Откуда берутся базы с login:pass тогда как на практике лишь повсеместно и дофига встречаются login:hash ?

[zdestuta]

Откуда берутся базы с login:pass тогда как на практике лишь повсеместно и дофига встречаются login:hash ?
Про словари и hashcat - знаю, но это не подходит для массированного дехэша 100500 записей login:hash
Вангую, что такие базы возникают только разве что если снифер свой на сайт подцепить, не важно на фронт или бэк, главное чтоб где-то собирались входы активных юзеров.
В общем пока что для меня это загадка
Кто нибудь может знает более простой ответ?

UPD: я так вижу многие невнимательно читают, что удивляет конечно... ещё раз поясню:

• не надо мне про "сдампить скулёй" писать, не было вопроса как добываются дампы в принципе (не только SQLi, так для справки, более того - есть методы куда более быстрые надёжные и эффективные, у меня дох@$^я уже login:hash например, но вот именно login:pass попадаются так же редко и жидко примерно как редкоземельные металлы VS алюминий)
• не надо про хэшкат hash'а из login:hash в login:pass и прочие "если у тебя дох@я денег и видеокарт, то..." - это я тоже в курсе что такое
• версию со снифером я тоже написал, но этож ты его подсади ещё и дождись когда все 100500 пользаков туда все перелогинятся, ну камон ну будьте реалистами то!
• а спрашивал я про: варианты откуда берутся уже готовые login:pass (лежат всмысле готовые) и в больших количествах 100500 записей шоб сразу (раньше было понятно откуда - криворучки-разрабы про хэш не все знали, например, сейчас в БД в plaintext уже давно никто не хранит ничего, даже джампсерверы которым 100пудово иначе никак нужны "исходные креды" и те жёстко шифруют БД!)

 

[Sanitater]

Расшифровка хеша, малвари самое распространенное, мб брут еще

 

[RedTeam]

Откуда берутся базы с login:pass тогда как на практике лишь повсеместно и дофига встречаются login:hash ?
Про словари и hashcat - знаю, но это не подходит для массированного дехэша 100500 записей login:hash
Вангую, что такие базы возникают только разве что если снифер свой на сайт подцепить, не важно на фронт или бэк, главное чтоб где-то собирались входы активных юзеров.
В общем пока что для меня это загадка
Кто нибудь может знает более простой ответ?

1. Старые сайты на php со скулей где кавычку достаточно поставить и будет ошибка =)
2. Скомпрометированные сайты где изменена логика приложения (снифер про который ты говоришь)
3. Брут хэшэй если алгоритм слабый например какой нибудь md5 а словарик большой с мощностями. Люди часто один пароль ставят на несколько сайтов, либо же похожий пароль, соотвественно сбрутить не так сложно.
4. С логов (стилеры)

 

[Theriella]

Дампить это надо, самое простой SQL иньекции.
Чекрез акунтекс раскручивать. Только там соседей будет не мало. Помню много лет давали дампы на отработку , с хэшами, делал расшифровку их, а оказывается узнал, что все дампы с соседями по 5-10 чел, так что уважаемые дамперы, на каждый сайт овер дохуя соседей, но конечно в сто рук дампы не стоит давать.

ОЧень много вариаций реализаций дампов, в умных руках, жирный дамп минимум даёт 1кк$+
это именно приватный , и строк так 20 млн+ крипто, а если там выебали его 100+ чел, как это было с 3комаз, то конечно. Но, многие посреды дампов, пишут и говорят: "Брат , свежий дамп все дела" , а потом как всегда, там 10 соседей минимум.

На SQL думаю, это как начать пробовать дампить сайты, это проше всего, научитсяч смотреть как всё это выкачиваетс, какие колонки бывают и тд, но и можно заработать копейку, а кто-то наёбывает на эти "дампы" что это супер приват. Качественных дампов 1 из 10 на рынке каждый месяц. И всё это приват. Бывает конечно, если снимешь много крипты, уже лень что-то делать, можешь и залить дамп ан фоурм, поделится, дать заработать копейку молодым.

На форуме есть акунтекс слитый был, вот скачивайте и изучайте. А как праавильно использовать его, уже можно обратится к ИИ.


это 100% лёгки факт тебе, 100000% прям. Из логов собирать почта:пасс, они обычно все убитые будут. Так как логи потом раздают в 100 рук, эт тоже факт)
Дампить сайты - не сложно, через SQL, за месяц очень легко научится. А там уже далее советую, на более сложное перейти.
На форуме темы тоже про SQL дампы есть. Это раскручивание уязвимости. Дыры бывают разного хар-ра и формата, и выкачивание бд колонок, тоже может идти по-разному.

Парсишь линки, дпоустим по крипте сайты, или шопы (там бывают CC) в БД даже, и далее реализиация продажи пластика , как вариант, но конечно всё это х#йня, весь кэш в крипте сейчас, даже на таком рынке. Да и такой рынок прекрасен.

 

[zdestuta]

1. Старые сайты на php со скулей где кавычку достаточно поставить и будет ошибка =)

и что это даст если в БД лежат 100500 login:hash ? как скуля hash->pass превратит то, поведай-удиви?

 

[zdestuta]

Дампить это надо, самое простой SQL иньекции.

тот же вопрос: поясните тут плиз (всем будет очень интересно думаю) как SQLi поможет корову из котлет pass из hash восстановить в сдампленой БД ?

не надо плиз учить дампить, тем более кроме SQLi притом дохрена способов более "царских" (быстрее, проще) есть как базу слямзить, речь не про это.
речь про то что этих дохрена баз везде login:hash а не login:pass , и про hashcat на GPU - это я тоже знаю, и про сниферы тоже (но это - ждать пользаков когда они соизволят...) , вопрос был: "есть ли какой другой более простой способ про который я не написал?"

 

[kosh_e4ka]

почему бы не взять мейл пас коих миллиарды и не обрезать до логин пас

 

[RedTeam]

тот же вопрос: поясните тут плиз (всем будет очень интересно думаю) как SQLi поможет корову из котлет pass из hash восстановить в сдампленой БД ?

не надо плиз учить дампить, тем более кроме SQLi притом дохрена способов более "царских" (быстрее, проще) есть как базу слямзить, речь не про это.
речь про то что этих дохрена баз везде login:hash а не login:pass , и про hashcat на GPU - это я тоже знаю, и про сниферы тоже (но это - ждать пользаков когда они соизволят...) , вопрос был: "есть ли какой другой более простой способ про который я не написал?"

ты так отвечаешь как будто тебе обязаны в чем то лол. Тебе ясно написали что есть сайты в которых хранятся пароли в открытом виде. Либо хэши, хэш односторонняя функция ее нельзя расшифровать что не понятного не пойму?

 

[zdestuta]

есть сайты в которых хранятся пароли в открытом виде

есть. но не в больших количествах. хотя мне кое-кто утверждает что "миллионами записей" буквально это встречается и распространено очень (где? вот что интересно) и там пассы в открытом видеи много прям. вот хотел узнать типа я чего-то не знаю что все знают (потому что где валяется много логинов с хэшами - это я давно знаю), или мне про "миллионы записей" с открытыми прям plain text паролями кто-то "заливает" маленько

 

[zdestuta]

мейл пас коих миллиарды

и откуда эти миллиарды берутся то, притом именно так что пароль открытым текстом?
вопрос как раз про источник потому как в слитых базах в 99.9(9)% вместо пароля открытым текстом - разумеется хэш, типа дураки перевелись давно, ну во всяком случае любая CMS уже не хранит в открытом виде, самописные сервисы разве что в plain text хранят, и то очень редко.

 

[zdestuta]

ты так отвечаешь как будто тебе обязаны в чем то лол.

я так отвечаю потому что вопрос задан про "А" , а три человека подряд (см. выше) ответили про "Б" (и так всем известное притом) - поэтому я и подчеркнул о чём именно спрашиваю: где и почему "образуются в дикой природе, в естественной среде" (источник, почему в открытом виде копятся) пароли в plain text притом в больших количествах (десятки тысяч строк чтоб, а не пару сотен), а не хэши от паролей которых дохрена как грязи десятки тысяч строк надыбать можно за час (заметь, вопрос был не "как и чем спереть это?" а то мне выше про SQLi и "окунь" рассказывать начали даже, и не "а ты знаешь про брут хэшей hashcat'ом на GPU?" и т.д. - это не ответы, а "ответы" то есть "не в тему" вообще, совсем - зачем "отвечать лишь бы что-то ответить" ?)
это нормально - уточнять вопрос, хотя я уже хз как яснее то написать
а вот не читая вопрос ответить "не в тему" лишь бы ответить - это ну как минимум странное поведение, согласен?

 

[etc/passwd]

и что это даст если в БД лежат 100500 login:hash ? как скуля hash->pass превратит то, поведай-удиви?

если md5 , то что мешает их расхэшить?

 

[Nick Diesel]

Поддерживаю интерес.
По факту кроме снифака, также нет идей.
Потому что даже base64, или md5 вот Товарищ предлагает, но они не могут в таких масштабах попадаться (особенно в 25 году).
Сейчас преобладающее это вообще bycrypt треклятый.

Как - то по виду CMS / DB / Service = тоже не надергаешься, те же вот пассы от WP, также как и скулей - CVE сам знаешь , но и они не впёрлись никому /брутить тем более.

 

[Nick Diesel]

(десятки тысяч строк чтоб, а не пару сотен),

Это еще ладно - такое "пробегает", но вот сотни к и мулльоны, таскают.
Может я лениво тружусь или не там ищу, но мне за пару лет попалась 1 база на 3 кк с md5.

 

[lisa99]

я так отвечаю потому что вопрос задан про "А" , а три человека подряд (см. выше) ответили про "Б" (и так всем известное притом) - поэтому я и подчеркнул о чём именно спрашиваю: где и почему "образуются в дикой природе, в естественной среде" (источник, почему в открытом виде копятся) пароли в plain text притом в больших количествах (десятки тысяч строк чтоб, а не пару сотен), а не хэши от паролей которых дохрена как грязи десятки тысяч строк надыбать можно за час (заметь, вопрос был не "как и чем спереть это?" а то мне выше про SQLi и "окунь" рассказывать начали даже, и не "а ты знаешь про брут хэшей hashcat'ом на GPU?" и т.д. - это не ответы, а "ответы" то есть "не в тему" вообще, совсем - зачем "отвечать лишь бы что-то ответить" ?)
это нормально - уточнять вопрос, хотя я уже хз как яснее то написать
а вот не читая вопрос ответить "не в тему" лишь бы ответить - это ну как минимум странное поведение, согласен?

нет, дорогой мой, каков вопрос - таков ответ. Сейчас , после уточнения, я лучше понимаю о чем ты, а ранее - заметь, отписались же тебе не дураки, думала слово в слово со всеми ответами в топике.
Тоже удивилась, почему непонятны простые вещи.

По сабжу. Мое, очень скромное, возможно неверное, мнение - пароли и иные данные в плэйн текст могут хранить не владельцы cms - там то как раз всегда хэши, а собственники крупных сервисов - а-ля мэйл ру, возможно аффилирированных с госструктурами, в качестве бэкапов в больших распределенных БД.

два примера навскидку:

• когда то были слиты миллионы аккаунтов ...или мэйл ру, или рамблер - но именно с исходными паролями,
• как проверяет гугл (так было когда то) исходный, забытый пароль, когда просит написать похожий?))

Сравнивать то он будет не хеши, которые "разбегутся" от малейшего шевеления, а исходники. В свое время я на минутку об этом задумалась, но..

 

[xleaknn]

Ну слушай, даже там, где кавычка, нередкостью будет хотя бы пресловутый md5-закрыв на пассвудах. Про искаженную логику в лице снифферов и CSRF-имплантов(когда реквесты проходят не через официальную морду сайта, а через морду злоумышленника, но к тому же апи, позволяя таки пройти авторизацию, просто злоумышленник - посредник), в целом, соглашусь. md5 в огромных объемах не так просто вскрыть, записей больше 10-15к - уже геморрой недельный. Стиллаки, пошив баз на основе дампов со стиллаков(то, что отрабы не схавали) и на основе всяких других источников с массовых проливов - даааа, вот это прям да. Многие огромнейшие ULP-агрегаторы, коих раньше много было в тг, на таком и работали процентов на 80 своего катастрофического объема.
А так, стоит еще учесть, что у некоторых бро на полном серьезе в бд пассвуды и прочая чувствительная дрянь вообще не хешируется. К слову, файербейз-проекты с вайбкодерами во главе так и функционируют, там это прям распространено.

1. Старые сайты на php со скулей где кавычку достаточно поставить и будет ошибка =)
2. Скомпрометированные сайты где изменена логика приложения (снифер про который ты говоришь)
3. Брут хэшэй если алгоритм слабый например какой нибудь md5 а словарик большой с мощностями. Люди часто один пароль ставят на несколько сайтов, либо же похожий пароль, соотвественно сбрутить не так сложно.
4. С логов (стилеры)

 

[xleaknn]

Поддерживаю интерес.
По факту кроме снифака, также нет идей.
Потому что даже base64, или md5 вот Товарищ предлагает, но они не могут в таких масштабах попадаться (особенно в 25 году).
Сейчас преобладающее это вообще bycrypt треклятый.

Как - то по виду CMS / DB / Service = тоже не надергаешься, те же вот пассы от WP, также как и скулей - CVE сам знаешь , но и они не впёрлись никому /брутить тем более.

bcrypt, вообще легендарочка. Вот, где словари и рекомбинация ну очень роляют.

 

[zdestuta]

собственники крупных сервисов - а-ля мэйл ру, возможно аффилирированных с госструктурами, в качестве бэкапов

это уже интереснее, но конечно же не mail.ru и вообще не RU, но уже вот пища для размышления где искать... спасибо!

 

[zdestuta]

если md5 , то что мешает их расхэшить?

ну... количество как правило это если md5
но бывает там и вот такое например $P$BJXPzny2AprwZrd.OfsyWGpf37Prg1/ - что это за зверь? hashes.com - затруднился ответить что это такое...

 

[zdestuta]

некоторых бро на полном серьезе в бд пассвуды и прочая чувствительная дрянь вообще не хешируется. К слову, файербейз-проекты с вайбкодерами во главе так и функционируют, там это прям распространено.

походу я такой невезучий типа?
нет, я встречал plain text но в каких-то "игрушечных" проджектах которые ломать то было стыдно и записей там было "до 100" так скажем
а вот хэшированых баз их тьма тьмущая попадается - и это не только SQLi, но и NoSQLi, и дорки и фаззы бэкапов, и даже всякие "побочки" от LFI2RCE через PHP фильтры (это мой favorite bug прям, я хз чо его все игнорят, этож кладезь прям! но все в этих явно LFI параметрах зачем-то SQLi ищут которой там вестимо нет. хз, наверное по привычке...)
вот я и задумался откуда народ хвастается миллионами записей слитых где пассы в плейн тексте... знаю-знаю, сейчас мне скажут "ну и ты бери и... хвастайся!" (тем чего нет) но я так не могу, реально интересно стало откуда "миллионы записей" и пассы плейнтекстом, ну где такое чудо водится и почему я его обхожу стороной и как не натыкался ни разу (а натакался я ой на всякое разное, удивляться не перестаю до сих пор в мой почти полтиник лет)