Beste SD'ers,

welke codering zou hier kunnen achter zitten?
" $H$9wLBcF22oU6bCz9SfNTQ6PpHbdujgf/ "
Dit zou een wachtwoord moeten voorstellen.
(dit is van phpBB, ik wil namelijk zelf via sql accounts aanmaken).

mvg,
Bjorn T.

Standaard gebruiken ze md5

Anders zoek naar je aanmeld script en zoek welke codering ze gebruiken.
Haal dat stukje eruit plak het ergens in een leeg script neer vul daar een nieuw wachtwoord in en zo maak je ze.

Dit is niet waar. PhpBB heeft zijn eigen hash die tot nu toe nog niet gekraakt is.

Edit: http://wiki.phpbb.com/Function.phpbb_hash
Edit 2: http://wiki.phpbb.com/User_add

De PHPBB Hash functie:

Code:

function phpbb_hash($password)
{
	$itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';

	$random_state = unique_id();
	$random = '';
	$count = 6;

	if (($fh = @fopen('/dev/urandom', 'rb')))
	{
		$random = fread($fh, $count);
		fclose($fh);
	}

	if (strlen($random) < $count)
	{
		$random = '';

		for ($i = 0; $i < $count; $i += 16)
		{
			$random_state = md5(unique_id() . $random_state);
			$random .= pack('H*', md5($random_state));
		}
		$random = substr($random, 0, $count);
	}

	$hash = _hash_crypt_private($password, _hash_gensalt_private($random, $itoa64), $itoa64);

	if (strlen($hash) == 34)
	{
		return $hash;
	}

	return md5($password);
}

Of deze, phpbb3
http://www.opensourcejavaphp.net/php...bhash.php.html

Origineel gepost door gast6537

Dit is niet waar. PhpBB heeft zijn eigen hash die tot nu toe nog niet gekraakt is.

Edit: http://wiki.phpbb.com/Function.phpbb_hash
Edit 2: http://wiki.phpbb.com/User_add

1. function phpbb_hash($password) {
   

1. $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmn opqrstuvwxyz';
2. $random_state = unique_id();
3. $random = '';
4. $count = 6;
5. if (($fh = @fopen('/dev/urandom', 'rb')))
6. {
7. $random = fread($fh, $count);
8. fclose($fh);
9. }
10. if (strlen($random) < $count)
11. {
12. $random = '';
13. for ($i = 0; $i < $count; $i += 16)
14. {
15. $random_state = md5(unique_id() . $random_state);
16. $random .= pack('H*', md5($random_state));
17. }
18. $random = substr($random, 0, $count);
19. }
20. $hash = _hash_crypt_private($password, _hash_gensalt_private($random, $itoa64), $itoa64);
21. if (strlen($hash) == 34)
22. {
23. return $hash;
24. }
25. return md5($password);
26. }

gast6537 helaas voor je ze gebruiken md5.
Md5 is sowieso een veiligheids risico erg snel te bruteforcen op een cudu ondersteunende nivida kaart (1600 miljoen md5 hashen per seconde).
De salt maakt het tenminste wat veiliger.

Bjorn Toebat zie bovenstaande code die kun je vast aanroepen om om zelf bezig te kunnen.

Origineel gepost door Raymond Nijland

1. function phpbb_hash($password) {
   

1. $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmn opqrstuvwxyz';
2. $random_state = unique_id();
3. $random = '';
4. $count = 6;
5. if (($fh = @fopen('/dev/urandom', 'rb')))
6. {
7. $random = fread($fh, $count);
8. fclose($fh);
9. }
10. if (strlen($random) < $count)
11. {
12. $random = '';
13. for ($i = 0; $i < $count; $i += 16)
14. {
15. $random_state = md5(unique_id() . $random_state);
16. $random .= pack('H*', md5($random_state));
17. }
18. $random = substr($random, 0, $count);
19. }
20. $hash = _hash_crypt_private($password, _hash_gensalt_private($random, $itoa64), $itoa64);
21. if (strlen($hash) == 34)
22. {
23. return $hash;
24. }
25. return md5($password);
26. }

gast6537 helaas voor je ze gebruiken md5.
Md5 is sowieso een veiligheids risico erg snel te bruteforcen op een cudu ondersteunende nivida kaart (1600 miljoen md5 hashen per seconde).
De salt maakt het tenminste wat veiliger.

Bjorn Toebat zie bovenstaande code die kun je vast aanroepen om om zelf bezig te kunnen.

Ze gebruiken MD5, maar niet als final output. MD5 nooit $ en / outputten. Remijn heeft gelijk, de hash functie van phpBB is inderdaad aardig pro, daarnaast is bruteforcen anno 1990.

Origineel gepost door Robin L

Ze gebruiken MD5, maar niet als final output. MD5 nooit $ en / outputten. Remijn heeft gelijk, de hash functie van phpBB is inderdaad aardig pro, daarnaast is bruteforcen anno 1990.

Dan heb jij een andere definitie van pro, md5 dien je sowieso zelfs met een salt niet meer te gebruiken.

Juist niet door de toenemende snelheid van pc's/internet verbindingen zal steeds meer gebruteforced worden ook door middel van http requesten.

Origineel gepost door Raymond Nijland

Dan heb jij een andere definitie van pro, md5 dien je sowieso zelfs met een salt niet meer te gebruiken.

Juist niet door de toenemende snelheid van pc's/internet verbindingen zal steeds meer gebruteforced worden ook door middel van http requesten.

Sorry hoor, maar op een webserver een login-systeem proberen te bruteforcen? Dan klopt er iets niet met je scripting en al helemaal iets niet met je server configuratie. Ook klopt er dan iets niet van de hacker z'n kant. Via een browserclient gaan proberen te bruteforcen zal 1000x trager gaan dan een bruteforce script geschreven in bijv. c++ ;-). Tegenwoordig gaat het meeste via XSS of rainbow tabellen ;-)

Dat je MD5 niet meer moet gebruiken met een salt sluit ik me volledig bij aan, MD5 hashes zijn namelijk niet uniek. Mij heb je ook niet horen zeggen dat MD5 pro is, de manier waarop phpBB het toepast echter wel ;-).

Hoe zorg ik er nu precies voor om een wachtwoord te bekomen die ik uiteindelijk in de phpBB-user tabel kan droppen?

$password = $_POST['password'];
$ww = phpbb_hash($password);

zoiets?

Gewoon binnen de software blijven werken en het is piece of cake.

Dat heb ik geprobeerd maar dan moet ik echt binnen een pagina van phpBB blijven?
Want de functions.php includen is blijkbaar niet voldoende.