Mensajes

[Passwd]

Por lo que veo hay más claves en el apartado "Passwd" de la base de datos, todas empiezan parecido pero tienen diferentes terminaciones a partir del primer carriage return, esto es lo que tengo:

Passwd MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAECAmgBAgIAgAQA\r\nBBAOuSHdGVYhJs10qRJ65628BBKFszeoivfJTJGNe3gpF/K09yc=\r\n MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAACAmgBAgIAgAQA\r\nBBCydiBeYzA7v/hFvRdtsHClBBZNFbgj+deGw9RPyAjoPT5FGpOTQGks\r\n MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAACAmgBAgIAgAQA\r\nBBDUd0IyDaDv1D3zBdX+oU5jBBKdlKDVoBfJSKZj4T3Qfm1O+lM=\r\n MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBA2c7x6D3A2AO8MxH4BiTD7BBZ1ZuUY+0v7LFqcis/vXxzAeWjf0xF9\r\n MEwGCSsGAQQBgjdYA6A/MD0GCisGAQQBgjdYAwGgLzAtAgMCAAACAmgBAgIAgAQA\r\nBBDDNat1pmYUpdk3aj/9yb/RBArJ1Ri8gIHDjB2S\r\n MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n MFQGCSsGAQQBgjdYA6BHMEUGCisGAQQBgjdYAwGgNzA1AgMCAAACAmgBAgIAgAQA\r\nBBCHeZAHtQvm2TF8k+EJDpvGBBItcWdzUi4ElYlovGKfAkHIXXM=\r\n

Pues de ser un AES creo que me faltaría obtener una llave :/

[Login]

¡Buenas tardes!,

Estoy jugando un poco con un sandbox que ha preparado un profesor de mi universidad para trabajar temas de cifrado, inyección SQL y bueno, para pasar un buen rato. He conseguido recuperar una base de datos bastante interesante que parece albergar las claves de administrador para poder meter un webadmin, ¿qué me encuentro cuando abro el fichero? ¡Esta belleza!

Código [Seleccionar] Expandir

MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n

Es la séptima entrada de la base de datos, que viene a decir algo como esto:

Login	Passwd
practicas	MFgGCSsGAQQBgjdYA6BLMEkGCisGAQQBgjdYAwGgOzA5AgMCAAECAmgBAgIAgAQA\r\nBBDbky3vd7roPA2M+u8XXCZsBBZZyiD/V8ZAetqBRAlpGUcVy6b7pSEi\r\n

¿A alguien se le ocurre en qué formato puede estar cifrada o cómo desencriptarla?
A jugar por los \r\n diría que no es una clave de por sí, sino que forma parte de alguna otra clave que quizá esté incorporada en el .ASP que la procesa.

¡Un salido saludo!

Pongámonos en el supuesto de que hemos obtenido una base de datos con usuarios y contraseñas, almacenada en SQL y algunas de las entradas, siendo introducidas en los formularios de login de una página web funcionan y otros no.

En tal caso, tendríamos que hacer las pruebas una a una de forma manual o (y aquí mi duda) encontrar un programa que lo haga de forma automática, esto quiere decir, que envíe a (por ejemplo)  "https://secure.tuenti.com/?m=Login&func=do_login" las cadenas de caracteres "email=[PRIMERA COLUMNA]&input_password=[SEGUNDA COLUMNA]", y que a raíz de esto, dependiendo de la redirección que se genere o del error que revoque almacene en la base de datos o en algún lugar cuál es la condición de dicha entrada (activa o rota).

Gracias.