijgen.
hehe, oops! moet idd https zijn sorry foutje. Pas het nog wel een keer aan.
Verder is alles wat server side is natuurlijk beter, daar kan je idd de source niet van zien, en zo hoort het ook gedaan te worden. Maar het punt hiervan (zoals het ooit begonnen is ook) is dat het juist OPEN is, je KAN gewoon bij de source komen, en dat is dus gewoon een extra uitdaging om te maken. Niet dat het enige nut heeft verder.
Ik ga um onder de downloads op mijn site zetten, maar daar zet ik in de readme wel bij dat het op je eigen risico is, en dat ik absoluut niet aansprakelijk ben voor eventuele nare gevolgen, ik kijk wel uit
En ga gerust je gang als je het brute force wil checken, maar ik kan je nu al vertellen dat je een proggie flink lang daarop moet laten bakken. Login namen en passwords hebben NIET een vaste lengte, en die lengte is ook niet uit die crtLogs array te halen, en daarnaast kunnen verschillende logins naar verschillende urllen linken. 't is zelfs nog bruter, maar daar kom je zelf wel achter als je er mee bezig gaat.
Ik blijf erbij, het is niet te kraken
sorry foutje. Pas het nog wel een keer aan.Verder is alles wat server side is natuurlijk beter, daar kan je idd de source niet van zien, en zo hoort het ook gedaan te worden. Maar het punt hiervan (zoals het ooit begonnen is ook) is dat het juist OPEN is, je KAN gewoon bij de source komen, en dat is dus gewoon een extra uitdaging om te maken. Niet dat het enige nut heeft verder.
Ik ga um onder de downloads op mijn site zetten, maar daar zet ik in de readme wel bij dat het op je eigen risico is, en dat ik absoluut niet aansprakelijk ben voor eventuele nare gevolgen, ik kijk wel uit
En ga gerust je gang als je het brute force wil checken, maar ik kan je nu al vertellen dat je een proggie flink lang daarop moet laten bakken. Login namen en passwords hebben NIET een vaste lengte, en die lengte is ook niet uit die crtLogs array te halen, en daarnaast kunnen verschillende logins naar verschillende urllen linken. 't is zelfs nog bruter, maar daar kom je zelf wel achter als je er mee bezig gaat.
Ik blijf erbij, het is niet te kraken
Instagram | Flickr | "Let my music become battle cries" - Frédéric Chopin
Brute force duurt te lang? Ik denk dat dat wel mee valt; moet geprobeerd worden. Wie maakt er een multi-threaded Windows progje? Ik zorg wel voor een zware doos (of meerdere) en een dedicated 34Mbps lijn. Kijken of die server van XS4All dat wel trekt...
Maarre, ff iets serieuzer. Als ik zo'n site-jat progje er op loslaat dan heb ik toch zo alle pagina's binnen? Wat dat betreft heb je aan deze beveiliging niets; de server geeft toch alles weg.
Blijft wel het feit staan dat je dit erg strak hebt gemaakt!
Maarre, ff iets serieuzer. Als ik zo'n site-jat progje er op loslaat dan heb ik toch zo alle pagina's binnen? Wat dat betreft heb je aan deze beveiliging niets; de server geeft toch alles weg.
Blijft wel het feit staan dat je dit erg strak hebt gemaakt!
Ik heb net effe een php'tje in elkaar geflansed (syntax lijkt lekker veel op javascript ) en die kan zo'n 100"key's/sec" uitrekenen op mijn athlon650.
En das dan niet geoptimaliseerd etc etc.
Als je dat in C doet, gaat het wat harder
multithreaded ben ik niet zo goed in in C
... Java zou wel lukken...
Btw, ik laat alleen maar de "hexcodes testen" dus de username+paswoord komt er niet uit, maar de goede url. (op den duur)
) en die kan zo'n 100"key's/sec" uitrekenen op mijn athlon650.En das dan niet geoptimaliseerd etc etc.
Als je dat in C doet, gaat het wat harder
multithreaded ben ik niet zo goed in in C
... Java zou wel lukken...Btw, ik laat alleen maar de "hexcodes testen" dus de username+paswoord komt er niet uit, maar de goede url. (op den duur)
?me is nu net ff een half uurtje bezig, en is op het randje met het breken van de codeOp dinsdag 13 februari 2001 15:55 schreef Clay het volgende:
Ja klopt, ik heb hier op GoT al us eerder een js password script gepost, en ik neem maar aan dat dat inderdaad niet gelukt is om het te kraken, anders had iemand dat mij wel laten weten
dees die ik dus net noemde is nieuw, en nog beter, dus doe je best zou ik zeggen
..I'll keep U invormed!!!
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
D'R DOOR!!!!!!!!!
kiek moar
Ik post deze link omdat mijns inziens hier geen wereldbedreigende info ed staat, maar meer als bewijs...(en omdat ie zo arro overtuigd was dat het lastig zou zijn
) Binnen een half uur met die computer die tussen m'n oren zit ...
Ga gelijk ook ff een mailtje sturen naar Clay met wat dingen die hij beter kan doen...
kiek moar
Ik post deze link omdat mijns inziens hier geen wereldbedreigende info ed staat, maar meer als bewijs...(en omdat ie zo arro overtuigd was dat het lastig zou zijn
) Binnen een half uur met die computer die tussen m'n oren zit ...Ga gelijk ook ff een mailtje sturen naar Clay met wat dingen die hij beter kan doen...
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
Straks wel effe vertellen hoe je het gedaan hebt heOp dinsdag 13 februari 2001 23:50 schreef Janoz het volgende:
D'R DOOR!!!!!!!!!
kiek moar
Ik post deze link omdat mijns inziens hier geen wereldbedreigende info ed staat, maar meer als bewijs...(en omdat ie zo arro overtuigd was dat het lastig zou zijn
Ga gelijk ook ff een mailtje sturen naar Clay met wat dingen die hij beter kan doen...
Brute force is ook niet alles
ACM -> dat is serverside (php).. Het onderwerp is hier clientside password checks
Ik zal het ff stap voor stap uitleggen:
Als eerste heb ik uitgebreid het script bestudeerd om achter de werking te komen. Het script bleek te bestaan uit twee onderdelen.
Het eerste onderdeel zit goed in elkaar. Hier worden de username en password lekker gescrambled en samengevoegd en gehusselt enz enz om uiteindelijk te worden omgezet in een reeks getallen.
Het tweede onderdeel is dat deze reeks getallen enkele keren achter elkaar gezet wordt (de 1e grote fout, omdat hierdoor patronen ontstaan). Om nu aan de url te komen zijn er in het script nog twee lijsten gedefinieerd. De ene lijst is een string met alle mogelijke karakters en de andere is een lijst met verschillen. Van deze verschillijsten zijn er 3. Voor elke wachtwoord/username combinatie 1.
De url wordt gevormt door het eerste element van de gegenereerde getallenreeks bij het eerste element van de verschillijst op te tellen en vervolgens het karakter uit de karakter lijst halen dat op die positie staat. Dit wordt 46 keer gedaan.
Wat heb ik gedaan:
Ten eerste zag ik al dat username en password niet te achterhalen waren (of met bruteforce, maar dat telt niet:) ). Ik heb me dus ook voledig gefocused op het tweede onderdeel. Na het tellen van de elementen in de verschillijst kwam ik op 46. Omdat http://www.xs4all.nl/~peterned/.html er al 36 zijn nam ik aan dat dit wel redelijk de goede richting was. Vervolgens heb ik een phpscript geschreven waarin ik de verschillen tussen mijn gokstring en de verschillenlijst uitrekende. Als gokstring heb ik http://www.xs4all.nl/~peterned/!!!!!!!!!!.html genomen. Ik heb voor !'s gekozen omdat dit de eerste tekens in de karakter lijst waaren waardoor ik mooi het verschil uit kon rekenen als ik een patroon kon vinden. Dit was de uitkomst van het script:
-132
-102
-165
-22
-85
-82
-137
-105
-133
-83
-70
-38
-85
-44
-141
-8
-180
-132
-102
-165
-22
-85
-82
-137
-105
-133
-83
-70
-38
-85
-44
-65
71
-109
-49
-17
-98
45
-16
-13
-69
-105
-133
-83
-70
-38
Als je hier ff naar kijkt zie je dat een lijst zich telkens herhaald muv de bold cijfers. Dit waren nou net de posities waar ik ! had ingevuld. Door nu het verschil uit te rekenen tussen deze getallen en de getallen die je na aanleiding van het patroon zou verwachten kwam ik tot logsucceed.
Tja, en toen was het gewoon een kwestie van URL intikken
Ik zal het ff stap voor stap uitleggen:
Als eerste heb ik uitgebreid het script bestudeerd om achter de werking te komen. Het script bleek te bestaan uit twee onderdelen.
Het eerste onderdeel zit goed in elkaar. Hier worden de username en password lekker gescrambled en samengevoegd en gehusselt enz enz om uiteindelijk te worden omgezet in een reeks getallen.
Het tweede onderdeel is dat deze reeks getallen enkele keren achter elkaar gezet wordt (de 1e grote fout, omdat hierdoor patronen ontstaan). Om nu aan de url te komen zijn er in het script nog twee lijsten gedefinieerd. De ene lijst is een string met alle mogelijke karakters en de andere is een lijst met verschillen. Van deze verschillijsten zijn er 3. Voor elke wachtwoord/username combinatie 1.
De url wordt gevormt door het eerste element van de gegenereerde getallenreeks bij het eerste element van de verschillijst op te tellen en vervolgens het karakter uit de karakter lijst halen dat op die positie staat. Dit wordt 46 keer gedaan.
Wat heb ik gedaan:
Ten eerste zag ik al dat username en password niet te achterhalen waren (of met bruteforce, maar dat telt niet:) ). Ik heb me dus ook voledig gefocused op het tweede onderdeel. Na het tellen van de elementen in de verschillijst kwam ik op 46. Omdat http://www.xs4all.nl/~peterned/.html er al 36 zijn nam ik aan dat dit wel redelijk de goede richting was. Vervolgens heb ik een phpscript geschreven waarin ik de verschillen tussen mijn gokstring en de verschillenlijst uitrekende. Als gokstring heb ik http://www.xs4all.nl/~peterned/!!!!!!!!!!.html genomen. Ik heb voor !'s gekozen omdat dit de eerste tekens in de karakter lijst waaren waardoor ik mooi het verschil uit kon rekenen als ik een patroon kon vinden. Dit was de uitkomst van het script:
-132
-102
-165
-22
-85
-82
-137
-105
-133
-83
-70
-38
-85
-44
-141
-8
-180
-132
-102
-165
-22
-85
-82
-137
-105
-133
-83
-70
-38
-85
-44
-65
71
-109
-49
-17
-98
45
-16
-13
-69
-105
-133
-83
-70
-38
Als je hier ff naar kijkt zie je dat een lijst zich telkens herhaald muv de bold cijfers. Dit waren nou net de posities waar ik ! had ingevuld. Door nu het verschil uit te rekenen tussen deze getallen en de getallen die je na aanleiding van het patroon zou verwachten kwam ik tot logsucceed.
Tja, en toen was het gewoon een kwestie van URL intikken
Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'
:strip_exif()/u/2175/farenia.gif?f=community)
Netjes....
heel netjes...
Het is een naar mijn idee een goed js login script. En ik denk niet dat je ze veel sterker zult tegen komen. (client side dat is).
Mooi scripie Clay... en mooi gekraakt JanoZ
heel netjes...
Het is een naar mijn idee een goed js login script. En ik denk niet dat je ze veel sterker zult tegen komen. (client side dat is).
Mooi scripie Clay... en mooi gekraakt JanoZ
Programmer - an organism that turns coffee into software.
Gaaf! je bent de eerste die het gelukt is dit scippie te kraken! Helaas kan ik aan dat patroon niet al te veel doen. Ik zou het patroon op een andere manier kunnen laten herhalen uiteraard, ik moet nu natuurlijk weer een nieuwe versie maken dus ik zal mijn fantasie weer ff op hol laten slaan en kijken wat ik nu weer kan verzinnen.
Verder heb je wel onwijs geluk gehad (en ik ben onwijs dom geweest) dat in de url van de uitkomst zowat mijn hele site zit, met die gok kan je er inderdaad (zo blijkt) makkelijk uitkomen. Ik weet niet hoe snel (als het al gelukt was) je erachter zou komen als ik het script zou laten uitkomen open een totaal andere site, want feit is dat je voor de eerste stap van het kraken de url eigenlijk nodig hebt, omdat daar indirect de "key" van becombineerde user name en password op wordt losgelaten. Ik vind het in ieder geval heel knap. Ik was er zelf niet opgekomen.
Probleem met het script is dus dat inderdaad de username en password worden gebruikt om een reeks getallen te combineren. Deze worden verwerkt in de ctrLogs array, en omdat de url meestal langer is dan de gecombineerde name + pass moet er wel een patroon optreden. Maar omdat al die getallen een relatieve positie vertegewoordigen, zou je dat patroon niet kunnen vinden als je de url niet hebt.
De reden dat ik er zo arrogant over deed, is dat iedereen altijd opgegeven heeft. Een tijdje geleden heb ik deze challenge op een dedicated javascript forum gepost, daar zit het vol met goeroe's die wel in zijn voor dit soort dingen, maar daar kwam ook nix uit, heb ik op den duur nooit meer wat van gehoord. Op deze manier, door een beetje uit de hoogte te doen, geef ik mensen een extra reden om het te kraken, gewoon om mijn zogenaamde arrogantie onder de grond te stampen, zie het als psygologische beinvloeding ofzo en blijkbaar werkt het, want het is nu al gekraakt
Ik heb je mailtje gehad, en ik zal meteen vanmiddag ff een verbetering erdoorheen jassen, en mocht je er nog zin in hebben kan je met een beetje mazzel meteen vanavond verder gaan met de nieuwste versie Ik hou je op de hoogte!
dus ik zal mijn fantasie weer ff op hol laten slaan en kijken wat ik nu weer kan verzinnen.Verder heb je wel onwijs geluk gehad (en ik ben onwijs dom geweest) dat in de url van de uitkomst zowat mijn hele site zit, met die gok kan je er inderdaad (zo blijkt) makkelijk uitkomen. Ik weet niet hoe snel (als het al gelukt was) je erachter zou komen als ik het script zou laten uitkomen open een totaal andere site, want feit is dat je voor de eerste stap van het kraken de url eigenlijk nodig hebt, omdat daar indirect de "key" van becombineerde user name en password op wordt losgelaten. Ik vind het in ieder geval heel knap. Ik was er zelf niet opgekomen.
Probleem met het script is dus dat inderdaad de username en password worden gebruikt om een reeks getallen te combineren. Deze worden verwerkt in de ctrLogs array, en omdat de url meestal langer is dan de gecombineerde name + pass moet er wel een patroon optreden. Maar omdat al die getallen een relatieve positie vertegewoordigen, zou je dat patroon niet kunnen vinden als je de url niet hebt.
De reden dat ik er zo arrogant over deed, is dat iedereen altijd opgegeven heeft. Een tijdje geleden heb ik deze challenge op een dedicated javascript forum gepost, daar zit het vol met goeroe's die wel in zijn voor dit soort dingen, maar daar kwam ook nix uit, heb ik op den duur nooit meer wat van gehoord. Op deze manier, door een beetje uit de hoogte te doen, geef ik mensen een extra reden om het te kraken, gewoon om mijn zogenaamde arrogantie onder de grond te stampen, zie het als psygologische beinvloeding ofzo
en blijkbaar werkt het, want het is nu al gekraakt Ik heb je mailtje gehad, en ik zal meteen vanmiddag ff een verbetering erdoorheen jassen, en mocht je er nog zin in hebben kan je met een beetje mazzel meteen vanavond verder gaan met de nieuwste versie
Ik hou je op de hoogte!
Instagram | Flickr | "Let my music become battle cries" - Frédéric Chopin
je kan Janoz beter niet uitdagen, hij offert zo zn social life op om je scriptje te hacken!
There's no such thing as a mistake, just happy accidents - Bob Ross
Relaxte muziek: altijd okee!
- Soulseek rulez -
Pagina: 1