Pregunta: Cómo recuperar cuenta o perfil tras filtraciones.

Iniciado por leak, 15 Julio 2021, 11:50 AM

0 Miembros y 1 Visitante están viendo este tema.

leak

-

el-brujo

SHA1 es relativamente fácil de crackear, no es considerado un cifrado seguro hoy en día. Se ha hablado varias veces en el foro.

¿Sabes si hay salt? Muy probablemente.

¿De dónde has obtenido el hash? Prefiero no saberlo.....

Citarlas opciones en línea no son validas

Las opciones en línea son muy válidas, hay varias páginas web con servicio que ofrecen crackear el hash de la contraseña de forma mucho más rápida.

Citar¿Cómo poder descifrar el hash y poder recuperar la cuenta?

¿Recuperar la cuenta? Si la cuenta es tuya, debes recordar la contraseña o utilizar el correo electrónico para generar una nueva contraseña.

Puedes utilizar hashcat, es multiplataforma y es una herramienta muy, muy conocida.

leak

#2
-

el-brujo

CitarSobre si hay salt, no lo creemos.

No lo descartes.

Citar"hash not found in our database".

si la contraseña era bastante común debería aparecerte, por eso me da que tenía un salt y no lo sabes xD

¿en qué servicios has probado?

https://crackstation.net/
https://md5db.net/decrypt
https://hashkiller.co.uk/md5-decrypter.aspx
https://hashes.com/en/decrypt/hash
https://passwordrecovery.io/sha1/
https://www.onlinehashcrack.com/
https://gpuhash.me/

hashchat no es instala en windows...... ni tiene modo gráfico, entorno gráfico (GUI) pero como veo que no te apañas mucho seguro mejor que uses una:

Tienes alguna opción de usar hashcat con GUI:

https://github.com/s77rt/hashcat.launcher/releases
https://sourceforge.net/projects/hashcat-gui-toolkit/



Crackear un hash SHA1 es muy muy fácil hoy en día. Tienes cientos de manuales.

leak

#4
-

Serapis

Hay algunas cosas que chirrían un poco, aunque quizás sea que no te hayas explicado bien sea por las prisas o por otra razón...

Cita de: coimon en 15 Julio 2021, 11:50 AM

"Tras diversas filtraciones hay cuentas que se han visto afectadas" ... "se descubrieran cuentas y altas a servicios que se pensaban eliminados" ... "cuentas antiguas que ya no se usaban, la contraseña no se recuerda o los equipos dónde se registraron ya no funcionan" ...
Si son cuentas antiguas, digo yo.... ¿cómo es posible saber que se han visto afectadas...? Es difícil que alguien recuerde la cuenta que tuvo hace x años atrás que ya no usa.

En cualquier caso, cuando una cuenta se quiere cerrar o simplemente abandonar, es más que recomendable antes, eliminar todo el contenido que tenga, por ejemplo caso de un correo electrónico, eliminar todos los mensajes, y cambiar datos personales en la cuenta, para que apunten a algo 'inventado', así si el prestatario de los servicios, a pesar de todo decide conservar (aunque inaccesible) dicha cuenta, cualquier intento fructífero de acceso, revelará que no contiene nada y queda la tranquilidad de que los datos de la cuenta, no revelan nada más el propio alias d ela cuenta ('usuario@proveedor')...

Para recuperar una cuenta, nada mejor que ver de quién era esa cuenta (supuesta una empresa donde varios empleados tiene cada cual su cuenta, etc...).
Cada uno sabe la 'forma precisa' en que crea sus contraseñas y esa es la mejor en poder obtener una contraseña, sabiendo como tal usuario las crea... hay quien juega con los nombres de sus animales, hijos, amigos, jugadores de fútbol, etc... hay quien acostumbra a poner x números a contraseñas simples (que suelen ser la misma y se diferencian solamente en esos 2-4 dígitos).

Por otro lado, que haya habido una filtración y aún así una cuenta eliminada conste ahí, no quiere decir que necesariamente esa cuenta esté accesible a la red... luego aunque alguien poseyera las credenciales de acceso, les pasaría lo mismo que a ti: "hash not found in our database", aunque como digo en el fondo exista, no es accesible, porque es una cuenta fuera de servicio, retirada aunque no hubiera sido borrada.

Me temo que es más que una realidad a grito pelado (casi cualquier administrador (con quien tengas confianza) de una BD de una gran empresa te lo podrá confirmar... yo mismo lo he hecho, porque además esa era una especificación del puesto en la empresa)), pero que nadie (abiertamente) reconoce, que cuando se elimina una cuenta, un usuario de ciertas bases de datos, en realidad esa cuenta, ese usuario simplemente se mueve a otra base de datos inaccesible al exterior... desde fuera ha sido borrado, porque no está accesible, pero 'descansa' en alguna parte, quien sabe por cuanto tiempo.

el-brujo

Si es una filtración conocida suele aparecer en:

https://haveibeenpwned.com/

Puedes introducir tu e-mail y te dirá si el e-mail está afectado en alguna filtración - hackeo de algún servicio y te indica el año de la intrusión y más detalles. Es un servicio de total confianza. No compartirá tu e-mail.

Coimon coincido con serapis, faltan datos y más información. Entiendo que no quieras decir el nombre de la empresa afectada, pero al final faltan datos para poder ayudarte correctamente.

¿Cómo conseguiste el hash? ¿Tienes todos los hash o sólo el tuyo? ¿Cuál es la estructura de la base de datos (los campos)?

Supongo que lo descargaste de RaidForums o sitio similar, ya que otros servicios legales como ';--have i been pwned? no publican nunca el hash.

CitarLo del salt (carácter añadidos para tener más seguridad). Por lo que vemos en el hash nos parece que no tiene.

El hash seguirá teniendo 40 caracteres de longitud, aunque se haya aplicado el salt.

Realmente tu crees que la contraseña es:

sha1($pass)

¿y si en realidad es otro formato?:

sha1($pass.$salt)
o
sha1($salt.$pass)
o
sha1($salt.$pass.$salt)


CitarEn relación a las opciones en línea, algunas las probamos otras no y al hacerno nos devuelve que no se encuentra.

Por eso sospecho que tiene un salt y lo desconoces y así nunca lo conseguirás.

CitarSobre el programa hashcat, en win10 no nos funciona o no sabemos usarlo a pesar de las instrucciones de la imagen. En el programa no se ve la ventana completa y algunas de las opciones no permite acceder.

Hashcat sobre Windows 10 funciona correctamente. No creo que sea tan difícil buscar en Google "manual hashcat Windows 10"

También podría ser que aun descubriendo la contraseña real del hash sigas sin poder acceder al servicio. Quizás en la base de datos guarden el usuario, pero esté inactivo o sin acceso a la plataforma. Es común en algunas plataformas guardar el usuario inactivo.

Por ejemplo en Moodle los alumnos se pueden guardar los alumnos como "Inactivos" aka "suspended" con valor 0-1 o "eliminados" campo "deleted",no aparecen en los listados, pero siguen estando el la base de datos .....

Los inactivos en Moodle son cuentas suspendidas, no pueden acceder al campus, pero aparecen en el listado en gris claro.
Los alumnos "deleted" son cuentas "eliminadas", no aparece en ningún listado, pero siguen estando en la  base de datos

leak

#7
-

leak

#8
-