Я получил полный доступ к SQL database форума и нашел там список пользователей. Но пароли там зашифрованы например логин: krik пароль: 93e1838abeb348edee49bbeed46c54e4
Возможно ли как-то это расшифровать?

скуль сам по себе ничего не шифрует =) это к слову..

а это хэш md5 алгоритма.. он не расшифровывается, но можно перебором..

проги: JTR, md5inside

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Стольник @ мая 04 2004,11:12)</td></tr><tr><td id="QUOTE">93e1838abeb348edee49bbeed46c54e4
Возможно ли как-то это расшифровать?[/QUOTE]<span id='postcolor'>
Да, D4rk_Ghost прав. Это не сам пароль, а его хеш. Непосредственно расшифорвать его невозможно. Но если перебирать брутусом, затем преобразовавать пароли в хеши, и сравнивая с данным, то можно получить исходный пароль.
Кстати исходный пароль бывает и не нужен. Если система идентифицирует юзеров по хешу, а не по исходному паролю.

Не исключено, и то, что это номер сессии (id,sid). Это легко проверить. Если это номер сессии, то эти номера должны меняться время от времени. Если же это пароль, то нет.

ну можно в куки засунуть хэш.. тода в них же надо сменить id на id юзера, чей это хэш.

Извените, но вроде в куках тоже своя кодировка. А если нет, то взляните на мои куки с этого форума:
phpbb2mysql_data
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%2 2%22%3Bs%3A6%3A%22userid%22%3Bs%3A2%3A%2225%22%3B% 7D
forum.svi.int/
1024
2649803904
29709051
351078992
29341723
*

Что там можно заменить?
&quot;Но если перебирать брутусом, затем преобразовавать пароли в хеши&quot;
Поподробнее что такое Брутус и как преобразовать пароли в хеши и немножко что такое хеши(по смыслу ясно, но всёже).

Стольник,
мля.. кто форум ломает - ты или я?
это не шифровка куки, а юникод.. заюзай прогу, для перевода из юникода в аски - в чем проблема-то?
когда переведешь вместо того хэша подставишь свой и после поля userid цифирьку заменишь..

a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A0%3A%2 2%22%3Bs%3A6%3A%22userid%22%3Bs%3A2%3A%2225%22%3B% 7D
это
a:2:{s:11:&quot;autologinid&quot;;s:0:&quot;&quot;;s:6:&quot;userid&quot;;s:2:&quot;2 5&quot;;}

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Стольник @ мая 07 2004,20:24)</td></tr><tr><td id="QUOTE">Извените, но вроде в куках тоже своя кодировка. А если нет, то взляните на мои куки с этого форума:[/QUOTE]<span id='postcolor'>
Покажи HTTP запрос отсылаемый на сервер.

Не всегда нужно подбирать пароль к мд5 хешу ...
Сначала следует зашифровать полученные логин и зашифрованный md5 пароль с помощью алгоритма base64.

Сделать это можно например здесь: http://www.isecurelabs.com/base64.php Шифруем этим алгоритмом следующую строку:

login:crypt_passwd:
где
login=логин
crypt_passwd=зашифрованный пароль.

Получаем хеш.
Например для admin:21232f297a57a5a743894a0e4a801fc3: хеш будет следующим:

YWRtaW46MjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYz M6

Теперь можно получить доступ к панели администрирования используя следующий урл:

www.site.com/admin.php?admin=ваш_хэш

Это если ты ломаешь форум на дырявом PHP-nuke

Че Гевара,
гыгыгы.. дык нам-то это сАсемА не нужнА.. нафига пишешь?

Он же не сказал какой именно форум поломал ...

Как , например, я хотел исполнить с одним сайтом
http://arena.achim.ru/admin.p....MDBmZWY (http://arena.achim.ru/admin.php?admin=NjdlZDA2OTI2ZDljMTNiMmE2NTYwNTY2NW ZhMDBmZWY)

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Стольник @ мая 04 2004,11:12)</td></tr><tr><td id="QUOTE">Я получил полный доступ к SQL database форума и нашел там список пользователей. Но пароли там зашифрованы например логин: krik пароль: 93e1838abeb348edee49bbeed46c54e4
Возможно ли как-то это расшифровать?[/QUOTE]<span id='postcolor'>
Все намного проще... хотя смотря какой движок форума.

Если можно изменять записи в БД:
Регишься на форуме, заходишь в БД и меняешь группу нового юзера на форуме (себя) на админовскую.

ну блин.. для этого скуль наверное надо знать.. а вот знают его не все..

Самое главное, это нужно знать название таблиц. А потом производить с ними эксперименты ...

ну блин.. для этого скуль наверное надо знать.. а вот знают его не все..
Тогда расскажи мне: как можно ничего не зная что-то делать...? http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif


Самое главное, это нужно знать название таблиц. А потом производить с ними эксперименты ...

Почти на каждом форуме есть копирайты. Идешь, ставишь себе на localhost этот форум &nbsp;и экспереминтируешь...
Название таблицы может содержать members, users etc.

А вообще Стольник мог бы потрудиться сказать какой движок форума. Намного легче было что-то советовать...

zgia.org.ua,
можно..

D4rk_Ghost: слушай, а как ты вообще получил доступ к базам, если не знаешь скулЯ, кодировок и т.д.

8r07her,
пфф.. запрос-то составить я могу.. тока это не будет знанием скуля, согласись..
я тогда и пхп знаю.. я могу его реализовать в html, но это тоже не знание.. это умение пользоваться.. знание, это кода ты достаточно профессионально знаешь что-либо..

на mysql.com есть полное руководство по MySQL на русском языке
на php.net.ua сливаем русское руководство по php4

и тренируемся на http://www.vkrylov.ru/i.php?page=qwerty http://forum.antichat.ru/iB_html/non-cgi/emoticons/cool.gif

пфф..
руководства есть где угодно..
например: http://www.google.com/search?....e=utf-8 (http://www.google.com/search?q=%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B 4%D1%81%D1%82%D0%B2%D0%BE+MySQL&sourceid=opera&num=0&ie=utf-8&oe=utf-8)

мне кажется, что траубла-то совсем не в этом..