 java script hackit |
AC!D 
paranoid
Dabei seit: 31.05.2002
Beiträge: 825
Herkunft: localhost
 |
|
| java script hackit |
|
gut, weil ihr ja alle meint es wäre so einfach. Ich denke es ist nicht gerade das schwerste, aber es braucht denk ich schon seine zeit
hier url
http://cupzei.bei.t-online.de/level6.htm
ach ja, falls ihr es schafft, kommt ne weiterleitung auf eine nicht bekannte seite also 404
wegen server umstellung stimmt die style sheet nimmer, aber das is ja egal. Die abfrage kommt nicht von mir, aber ich hab ein hackit drauß gemacht, is ja jetzt eh egal, als wers hat, pn an mich
hall of fame:
1. Antion
2.
3.
__________________
“Attack is the secret of defense - defense is the planning of an attack”
Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von AC!D: 20.11.2002 12:10.
|
|
18.11.2002 19:25 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
Das Problem bei der Sache ist: du brauchst net mal das Passwort kennen um in den "geschützten" Bereich zu kommen 
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
18.11.2002 19:27 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
Nur das das hier nicht mal ein eineindeutiges Verfahren ist. Es gibt zig Usernamen und Passworte, mit denen man da reinkommt.
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
18.11.2002 19:36 |
|
|
Zirias
BlackBoarder
Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom
|
|
Acid, das aufmultiplizieren aller Ascii-Codes ist mit Sicherheit nicht eineindeutig. Da hat LX recht 
__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+
|
|
|
18.11.2002 19:59 |
|
|
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
|
|
Hm also via Brute force das Passwort und den Username
zu berechnen kanns nicht sein oder ??
Devil
__________________
Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
|
18.11.2002 20:44 |
|
|
Zirias
BlackBoarder
Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom
|
|
Die Primfaktorzerlegung des Passworts beinhaltet allein über 70 mal die 2. Allein das beweist, dass es viele Kombinationsmöglichkeiten von Zahlen zwischen 0 und 255 gibt, die als Passwort akzeptiert werden. Leider fällt mir mit meiner zur Verfügung stehenden Rechengenauigkeit kein Weg ein, die genaue Primfaktorzerlegung zu bestimmen, sonst könnte ich dir jetzt Beispiele geben.
Insgesamt gesehen auch wieder eher eine kryptographische Aufgabe, als eine über Javascript. Denn wer sowas wirklich "hacken" wollte, würde sich nicht die Mühe machen, Usernamen und Passwort zu errechnen 
PS: Das hätte ich fast vergessen, es gibt noch einen viel einfacheren Beweis, dass das Passwort nicht eindeutig ist. Wegen der Kommutativität von "*" lassen sich nämlich die Zeichen schonmal beliebig anordnen. Dass auch die Zeichen selbst nicht eindeutig sind beweist das mehrfache Auftreten von Primfaktoren weit unter 256
__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Zirias: 18.11.2002 20:58.
|
|
|
18.11.2002 20:53 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
| Zitat: |
Original von AC!D
jetzt hab ich doch glatt auch noch hinweise gegeben, darum EDIT, also ganz einfach, das passwort ist eindeutig. punkt. |
Versuche dein Passwort mal rückwärts einzugeben, oder mit durcheinandergewürfelten Buchstaben... dann siehst du, wie eindeutig es ist
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
18.11.2002 20:58 |
|
|
AC!D
paranoid
Dabei seit: 31.05.2002
Beiträge: 825
Herkunft: localhost
Themenstarter 
|
|
das hatte ich ja dann editiert, das war für mich sowas wie ein hinweis, und zwar, sagen wir das passwort ist test, gut dann kannst du auch tset eingeben aber das passwort muss aus diesen buchstaben bestehen. Also ist es eindeutig ich weis nicht wo da jetzt das problem ist.
ach ja, es ist ein hackit so einfach, schade das ihr nur kretik aus übt, und niemand es versucht zu lösen.
so ich habe es jetzt nochmal stark vereinfacht, es sollte jetzt überhaupt kein problem mehr sein, auf die lösung zu kommen.
__________________
“Attack is the secret of defense - defense is the planning of an attack”
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von AC!D: 19.11.2002 11:26.
|
|
|
19.11.2002 11:21 |
|
|
[TH]
»®€ªN¡M¡€RT«
Dabei seit: 24.11.2001
Beiträge: 424
|
|
Wenn man statt Test auch Tset eingeben kann ist das ja wohl nicht eindeutig oder?
__________________
___________________________
:::::::::::::::::::::::::::::::::::::
.....we gonna get out of this sick society! no one who leads and no one who follows......
:::::::::::::::::::::::::::::::::::::
|
|
|
19.11.2002 13:21 |
|
|
Antion
Member
Dabei seit: 21.10.2002
Beiträge: 216
Herkunft: Schweiz
|
|
Das ist nicht zu lösen, Grund:
Du hasst die ascicode tabelle zwischen gross und kleinschreibung nicht beachtet.
Wenn ich rfffy0ii1K im asci habe Kann es ja nicht glecih RFFY0II1k sein in deinem decoder ist es aber so.
Prim faktorenzerlegung:
User : 2^8*3^8*5^4*7^4*11^2*17^3*19
Passwort: 2^24*3^2*5^24*19*31*70335747539
Wie bitte schön kann das eindeutig sein wenn nicht mal gross kleinschreibung beachtet wird.
Antion
__________________
Wie mal Sokrates gesagt hat, ich weiss, dass ich nichts weiss.
|
|
|
19.11.2002 14:16 |
|
|
Compuholic
knows where he wants to go tomorrow
Dabei seit: 19.10.2002
Beiträge: 819
Herkunft: München
|
|
Hinzu kommt noch folgendes:
Da das Passwort nicht eindeutig ist, gibt es auch keine Möglichkeit das Passwort "rückwärts" zu errechnen. Es ist also immer mit Ausprobieren verbunden.
Und BruteForce ist mir einfach zu blöde...
Das ist das gleiche, als wenn ich sagen würde. Berechne mir bitte 2 Faktoren aus denen das Produkt 2000 entstanden ist. Das geht nicht eindeutig. Man muß durchprobieren.
Wenn es dafür eine eindeutige Routine geben würde, dann wäre es wohl kein Problem mehr RSA zu knacken, oder?
|
|
|
19.11.2002 14:19 |
|
|
Zirias
BlackBoarder
Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom
|
|
Auf die Gefahr hin zuviel zu verraten:
3.728497977042397e+38 ist ja
2^23 * 5^23 * 3728497977042397 ...
Soweit so gut ...
Jetzt finde ich aber in 3728497977042397 keinen einzigen Primfaktor mehr (habe bereits bis 1000000 gesucht). Was ist da faul? Ist das ganze eine Verarschung und 3728497977042397 ist einfach eine Primzahl? Oder basiert das ganze darauf, dass auch Javascript schlichtweg zu begrenzte Rechengenauigkeit hat und die hinteren Stellen einfach fehlen? Falls letzteres der Fall ist, wie um alles in der Welt soll man ohne rumprobieren auf das Passwort kommen?
Kleine Bemerkung am Rande, der Username lässt sich problemlos faktorisieren
Greets, Ziri
PS: Acid, versteh das nicht falsch, ich sage nicht, dass die Aufgabe uninteressant ist. Das sagt aber nichts über die Sicherheit von Javascript Passwort-abfragen aus, denn wer wirjklich einfach nur rein wollte, dem genügt eben ein kurzer Blick in den Source *g*
edit: Kleiner Fehler, ich finde noch den Faktor 13 ... aber dann nichts mehr.
edit2: Antion, ich habe beim Usernamen das gleiche Ergebnis wie du, beim Passwort aber nicht. Da es beim Usernamen klappt, denke ich mal nicht, dass mein Programm einen Fehler hat? ...
__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Zirias: 19.11.2002 14:48.
|
|
|
19.11.2002 14:45 |
|
|
Antion
Member
Dabei seit: 21.10.2002
Beiträge: 216
Herkunft: Schweiz
|
|
@Zirias
Wo ist bei dir die Primzahl 3 ?
Antion
__________________
Wie mal Sokrates gesagt hat, ich weiss, dass ich nichts weiss.
|
|
|
19.11.2002 15:17 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
| Zitat: |
Original von Zirias
Oder basiert das ganze darauf, dass auch Javascript schlichtweg zu begrenzte Rechengenauigkeit hat und die hinteren Stellen einfach fehlen? |
Worauf du - salopp gesagt - einen lassen kannst
__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
|
19.11.2002 15:54 |
|
|
Zirias
BlackBoarder
Dabei seit: 11.09.2002
Beiträge: 1.217
Herkunft: /dev/urandom
|
|
Antion: Natürlich nirgends, ich sagte ich habe beim Benutzernamen das gleiche Ergebnis wie du, beim Passwort eben nicht.
Übrigens musst du dich verrechnet haben, denn dass die 3 nicht vorkommen kann, sieht man recht einfach über die Quersumme. die ist 88, nochmal quersumme gibt 16, das ist nicht durch 3 teilbar
Greets, Ziri
__________________
palmen-it.de
GCS/MU d+(++) s+: a C++ UL++++ P+++$ L+++ !E W+++ N+ o? K? w++$ !O M-- V?
PS+ PE++ Y+ PGP++ t !5 X- R- tv b+ DI++ D+ G e++ h r y+
|
|
|
19.11.2002 16:33 |
|
|
|
