Cómo descifrar un hash MD5 online
Aloe Vera
Este fin de semana me encontré con la necesidad de descifrar un password hasheado con md5. Para ello estuve a punto de utilizar el viejo y querido John the Ripper, pero un segundo antes se me ocurrió buscar alguna herramienta online que haga el trabajo por mí. Motivado por la vagancia, pero también para hacerlo más rápidamente (aprovechando la nube o rainbow tables), encontré buscando en Google este muy buen artículo: How to crack MD5 passwords online, el cual contiene una lista de servicios para reconstruir texto digerido mediante md5.
La mayoría de estos sitios utilizan rainbow tables (grandes tablas de hashes precomputados) con el objetivo de intercambiar tiempo de ejecución por memoria. De esta forma el resultado logrado es muy rápido (si es exitoso). Aunque también algunos utilizan diccionarios.

A continuación dejo la lista de servicios que realizan esta tarea. Les recomiendo que lean el artículo original, ya que el autor incluye una valuación de los mismos (calculada como la cantidad de hashes encontrados de un conjunto de 10):
www.tmto.org
md5.noisette.ch
md5decryption.com
www.c0llision.net
www.netmd5crack.com
www.md5decrypter.com
md5hashcracker.appspot.com
www.hashhack.com
isc.sans.edu
www.md5crack.com
passcracking.com
authsecu.com
md5.rednoize.com
md5.web-max.ca
www.cmd5.com
md5.thekaine.de
www.shell-storm.org
www.md5this.com
www.hashchecker.com
hashcrack.com
md5pass.com
md5pass.info

Cabe destacar que algunos de estos sitios incluyen una herramienta para generar hashes md5. No es recomendable utilizarlas para calcular hashes de nuestras contraseñas, ya que no sabemos si guardan los hashes que calculamos en sus bases de datos, lo cual las vuelve 100% crackeables ;)

Para lograr mi objetivo, tomé el primer servicio de la lista y obtuve el texto hasheado (admin1234) en 3.55 segundos. Lo que más me molestó fue que había probado sin éxito varias contraseñas, entre las que se encontraban 'admin', '1234' y 'admin123' pero no 'admin1234'!



Para finalizar, dejo un excelente artículo que explica cómo utilizar Google como password cracker (a esta altura creo que a Google le descubren más propiedades que al Aloe Vera). La justificación de esta técnica es que a veces los programadores incluyen hashes md5 en la URL (para ver la explicación detallada les recomiendo lean el artículo), lo que transforma a las bases de datos de Google en rainbow tables.


No me deja de sorprender la cantidad de tareas útiles que se pueden realizar utilizando Google, la mayoría de las cuales con propósitos o fines no pensados en un simple buscador. Es aquí donde uno toma conocimiento del verdadero poder y valor de la información.

Espero que les sirva!

5 comentarios:

Lucas Santiago Cabral dijo...

Coincido en algo... uno dice si googlealo y lo encontras... en realidad no es google el que tiene la repuesta en el sentido estricto de la palabra... es otro el sitio el que nos brinda la solucion... no obstante es tan grande la base de datos de informacion que sin google no la encontrariamos de ahi el Googlealo

Stotti dijo...

Dear Emilio,

glad you found my article on cracking MD5 hashes helpful! Thanks for the link.

Best regards
Stotti

emilio dijo...

You are welcome Stotti, greetings from Argentina.

blackcontrol dijo...

Duda, al buscar en google ese tipo de herramientas tambien quedas expuesto a ser "encontrado" si no ocupas algo para ocultar tu ubicacion. Obviamente google hace perfiles de cada uno de nosotros y las busquedas que realiza, por lo que en caso de que seas un "hacker" (termino mal utilizado) podrian encontrate y hacerte mierrr...o me equivoco?.

emilio dijo...

Lógico, siempre es recomendable utilizar proxies free, y por supuesto desde un browser en modo stealth ("Private Browsing" en firefox, "Incognito Window" en chrome, etc...)
Saludos!

Publicar un comentario en la entrada