Wie verschlüsseltes MySQL Passwort entschlüsseln?
guten morgen.
ich habe mir ein script gekauft und benötige hilfe wegen dem passwort.
das passwort ist verschlüsselt und ist in der my sql datenbank mit 074c03135c89084cf7214a90ed0d08d4 hinterlegt.
nun habe ich leider nicht das passwort vom verkäufer mitgeteilt bekommen und erhalte auf meine nachfrage keine antwort.
ein einloggen istm ir somit leider nicht möglich.
kann mir einer von euch weiterhelfen und sagen wie ich das passwort entschlüsseln kann?
vielen dank für eure hilfe.
6 Antworten
Das geht nicht da das Passwort nicht verschlüsselt ist, sondern es sich um einen Hash-Wert handelt. Damit ist das quasi nur eine Prüfsumme die über das Passwort erstellt worden ist und es kann nicht zurück entschlüsselt werden. Die Einzige Möglichkeit die du hast ist das Passwort zu Bruteforcen.
Nein es ist nicht verschlüsselt. Was meinst du wohl warum ein MD5 immer 128bit lang sind. Du glaubst doch wohl nicht das du 500MB und 2KB alle verschlüsseln kannst in 128bit, ansonsten hätten wir ja nie wieder Speicherprobleme. Auch "crackstation.net" entschlüsselt nicht sondern macht genau das was ich gesagt habe. Cracken per Brute Force und mappen.
Es ergibt sich aus der Fragestellung. Falls der Fragesteller also recht hat hat eben jemand einen dafür völlig unpassenden Algorithmus benutzt (MD5). Und es ist entschlüsselbar, ob das jetzt Verschlüsselung oder Hashing ist, ist wieder eine andere Sache (auf die ich auch gar nicht eingegangen bin). Und crackstation macht kein bruteforce - steht doch sogar auf der Startseite mit drauf: "CrackStation uses massive pre-computed lookup tables to crack password hashes [...]"
"Crackstation's lookup tables were created by extracting every word from the Wikipedia databases and adding with every password list we could find. We also applied intelligent word mangling (brute force hybrid) to our wordlists to make them much more effective. For MD5 and SHA1 hashes, we have a 190GB, 15-billion-entry lookup table, and for other hashes, we have a 19GB 1.5-billion-entry lookup table."
Also eine Dictonary-Attack und eine Kombination inkl. Bruteforcing wie es auf der Seite steht. Auch DictonaryAttacks sind kein entschlüsseln, auch diese funktionieren nach dem BruteForce Prinzip "Ausprobieren".
Auch beim Hash-Wert handelt es sich um eine Verschlüsselung, allerdings um eine nicht umkehrbare Verschlüsselung. Für eine zumindest qualitativ gute Verschlüsselung von Passwörtern verwendet man Algorithmen, die nur in eine Richtung möglich sind. Das unverschlüsselte Original ist nur dem Besitzer bekannt. Für das Erkennen der Berechtigung ist das unverschlüsselte Passwort nicht erforderlich. Deshalb kann bei Verlust auch ein Administrator nur ein neues Passwort vergeben. Das alte bleibt unwiederbringlich verloren, wenn man von der Möglichkeit des Probierens absieht.
Überhaupt garnicht, es kann nur sehr lange dauern da jede mögliche Zeichenkombination ausprobiert wird. Vielleicht kannst du auch eine Dictonaryattack machen? Das ist wie Bruteforcing, nur das nicht alle Zeichen durchgegangen werden die du angibst, sondern du eine Liste von möglichen Passwörtern durchgehst, wie halt ein Wörterbuch und diese überprüfst. Dafür gibt es Tools und Webseiten welche das für dich machen und ggf. auch Lösungen speichern. Wenn es sich dann bei dir um ein Passwort handelt was jemand anders auch nutzt und schon mal geknackt hat, dann wird dir das Passwort direkt angegeben. Wenn dein Hash das erste mal eingetragen wird, musst du leider warten. Das hier ist zum Beispiel eine gute Seite dazu.
Versuche als Passwort einmal "18251813" - wenn es funktionieren sollte, dann hast Du ganz nebenbei auch noch herausgefunden, daß mit MD5 gehasht und nicht gesalzen wird.
Hello there,
ich bin mir nicht ganz sicher, was du machen willst. Willst du dich in die Datenbank einloggen? also praktisch auf den MySQL-Server? Hast du physikalischen Zugriff auf den Server und seine Konfigurationsdateien? Wenn ja, kannst du das ganz einfach machen, dass du auch ohne ein Passwort reinkommst: Für jeden mySQL-Server gibt es eine my.ini-Textdatei. Da gibts einen Abschnitt, der die Servereinstellungen setzt. meistens überschrieben mit
SERVER SECTION
darauf folgt ein Abschnitt
[mysqld]
direkt darunter fügst du den Eintrag
skip-grant-tables
ein und speicherst die my.ini ab. Danach kannst du einfach root als Usernamen für den Login verwenden und kein Passwort angeben und kommst trotzdem rein. Weil MySQL dann gar nicht mehr in die Rechte-/Usertabellen reinguckt und schaut, ob dein angegebenes Passwort mit dem Passwort aus der Datenbank übereinstimmt. Anschließend kannst du in der Datenbank ein neues Passwort setzen. Vergiss nicht, danach den skip-grant-tables-Eintrag wieder zu löschen, denn der ist logischerweise ein massives Sicherheitsrisiko.
Hoffe ich konnte dir helfen - wenn ich deine Frage richtig verstanden habe.
MfG
Alex
servus
Der MySQL-Pass wird vom Server geändert !
Mir ist nicht bekannt, welcher Art Dein Geschäft ist und aus welchem Grund Dir der Zugang verwehrt wird. Der Sinn eines Passwortschutzes ist doch, dass es nicht knackbar ist. Da wird viel Gehirnschmalz investiert, um solche Systeme auszuklügeln. Solltest Du an Deiner Datenbank Administratorrechte haben, müsste es eine legale Möglichkeit geben, das Passwort zurückzusetzen und durch ein neues zu ersetzen. Das müsste in Deiner Dokumentation stehen.
So ein Unsinn. Natürlich kann es entschlüsselt werden. Es ist aber zugegeben unglaublich schwer - du musst es auf crackstation.net eingeben.