¡Que levanten la mano los que no hayan usado nunca una contraseña!
¿ninguno?¡ahora solo los que tengan alguna contraseña que no sea suya!¿Qué pasa?¿No tenemos suficiente con el Gran Hermano de Mercedes Milá que lo queremos espiar todo?
Parece que no, pues me encontré con una de esas webs que guardan en su base de datos infinidad de hashes, nada más ni nada menos que 25 millones de contraseñas junto a su equivalente hash cifrado con los algoritmos SHA-1, md5, incluso la paranoica del administrador más Geek de la oficina, que se encarga de cifrar el md5 resultante pasándole nuevamente otro md5 por encima → md5(md5())
La página en cuestión contiene el número de contraseñas más grande del mundo y es que si no encuentras la tuya en sus listas, seguro escribes en arameo.
Pero sin duda lo que más gracioso me resulta, es en la cuarta línea del encabezado de la página, aparece textualmente "Use Ctrl+F to search the hash in page".
¡Ok! ¡de p*t* madre!
Osea que para buscar la contraseña que quiera encontrar ¿tengo que pasar exactamente por 25.000 páginas presionando Ctrl+F y la tecla Enter?
Lo mismo cuando termine dentro de un par de años, el banco al que quería dar el palo del que me saqué de la manga el admin con SQLi ¡a cerrado por la crisis!
Pues nada, se me ocurrió cerrar antes de que ocurriese eso la página debido al estrés mental ocasionado y buscar en Google.
Y mi propio SHA-1, por si no confiáis en que sea el 4n0nym0us original y no esos copiones de Wikileaks.
Si somos un poco manitas, seguro podríamos programar una aplicación que a base de Split, lográsemos exportar todas las password de la página a un archivo de texto para utilizarlo como un superdiccionario de fuerza bruta. Seguramente el archivo pesaría una tonelada y lo más posible es que ni el software que presenté anteriormente lo aguante sin tildarse, pero bueno es una idea malévola de las mías.
Saludos 4n4les!
Ja! una de mis múltiples contraseñas no aparece en la página!!!!
ResponderEliminargracias por la info!no conocia la pagina
ResponderEliminarEstas en la rooted? Winsock
ResponderEliminarWinsock@
ResponderEliminarJusto tengo el intensivo del carnet de conducir, de 9 de la mañana a 8 de la tarde, sábado y domingo... ójala pudiera ir!
Eres un mierda, pensé que estarías por aquí. Bueno, ya me recompensas, yo por lo pronto echare por aquí el día. Winsock
ResponderEliminarWinsock@
ResponderEliminarEspero que lo grabéis los afortunados. La recompensa sera invitarte a una buena jarra en un Irlandés de Sol que me encanta. ;)
jajaja!! ingenuos!!!
ResponderEliminarQue pasa comenten respecto al tema , no ridiculeses
ResponderEliminarBueno, la pagina no existe :S
ResponderEliminarQue se habra hecho paso a otra ip/host?
Amigo, muy buen blog, pero quisiera que explicaras como explotar los codigos XSS y CSRF, especificamente este: /?1.5.9-x (Según está obsoleto)
ResponderEliminarBueno, te reto a poner esto, de lo contrario, sabré de lo que estás hecho ;)