1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › SQL-Dump aufgetaucht…

Ernsthaft? gb28$32a als Passwort?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ernsthaft? gb28$32a als Passwort?

    Autor: Xiut 31.07.15 - 17:01

    In dem Dump befindet sich ein Hash von einem der Admin-Passwörter, in einer Backup-Tabelle. Einmal kurz durch entsprechende Datenbanken gejagt, bekommt man als Ergebnis gb28$32a

    Ernsthaft? Klar, es hat auch ein Sonderzeichen, Zahlen und so, aber nur 8 Zeichen für ein Passwort, welches so wichtig ist? Oh man...

  2. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Sharra 31.07.15 - 17:44

    Vor allem kommt noch dazu, dass man die ersten 2 Buchstaben (gb für General-Bundesanwalt(.de)) sogar noch erraten könnte, wenn man davon ausgeht, dass der Admin seine Passwörter mit der verwalteten Domain kennzeichnet, um sie sich merken zu können.
    Jetzt müsste man mal schauen, wie der Rest mit der fraglichen Person zusammenhängt, und ob man da auch drauf kommen kann. Denkbar wäre z.B., dass die 2 Kinder zum Release der Seite 28 und 32 Jahre alt gewesen sind...

  3. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Aslo 31.07.15 - 19:46

    Poste das hier doch nicht!
    Sonst zeigt dich der Generalbundesfuzi auch wegen Landesverrat an xD

  4. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Iruwen 31.07.15 - 21:43

    Ist an der Stelle ziemlich egal. Ohne Brute Force kommt keiner auf das PW, und das sollte entsprechend abgefangen werden. Und wer den Hash hat hat eh schon die Benutzerdatenbank und den Rest der Site und muss sich die Mühe nicht mehr machen.

  5. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Xiut 31.07.15 - 21:54

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Ist an der Stelle ziemlich egal. Ohne Brute Force kommt keiner auf das PW,
    > und das sollte entsprechend abgefangen werden. Und wer den Hash hat hat eh
    > schon die Benutzerdatenbank und den Rest der Site und muss sich die Mühe
    > nicht mehr machen.

    Das ist alles andere als egal... Eine SQL-Injection-Schwachstelle bedeutet nicht direkt, dass man direkt kompletten Zugriff auf den Server hat. Hat man jedoch den Hash von dem Passwort eines Admin-Accounts für eine Software, mit der man entsprechend eigene Skripte auf den Server laden und ausführen kann, kann man diesen entsprechend angreifen und sich anschließend bei dieser Software als Admin anmelden. Und das ist bei diesem Passwort eben entsprechend einfach, weil der Hash in einer sehr bekannten Datenbank existiert.

    Wo ist das also egal?!

    Wahrscheinlich hat der Admin sogar selbst dafür gesorgt, dass dieser Hash in der Datenbank steht, indem er dessen MD5-Generator benutzt hat, um den Hash zu generieren und diesen in die Datenbank einzutragen, weil er das Passwort vergessen hat und er das Passwort zurücksetzen musste... :D

  6. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Iruwen 31.07.15 - 22:39

    Wer sagt überhaupt, dass das das ursprüngliche Kennwort ist? Welcher Hash Algorithmus wurde verwendet? Kann ja auch eine Kollision sein und das gb am Anfang ist Zufall.

  7. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: shertz 31.07.15 - 23:02

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Iruwen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist an der Stelle ziemlich egal. Ohne Brute Force kommt keiner auf das
    > PW,
    > > und das sollte entsprechend abgefangen werden. Und wer den Hash hat hat
    > eh
    > > schon die Benutzerdatenbank und den Rest der Site und muss sich die Mühe
    > > nicht mehr machen.
    >
    > Das ist alles andere als egal... Eine SQL-Injection-Schwachstelle bedeutet
    > nicht direkt, dass man direkt kompletten Zugriff auf den Server hat.
    Wenn du mit SQL-Injections den Hash auslesen kannst, kannst du ihn auf dem selben Weg ändern und schon gehört dir der Account.

    > Hat
    > man jedoch den Hash von dem Passwort eines Admin-Accounts für eine
    > Software, mit der man entsprechend eigene Skripte auf den Server laden und
    > ausführen kann, kann man diesen entsprechend angreifen und sich
    > anschließend bei dieser Software als Admin anmelden. Und das ist bei diesem
    > Passwort eben entsprechend einfach, weil der Hash in einer sehr bekannten
    > Datenbank existiert.

    Denkfehler, s.o.
    >
    > Wo ist das also egal?!
    Naja, es IST egal.

  8. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Xiut 01.08.15 - 00:46

    shertz schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Iruwen schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Ist an der Stelle ziemlich egal. Ohne Brute Force kommt keiner auf das
    > > PW,
    > > > und das sollte entsprechend abgefangen werden. Und wer den Hash hat
    > hat
    > > eh
    > > > schon die Benutzerdatenbank und den Rest der Site und muss sich die
    > Mühe
    > > > nicht mehr machen.
    > >
    > > Das ist alles andere als egal... Eine SQL-Injection-Schwachstelle
    > bedeutet
    > > nicht direkt, dass man direkt kompletten Zugriff auf den Server hat.
    > Wenn du mit SQL-Injections den Hash auslesen kannst, kannst du ihn auf dem
    > selben Weg ändern und schon gehört dir der Account.
    >
    > > Hat
    > > man jedoch den Hash von dem Passwort eines Admin-Accounts für eine
    > > Software, mit der man entsprechend eigene Skripte auf den Server laden
    > und
    > > ausführen kann, kann man diesen entsprechend angreifen und sich
    > > anschließend bei dieser Software als Admin anmelden. Und das ist bei
    > diesem
    > > Passwort eben entsprechend einfach, weil der Hash in einer sehr
    > bekannten
    > > Datenbank existiert.
    >
    > Denkfehler, s.o.
    > >
    > > Wo ist das also egal?!
    > Naja, es IST egal.

    Em... Du kennst schon die Hintergründe von SQL-Injections? Oder meinst du jetzt bereits Experte zu sein, weil du grob weißt, was eine SQL-Injection ist?

    Nur weil du bestimmte Abfragen manipulieren kannst, heißt das nicht, dass du auch eine Möglichkeit hast in die Datenbank selbst Daten schreiben zu können.
    Wenn du nur entsprechend LESENDE Abfragen manipulieren kannst, kannst du da nicht einfach ein "; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD') WHERE admin = 1" hinten dran packen...
    Selbst die uralt-API von PHP, also die mysql_* Funktionen, unterstützt nicht mehrere Abfragen in einem mysql_query, was auch gut ist.
    Und ein UPDATE ist in einem Subquery nicht möglich. Zumindest nicht in MySQL (aber ich meine, im SQL-"Standard" ist das auch nicht vorgesehen), was hier als Datenbank verwendet wurde.

    Aber ich merke schon, ICH habe hier den Denkfehler... Hier sind echt Experten unterwegs... /ironie off

  9. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Quantium40 01.08.15 - 01:08

    Xiut schrieb:
    > Ernsthaft? Klar, es hat auch ein Sonderzeichen, Zahlen und so, aber nur 8
    > Zeichen für ein Passwort, welches so wichtig ist? Oh man...

    Wichtig? Das ist eine Website, die im Normalfall zwischen 0 und gar keine Besucher haben dürfte. Da wird nichts verkauft, die abgelegten Daten kann man in unter einer Minute wiederherstellen und wenn die Seite tot sein sollte, dauert das vermutlich Monate, bis das jemandem auffällt.

    siehe auch https://xkcd.com/932/

  10. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Xiut 01.08.15 - 01:21

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > > Ernsthaft? Klar, es hat auch ein Sonderzeichen, Zahlen und so, aber nur
    > 8
    > > Zeichen für ein Passwort, welches so wichtig ist? Oh man...
    >
    > Wichtig? Das ist eine Website, die im Normalfall zwischen 0 und gar keine
    > Besucher haben dürfte. Da wird nichts verkauft, die abgelegten Daten kann
    > man in unter einer Minute wiederherstellen und wenn die Seite tot sein
    > sollte, dauert das vermutlich Monate, bis das jemandem auffällt.
    >
    > siehe auch xkcd.com

    1. Es ist auch dann schlimm, wenn man volle Kontrolle über diese Webseite bekommt und eigene Skripte hochladen kann, weil z.B. Abgeordnete dann bei der Domain denken könnten, dass es wirklich ein offizielles PDF gibt, welches sie da runterladen sollen und aufgrund der bekannten Domain, die eben entsprechenden Behörden gehört, schneller dem ganzen trauen und eher bedenkenlos irgendwas infiziertes öffnen/aufrufen, als bei einer Domain wie sga9.ru...
    Das ist alles andere als zu unterschätzen und so eine Domain ist für viele Betrüger goldwert, um mit social engineering noch deutlich größeren Erfolg haben zu können...

    2. Wer sagt, dass auf dem Server nur diese Webseite vorhanden ist und nicht noch mehr, auf das man ohne weiteres eben nicht von außen zugreifen kann, jedoch über ein selbst hochgeladenes Skript?
    An meiner alten Schule habe ich mit einem Kumpel den von Lehrern selbst programmierten Vertretungsplan gehackt und konnten über diesen Server, auf dem dieser und die Webseite der Schule liefe, dann per entsprechende Skripte, die wir geschrieben haben, auf Server zugreifen, die nicht am Internet direkt hingen bzw. auf die man nicht direkt zugreifen konnte, sondern nur über eben diesen Webserver, der als einziges öffentlich erreichbar war, aber sich eben im selben Netzwerk befand und der entsprechend auf diese Server zugreifen konnte.

  11. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: TheBigLou13 02.08.15 - 04:57

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Wer sagt überhaupt, dass das das ursprüngliche Kennwort ist? Welcher Hash
    > Algorithmus wurde verwendet? Kann ja auch eine Kollision sein und das gb am
    > Anfang ist Zufall.

    Naund? Was macht denn die Website wenn sie deinen Login abfragt? Sie generiert einen Hash aus deinem Eingegebenen und gleicht das mit dem Hash in der Tabelle ab - gleicher Hash = Tür offen
    Wo ist das Problem?

  12. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: NeoTiger 02.08.15 - 10:36

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > In dem Dump befindet sich ein Hash von einem der Admin-Passwörter, in einer
    > Backup-Tabelle. Einmal kurz durch entsprechende Datenbanken gejagt, bekommt
    > man als Ergebnis gb28$32a

    Wenn du mit "entsprechender Datenbank" eine Rainbow Table meinst, so bringt dir das Ergebnis recht wenig, wenn die Hashes noch zusätzlich mit Salts abgesichert sind - worauf der Artikel jetzt leider nicht eingeht, was aber zumindestens bei aktuellen Web-Frameworks Stand der Technik ist.

  13. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: NeoTiger 02.08.15 - 10:45

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Wer sagt überhaupt, dass das das ursprüngliche Kennwort ist? Welcher Hash
    > Algorithmus wurde verwendet? Kann ja auch eine Kollision sein und das gb am
    > Anfang ist Zufall.

    Die Wahrscheinlichkeit, dass ein 64-bittiger Datensatz nur eine zufällige Kollision auf einen 256-bittigen Hash ist, ist so infinitessimal gering, dass das schon eine echte Sensation für sich wäre.

  14. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Ninos 03.08.15 - 11:50

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Wenn du nur entsprechend LESENDE Abfragen manipulieren kannst, kannst du da
    > nicht einfach ein "; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD')
    > WHERE admin = 1" hinten dran packen...
    > Selbst die uralt-API von PHP, also die mysql_* Funktionen, unterstützt
    > nicht mehrere Abfragen in einem mysql_query, was auch gut ist.
    > Und ein UPDATE ist in einem Subquery nicht möglich. Zumindest nicht in
    > MySQL (aber ich meine, im SQL-"Standard" ist das auch nicht vorgesehen),
    > was hier als Datenbank verwendet wurde.
    >

    SELECT * FROM bla WHERE id = $id
    ->
    SELECT * FROM bla WHERE id = 1; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD') WHERE admin = 1

    Input wäre:
    1; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD') WHERE admin = 1

    Hast was Neues gelernt ;)

    PS: Sofern nach der id noch etwas folgt, könnte man so auch rein theoretisch die Query absplitten,
    Beispiel:
    SELECT * FROM bla WHERE id = $id LIMIT 0,1
    ->
    SELECT * FROM bla WHERE id = 1; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD') WHERE admin = 1; SELECT * FROM bla WHERE id=1 LIMIT 0,1

    Input wäre in dem Fall:
    1; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD') WHERE admin = 1; SELECT * FROM bla WHERE id=1

  15. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Quantium40 03.08.15 - 12:50

    Ninos schrieb:
    > SELECT * FROM bla WHERE id = $id
    > SELECT * FROM bla WHERE id = 1; UPDATE XY SET password = MD5('MEIN NEUES
    > PASSWORD') WHERE admin = 1
    > Input wäre:
    > 1; UPDATE XY SET password = MD5('MEIN NEUES PASSWORD') WHERE admin = 1

    In PHP wird das nichts mit der Eingabe.
    PHPs diverse MySQL-Zugriffsvarianten (mysql_*, mysqli, pdo) akzeptieren keine Semikolon-separierten Statements.
    Alles was da per SQL-Injection drin ist, sind lesende Subselects, lesende Joins oder das Aushebeln/Modifizieren von Abfragebedingungen (z.B. durch 1' OR 1 ## ).

  16. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: Korny 03.08.15 - 13:23

    Naja, es sieht aber halt nicht danach aus. Das ist die Sache.

  17. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: shertz 03.08.15 - 13:30

    http://php.net/manual/en/mysqli.multi-query.php

  18. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: ibsi 03.08.15 - 14:09

    Und wieso sollte man das für eine normale Abfrage benutzen?

    Genau, tut (hoffentlich!) niemand. Also wird nur das normale query genutzt, wo das nicht möglich ist

  19. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: shertz 03.08.15 - 14:12

    Hoffentlich vergisst auch niemand seine Statemens zu escapen... Inkompetente Menschen tun inkompente Dinge.

  20. Re: Ernsthaft? gb28$32a als Passwort?

    Autor: quineloe 03.08.15 - 14:14

    Jede Wette, dass dieses Passwort irgendwo auf einem Zettel rumliegt, weil sich sowas keine Sau merken kann. Also eine Sicherheitslücke, die man mit einem anständigen Passwort nicht hat.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Radeberger Gruppe KG, Frankfurt am Main
  3. DECATHLON Deutschland SE & Co. KG, Plochingen
  4. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. 860 Evo 500 GB SSD für 74,00€, Portable T5 500 GB SSD 86,00€, Evo Select microSDXC 128...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

Galaxy-S20-Serie im Hands-on: Samsung will im Kameravergleich an die Spitze
Galaxy-S20-Serie im Hands-on
Samsung will im Kameravergleich an die Spitze

Mit der neuen Galaxy-S20-Serie verbaut Samsung erstmals seine eigenen Isocell-Kamerasensoren mit hoher Auflösung, auch im Zoombereich eifert der Hersteller der chinesischen Konkurrenz nach. Wer die beste Kamera will, muss allerdings zum sehr großen und vor allem wohl teuren Ultra-Modell greifen.
Ein Hands on von Tobias Költzsch, Peter Steinlechner und Martin Wolf

  1. Galaxy Z Flip Samsung stellt faltbares Smartphone im Folder-Design vor
  2. Micro-LED-Bildschirm Samsung erweitert The Wall auf 583 Zoll
  3. Nach 10 kommt 20 Erste Details zum Nachfolger des Galaxy S10

Nasa: Boeing umging Sicherheitsprozeduren bei Starliner
Nasa
Boeing umging Sicherheitsprozeduren bei Starliner

Vergessene Tabelleneinträge, fehlende Zeitabfragen und störende Mobilfunksignale sollen ursächlich für die Probleme beim Testflug des Starliner-Raumschiffs gewesen sein. Das seien aber nur Symptome des Zusammenbruchs der Sicherheitsprozeduren in der Softwareentwicklung von Boeing. Parallelen zur Boeing 737 MAX werden deutlich.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Boeings Starliner hatte noch einen schweren Softwarefehler
  2. Boeing 777x Jungfernflug für das größte zweistrahlige Verkehrsflugzeug
  3. Boeing 2019 wurden mehr Flugzeuge storniert als bestellt

  1. Subdomain-Takeover: Hunderte Microsoft-Subdomains gekapert
    Subdomain-Takeover
    Hunderte Microsoft-Subdomains gekapert

    Ein Sicherheitsforscher konnte in den vergangenen Jahren Hunderte Microsoft-Subdomains kapern, doch trotz Meldung kümmerte sich Microsoft nur um wenige. Doch nicht nur Sicherheitsforscher, auch eine Glücksspielseite übernahm offizielle Microsoft.com-Subdomains.

  2. Defender ATP: Microsoft bringt Virenschutz für Linux und Smartphones
    Defender ATP
    Microsoft bringt Virenschutz für Linux und Smartphones

    Microsoft Defender ATP gibt es bereits für Windows 10 und MacOS. Anscheinend möchte Microsoft aber noch weitere Betriebssysteme bedienen - darunter Linux, Android und iOS. Entsprechende Previewversionen sollen kommen.

  3. Carsharing: Mit Share Now in der Tiefgarage gefangen
    Carsharing
    Mit Share Now in der Tiefgarage gefangen

    Bei Carsharing-Anbietern wie Share Now ist es wichtig, dass die Autos vernetzt sind und jederzeit geortet werden können. Doch das kann in Funklöchern zu unerwarteten Problemen führen.


  1. 19:04

  2. 18:13

  3. 17:29

  4. 16:49

  5. 15:25

  6. 15:07

  7. 14:28

  8. 14:13