Hash Cracking di WordPress

Come ben sappiamo tutte le password di un qualsiasi CMS (Content Management System), ad esempio WordPress, non vengono salvate in chiaro all’interno del database, ma vengono hashate, cioè criptate in un determinato algoritmo, che, nella maggior parte dei casi è l’MD5. Dati gli innumerevoli casi di collisioni (due parole che ottengono lo stesso hash) è stato implementato un algoritmo di salt, ed è un codice pseudocasuale anteposto alla parola da hashare, in modo da rendere vano l’attacco di tipo rainbow tables. Questa nuova tecnica si chiama PHpass (Portable PHP hash framework). Un esempio di password con salting lo potete trovare su questo sito The WordPress Password Hacker.

Come potete notare, inserendo la stessa parola otterrete sempre hash diversi.

Esiste tuttavia un modo per crashare tali hash grazie ad uno script in python che troviamo nell’archivio di packetstormsecurity, inserendo l’opzione -w per l’inserimento della wordlist da utilizzare.

Lo script lo trovate qui, su PacketStormSecurity: https://packetstormsecurity.com/files/download/74448/phpassbrute.py.txt

Vi lascio anche un mirror locale nel caso in cui il file venga eliminato: http://www.freenixsecurity.net/files/cracking/phpassbrute.py.txt.7z


Author: davenull

Ho 28 anni (ad aprile 29) e vengo da Taranto (Puglia, Italia) e sono:

Sistemista/Programmatore Unix (Debian, OpenMediaVault, OpenWrt, FreeBSD, NetBSD, Lineage OS);

Prototipatore con Raspberry Pi.

Esperto di Sicurezza Informatica, scrivo exploit da poco piì di dieci anni, circa quindici;

Esperto di microarchitetture embedded, specialmente bcm63, ar7 ed armhf (6 e 7);

Fondamentalista del Free Software (Free as in Freedom)

Relatore ed organizzatore di svariati Linux Day a Taranto e a Francavilla Fontana (Brindisi);

Sistemista di svariate sale server che ora non vi sto ad elencare;

Co-Founder di JonixLUG: https://www.jonixlug.altervista.org

Founder di FreeNIX Security Labs: https://www.freenixsecurity.net

Collaboratore esterno dell’Associazione Fare Zero Makers: http://www.farezero.org