(solucionado) ¿Cual es el mínimo de caracteres para registrar un nombre de user?

Eleкtro · 21 Enero 2012, 17:59 PM

Hola, Quizás esta pregunta esté más ubicada en "dudas generales", si es así lo siento, muevanlo donde crean conveniente...

¿Cual es el mínimo de caracteres para registrar un nombre de usuario y la contraseña?
¿Y el máximo?
¿Y los caracteres permitidos?

Simple curiosidad, Necesito esta información para crear diccionarios "User:Pass" y creo que nadie puede darme una respuesta mejor que el encargado de administrar esas cosas en el foro xDDD

Muchas gracias

#!drvy · 21 Enero 2012, 18:31 PM

Hola,

No sabría decirte si en este foro (ademas de ser la versión 1.x) esta tocado, pero normalmente en un foro SMF 2.x, la tabla de usuarios esta así:

member_name varchar(80) = Osease, máximo 80 caracteres.
passwd varchar(64) = Eso es una encriptacion sha1.

La contraseña por defecto debe ser de mínimo 4 caracteres. He hecho pruebas, y puede llegar a ser de mas de 100 caracteres.

Ademas, al menos en la versión 2.x, el admin puede poner un limite de intentos para entrar.

EDIT: El mínimo de caracteres para registrar un usuario en un Foro SMF 2.x no tocado es de 1.

Saludos

Eleкtro · 21 Enero 2012, 18:51 PM

Cita de: drvy | BSM en 21 Enero 2012, 18:31 PM
Hola,

member_name varchar(80) = Osease, máximo 80 caracteres.
passwd varchar(64) = Eso es una encriptacion sha1.

La contraseña por defecto debe ser de mínimo 4 caracteres. He hecho pruebas, y puede llegar a ser de mas de 100 caracteres.

Saludos

me has dado información muy útil, muxigimas gracias

Joder pues si tengo que hacer un wordlist de 100 caracteres la llevo clara xDDDDD

saludos

Eleкtro · 24 Enero 2012, 12:41 PM

Hola de nuevo

Me surge otra pregunta...

Cuando introduces la contraseña en el campo de contraseña, osea, cuando vas a loguearte en una página o foro... ¿En la mayoría de los casos es sensible a las mayusculas y minusculas?

lo siento si es una pregunta tonta xD

jdc · 24 Enero 2012, 14:20 PM

Si y si estas pensando en fuerza bruta debes pensar en que tienes un número limitado de intentos y además un tiempo definido entre un intento y otro

Eleкtro · 24 Enero 2012, 15:19 PM

Cita de: jdc en 24 Enero 2012, 14:20 PM
Si y si estas pensando en fuerza bruta debes pensar en que tienes un número limitado de intentos y además un tiempo definido entre un intento y otro

ok, gracias

Si es por brute force pero mi idea es hacer un generador de combolist, no un craqueador que vaya probando cada código y que mida los intentos y el tiempo xD

tema resuelto gracias d nuevo

dimitrix · 25 Enero 2012, 01:30 AM

Recordar que al ser SHA1 existe la colisión de HASH.

[u]nsigned · 28 Enero 2012, 17:48 PM

Ademas el foro usa un SALT, no manda el password simplemente cifrado en SHA1. Creo que es SHA1(user . password . SALT)

dimitrix · 28 Enero 2012, 18:15 PM

Cita de: El As del Club Paris en 28 Enero 2012, 17:48 PM
Ademas el foro usa un SALT, no manda el password simplemente cifrado en SHA1. Creo que es SHA1(user . password . SALT)

El As del Club Paris que yo sepa es:
SHA1(pass . SALT);

El usuario creo que no lo usaban, más que nada por que se puede cambiar el nombre de usuario sin cambiar la contraseña 'creo'.

#!drvy · 29 Enero 2012, 03:08 AM

Hola, smf usa esto

Código (php) [Seleccionar]

sha1(strtolower($regOptions['username']) . $regOptions['password']) . $regOptions['register_vars']['password_salt']));

Se puede cambiar el real_name pero el username se queda en la base de datos para siempre y no es cambiable (a no ser que el administrador lo cambie).

Por eso yo tengo puesto drvy | BSM, pero en realidad mi perfil es badstupidmonkey.

Saludos