Необходимо получить алгоритм генерации сигнатуры.

[ozvanx]

Всем привет. в приложении VK для андройд в процесе регистрации аккаунта происходит запрос на подтверждение кода через https://clientapi.mail.ru/fcgi-bin/attempt?..... - далее параметры.
В конце находится параметр signature=7baa3fe312c92053f70a0eb0e863f612 (пример).
Есть знатоки кто может помочь?

 

[handersen]

signature=7baa3fe312c92053f70a0eb0e863f612

Вот, что выдал hashcat:

hashcat --identify 7baa3fe312c92053f70a0eb0e863f612
The following 11 hash-modes match the structure of your input hash:

      # | Name                                                       | Category
  ======+============================================================+======================================
    900 | MD4                                                        | Raw Hash
      0 | MD5                                                        | Raw Hash
     70 | md5(utf16le($pass))                                        | Raw Hash
   2600 | md5(md5($pass))                                            | Raw Hash salted and/or iterated
   3500 | md5(md5(md5($pass)))                                       | Raw Hash salted and/or iterated
   4400 | md5(sha1($pass))                                           | Raw Hash salted and/or iterated
  20900 | md5(sha1($pass).md5($pass).sha1($pass))                    | Raw Hash salted and/or iterated
   4300 | md5(strtoupper(md5($pass)))                                | Raw Hash salted and/or iterated
   1000 | NTLM                                                       | Operating System
   9900 | Radmin2                                                    | Operating System
   8600 | Lotus Notes/Domino 5                                       | Enterprise Application Software (EAS)

То есть, можно записав учетные данные для реги, сделать попытку регистрации, забрать то, что будет вместо 7baa3fe312c92053f70a0eb0e863f612 и далее брутить hashcat-ом подставляя алгоритмы, комбинируя логин, логинпароль, парольномермобилы или что там еще требуют при регистрации. В итоге может быть получится выяснить, что и каким алгоритмом хешируется.
Учетные данные понятное дело, чем проще, тем лучше, чтобы не морочиться со сложными масками.

Вкратце как-то так.

P. S. MD4, Radmin2, NTLM и Lotus Notes/Domino 5, я бы исключил, и начал бы с MD5.

 

[CheckerChin]

Как-то ковырял эту тему, дальше кстати можешь столкнуться с другими хэшами в 18 символов, состоящих из цифр и маленьких букв (встречаются на постах).
Они уже не определяются хэшкэтом и они меняются от поста к посту, от аккаунта к аккаунту.
Если ты копаешь это в целях поиска csrf, то скажу, что на самых видных местах всегда есть этот хэш, который убирает возможность реализации csrf. (лайки, комменты и тд)

 

[handersen]

хэшами в 18 символов,

Не исключено, что это кусок хеша, чтобы его нельзя было брутить совсем уж тупо. Одно время на haveibeenpwned, нужно было ввести коротенький кусок хеша пароля для проверки на слив, но если это больше половины хеша ...