| ordinary hat Folgendes geschrieben: |
Kann ich mich mit dem MD5 Hash auch direkt ins ICQ einloggen, also so, dass ich die Kontakteliste etc. einsehen kann (ohne Password Changer)?
Denn ich frage mich wie der ICQ Password Changer vorgeht. Den MD5 Hash so einfach zurückrechnen ist wohl nicht. Also wie schafft er es sich über dem MD5 in ICQ einzuloggen?
Danke für eure Hilfe! |
Also, erstmal zu deiner ersten Frage. Sowiet ich das bisher gesehen und überprüft habe, gibt es an sich kein Programm, das sich einfach mit dem MD5-Hash einloggen kann, außer eben dem hier genannten password-changer, mit dem man aber nat. die Kontaktliste nicht einsehen kann usw.
Und wie der Password Changer das macht!? Eigentlich relativ simpel. Wie schon gesagt, besteht der übertragene Hash an den Login-Server aus der Funktion MD5("AOL Instant Messenger"+MD5(dein ICQ-Passwort)+Challenge) [fehler dürft ihr behalten]. Wenn der Password Changer nun merkt, dass er einen Hash als PW vorliegen hat, dann trägt er direkt den Hash anstelle des "MD5(dein ICQ-Passwort)" ein. So einfach ist das.
In ICQ kann man sich also deswegen nicht mit dem MD5-Hash einloggen, weil es nicht zwischen Plaintext und MD5-Hash unterscheidet, sondern das eingebene so oder so mit MD5 "verschlüsselt".
Also kann man sich theoretisch schon mit dem MD5-Hash direkt einloggen ohne das eigentliche PW zu kennen, aber dazu müsste man ein Programm schreiben, wie den Password Changer und dazu müsste man wiederum das OSCAR-Protokoll beherrschen, um mit dem Login-Server kommunizieren zu können.
Der Password Changer nutzt nur den Login- und den "PW ändern"-Befehl des OSCAR-Protokolls.
Noch fragen?
Jan
