Usando buscadores como calculadoras de hashes

David Galisteo Cantero

Seguro que alguna vez has tenido en tus manos el hash de una contraseña y te has ‘desanimado’ al pensar que tienes que descifrarla por fuerza bruta, quizá no conozcas esta solución, ¡échale un ojo!.

La verdad es que este ‘truco’ lleva bastante tiempo ‘lampando’ por ahí, pero quizás no nos hemos percatado, o simplemente, no se nos ha ocurrido pensarlo.

Como sabrás, hoy en día los buscadores indexan la mayor parte del contenido que hay en la red, podemos hacernos la pregunta: ¿Y si los buscadores indexan páginas que calculan el hash de una palabra?

Por ejemplo, hay páginas, como tellspell.com, que por cada palabra calculan su hash md5 y sha1, por lo que haciendo una búsqueda podríamos encontrarlos, este sitio no está del todo mal, aunque no me agradó demasiado su funcionalidad.

El proyecto que realmente me sorprendió fue Google Hash http://sandbox.machine.org.uk/GoogleHash/

Su fundamento es sencillo, calcula dinamicamente páginas en cuyo título hay una palabra con su correspondiente hash md5, en el caso de que vayan desapareciendo páginas conforme se van creando nuevas, siempre nos queda la caché de los buscadores.

Bien, nada más entrar a la página, nos encontramos con algunas cadenas, en las que si clickamos nos lleva a su hash, podemos ver una captura:

google hash md5

Pero no se queda ahí, también nos da una cadena de texto con la que podremos buscar, tanto en Google como en Bing, resultados para esa página con más facilidad, ¿Qué implica eso? Pues que si vamos a Google y tecleamos:

site:sandbox.machine.org.uk md5 root

Nos lleva a la página de Google Hash que contiene el hash de ‘root’.

Como veis es una herramienta bastante potente, pero, ¿qué implicaciones tiene esto? Imaginad que encontramos algún sistema que cifra sus contraseñas con md5, por ejemplo, algún motor de bases de datos, si conseguimos hacernos con ese hash, y la contraseña no es especialmente ‘rara’, podríamos conseguir descifrarla con una simple búsqueda en 5 segundos, de ahí que no sea conveniente utilizar este tipo de cifrado.

Espero que os haya sido de ayuda.

HackSaludos!

Publicado el 12-11-2013

Compartelo!

Deja un comentario

Comentanos

*
Ir arriba de la pagina