BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- HackIt java script hackit (http://www.black-board.net/thread.php?threadid=8579)
Geschrieben von AC!D am 18.11.2002 um 19:25:
java script hackit
gut, weil ihr ja alle meint es wäre so einfach. Ich denke es ist nicht gerade das schwerste, aber es braucht denk ich schon seine zeit
hier url
http://cupzei.bei.t-online.de/level6.htm
ach ja, falls ihr es schafft, kommt ne weiterleitung auf eine nicht bekannte seite also 404
wegen server umstellung stimmt die style sheet nimmer, aber das is ja egal. Die abfrage kommt nicht von mir, aber ich hab ein hackit drauß gemacht, is ja jetzt eh egal, als wers hat, pn an mich
hall of fame:
1. Antion
2.
3.
Geschrieben von LX am 18.11.2002 um 19:27:
Das Problem bei der Sache ist: du brauchst net mal das Passwort kennen um in den "geschützten" Bereich zu kommen
Geschrieben von AC!D am 18.11.2002 um 19:28:
es geht ja auch nicht darum in den geschützen bereich zu kommen, sondern den benutzernamen und das passwort rauszubekommen, das ist aber bei hackitz allgemein so
Geschrieben von LX am 18.11.2002 um 19:36:
Nur das das hier nicht mal ein eineindeutiges Verfahren ist. Es gibt zig Usernamen und Passworte, mit denen man da reinkommt.
Geschrieben von AC!D am 18.11.2002 um 19:37:
ebend nicht, ich habs doch selbst schon gelöst, es ist nix unfaires dabei, man kommt nur mit einem usernamen und mit einem passwort rein, sträub dich doch nicht dagegen, es ist einfach ein ganznomales hackit
Geschrieben von Sephiroth the 23rd am 18.11.2002 um 19:40:
Ach das alte Ding, nein ich bin zu faul dafür und evtl. ist es eh praktischer bei dem Ding den Server anstatt des JS' zu exploiten <gg>
Geschrieben von Zirias am 18.11.2002 um 19:59:
Acid, das aufmultiplizieren aller Ascii-Codes ist mit Sicherheit nicht eineindeutig. Da hat LX recht
Geschrieben von AC!D am 18.11.2002 um 20:01:
jetzt hab ich doch glatt auch noch hinweise gegeben, darum EDIT, also ganz einfach, das passwort ist eindeutig. punkt. Was soll das eigendlich? es ist zu lösen, ich habs doch selbst schon gelöst
löst es und ihr stimmt mir zu
Geschrieben von phlox81 am 18.11.2002 um 20:44:
Hm also via Brute force das Passwort und den Username
zu berechnen kanns nicht sein oder ??
Devil
Geschrieben von Zirias am 18.11.2002 um 20:53:
Die Primfaktorzerlegung des Passworts beinhaltet allein über 70 mal die 2. Allein das beweist, dass es viele Kombinationsmöglichkeiten von Zahlen zwischen 0 und 255 gibt, die als Passwort akzeptiert werden. Leider fällt mir mit meiner zur Verfügung stehenden Rechengenauigkeit kein Weg ein, die genaue Primfaktorzerlegung zu bestimmen, sonst könnte ich dir jetzt Beispiele geben.
Insgesamt gesehen auch wieder eher eine kryptographische Aufgabe, als eine über Javascript. Denn wer sowas wirklich "hacken" wollte, würde sich nicht die Mühe machen, Usernamen und Passwort zu errechnen
PS: Das hätte ich fast vergessen, es gibt noch einen viel einfacheren Beweis, dass das Passwort nicht eindeutig ist. Wegen der Kommutativität von "*" lassen sich nämlich die Zeichen schonmal beliebig anordnen. Dass auch die Zeichen selbst nicht eindeutig sind beweist das mehrfache Auftreten von Primfaktoren weit unter 256
Geschrieben von Compuholic am 18.11.2002 um 20:56:
Das Login kann gar nicht eindeutig sein.
Schau mal. Du geht von einem festen Endergebnis aus, daß sich durch die Multiplikation von einzelnen Werten ergibt.
Das entspricht der Aufgabenstellung aus einem Produkt wieder die Teiler herauszufinden.
Die Lösung ist in den meisten Fällen nunmal nicht eindeutig (Außer es ist ein Primzahlprodukt, was sehr unwahrscheinlich ist)
[edit]
Ooops, da war wieder einer schneller
[/edit]
Geschrieben von LX am 18.11.2002 um 20:58:
| Zitat: |
Original von AC!D
jetzt hab ich doch glatt auch noch hinweise gegeben, darum EDIT, also ganz einfach, das passwort ist eindeutig. punkt. |
Versuche dein Passwort mal rückwärts einzugeben, oder mit durcheinandergewürfelten Buchstaben... dann siehst du, wie eindeutig es ist
Geschrieben von AC!D am 19.11.2002 um 11:21:
das hatte ich ja dann editiert, das war für mich sowas wie ein hinweis, und zwar, sagen wir das passwort ist test, gut dann kannst du auch tset eingeben aber das passwort muss aus diesen buchstaben bestehen. Also ist es eindeutig ich weis nicht wo da jetzt das problem ist.
ach ja, es ist ein hackit so einfach, schade das ihr nur kretik aus übt, und niemand es versucht zu lösen.
so ich habe es jetzt nochmal stark vereinfacht, es sollte jetzt überhaupt kein problem mehr sein, auf die lösung zu kommen.
Geschrieben von [TH] am 19.11.2002 um 13:21:
Wenn man statt Test auch Tset eingeben kann ist das ja wohl nicht eindeutig oder?
Geschrieben von Antion am 19.11.2002 um 14:16:
Das ist nicht zu lösen, Grund:
Du hasst die ascicode tabelle zwischen gross und kleinschreibung nicht beachtet.
Wenn ich rfffy0ii1K im asci habe Kann es ja nicht glecih RFFY0II1k sein in deinem decoder ist es aber so.
Prim faktorenzerlegung:
User : 2^8*3^8*5^4*7^4*11^2*17^3*19
Passwort: 2^24*3^2*5^24*19*31*70335747539
Wie bitte schön kann das eindeutig sein wenn nicht mal gross kleinschreibung beachtet wird.
Antion
Geschrieben von Compuholic am 19.11.2002 um 14:19:
Hinzu kommt noch folgendes:
Da das Passwort nicht eindeutig ist, gibt es auch keine Möglichkeit das Passwort "rückwärts" zu errechnen. Es ist also immer mit Ausprobieren verbunden.
Und BruteForce ist mir einfach zu blöde...
Das ist das gleiche, als wenn ich sagen würde. Berechne mir bitte 2 Faktoren aus denen das Produkt 2000 entstanden ist. Das geht nicht eindeutig. Man muß durchprobieren.
Wenn es dafür eine eindeutige Routine geben würde, dann wäre es wohl kein Problem mehr RSA zu knacken, oder?
Geschrieben von Zirias am 19.11.2002 um 14:45:
Auf die Gefahr hin zuviel zu verraten:
3.728497977042397e+38 ist ja
2^23 * 5^23 * 3728497977042397 ...
Soweit so gut ...
Jetzt finde ich aber in 3728497977042397 keinen einzigen Primfaktor mehr (habe bereits bis 1000000 gesucht). Was ist da faul? Ist das ganze eine Verarschung und 3728497977042397 ist einfach eine Primzahl? Oder basiert das ganze darauf, dass auch Javascript schlichtweg zu begrenzte Rechengenauigkeit hat und die hinteren Stellen einfach fehlen? Falls letzteres der Fall ist, wie um alles in der Welt soll man ohne rumprobieren auf das Passwort kommen?
Kleine Bemerkung am Rande, der Username lässt sich problemlos faktorisieren
Greets, Ziri
PS: Acid, versteh das nicht falsch, ich sage nicht, dass die Aufgabe uninteressant ist. Das sagt aber nichts über die Sicherheit von Javascript Passwort-abfragen aus, denn wer wirjklich einfach nur rein wollte, dem genügt eben ein kurzer Blick in den Source *g*
edit: Kleiner Fehler, ich finde noch den Faktor 13 ... aber dann nichts mehr.
edit2: Antion, ich habe beim Usernamen das gleiche Ergebnis wie du, beim Passwort aber nicht. Da es beim Usernamen klappt, denke ich mal nicht, dass mein Programm einen Fehler hat? ...
Geschrieben von Antion am 19.11.2002 um 15:17:
@Zirias
Wo ist bei dir die Primzahl 3 ?
Antion
Geschrieben von LX am 19.11.2002 um 15:54:
| Zitat: |
Original von Zirias
Oder basiert das ganze darauf, dass auch Javascript schlichtweg zu begrenzte Rechengenauigkeit hat und die hinteren Stellen einfach fehlen? |
Worauf du - salopp gesagt - einen lassen kannst
Geschrieben von Zirias am 19.11.2002 um 16:33:
Antion: Natürlich nirgends, ich sagte ich habe beim Benutzernamen das gleiche Ergebnis wie du, beim Passwort eben nicht.
Übrigens musst du dich verrechnet haben, denn dass die 3 nicht vorkommen kann, sieht man recht einfach über die Quersumme. die ist 88, nochmal quersumme gibt 16, das ist nicht durch 3 teilbar
Greets, Ziri
Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH