[SOLUCIONADO] Login con Password HASHBYTES MD5 [SQL Server]

Erick_Lucas · #1 (**permalink**) 26/07/2012, 10:03

Saludos terrícolas!

Desde hace tiempo he estado buscando forma de realizar un login con datos almacenados en una tabla SQL Server.

El campo de contraseña está encriptado con HASHBYTES en MD5. He visto forma de utilizar métodos que puedan "desencriptar" la clave para loguearse en Visual Basic .NET, C# y en JAVA inclusive. Pero en PHP no he tenido suerte. He llegado a pensar que es por la inferencia de tipos que existe.

Algunos de Uds. ha logrado hacerlo o conoce más del tema?

Gracias desde ya

pateketrueke · #2 (**permalink**) 26/07/2012, 10:14

A ver, aquí el punto no se trata de "desencriptar" la clave para comparar la contraseña.

La técnica consiste en "encriptar" la contraseña que provee el usuario al momento de hacer login y compararla con la versión en la BD, así de simple.

¿De verdad creías que se tenía que hacer ingeniería inversa con la contraseña en la BD?

Eso gastaría recursos siempre, pienso que lo que viste en VB, .NET, C# y JAVA te ha confundido.

Erick_Lucas · #3 (**permalink**) 26/07/2012, 10:59

Cita:

Iniciado por pateketrueke

A ver, aquí el punto no se trata de "desencriptar" la clave para comparar la contraseña.

Acaso piensas que el uso de las comillas que le dí a la palabra desencriptar es porque me dió la gana? No hombre, estoy conciente de que no funciona así.

Cita:

Iniciado por pateketrueke

La técnica consiste en "encriptar" la contraseña que provee el usuario al momento de hacer login y compararla con la versión en la BD, así de simple.

Es precisamente lo que vi en Visual Basic .NET y después codifiqué en C# y en JAVA. Pero tengo el inconveniente de que transfiero el código a PHP y los resultados no son los mismos. Habrá forma de conseguir la encriptación correcta ?

pateketrueke · #4 (**permalink**) 26/07/2012, 11:04

Ahhhh, pues con esto último que nos dices se complementa lo que no quedaba claro.

Bien... pues sin ver cómo lo haces exactamente así como las especificaciones de la columna en la BD es complicado adivinar las causas.

PDTA: lo de las comillas es porque en realidad MD5 no es un algoritmo de "encriptado" sino de hashing, que no es lo mismo.

Erick_Lucas · #5 (**permalink**) 26/07/2012, 11:41

Cita:

Iniciado por pateketrueke

Lo de las comillas es porque en realidad MD5 no es un algoritmo de "encriptado" sino de hashing, que no es lo mismo.

Te tomo la palabra, pues ahí era donde yo estaba equivocado. Gracias por la aclaración.

Cita:

Iniciado por pateketrueke

Bien... pues sin ver cómo lo haces exactamente así como las especificaciones de la columna en la BD es complicado adivinar las causas.

Continúo:

Reproduje un código (muy feo, en mi opinión) hecho en Visual Basic .NET el cual muestro a continuación:

Código VB:

Ver originalPublic Function Encripta(ByVal cText As String)
          Dim CLen
          Dim cEncriptada As String = ""
          Dim nChar As Integer
          Dim i
          CLen = Len(cText)
          cText = RTrim(cText)
          For i = 1 To Len(cText)
               nChar = Asc(Mid(cText, i, 1))
               If Not nChar = Asc(" ") Then
                    nChar = nChar - (40 - i)
               End If
               If nChar <= 0 Then
                    nChar = 255 + nChar
               End If
               cEncriptada = Chr(nChar) & cEncriptada
          Next
          cEncriptada = cEncriptada + Space(CLen - Len(cEncriptada))
          Encripta = cEncriptada
End Function

Pude haberlo mejorado (e inclusive comentado) en este mismo lenguaje, pero se me asignó hacer un sistema con C#, así que fue ahi donde lo transformé y funcionó:

Código C#:

Ver originalprivate string Encriptacion(string texto)
{
          int tamanio = 0;
          string clave = "";
          int caracter = 0;
          texto = texto.Trim();
          tamanio = texto.Length;
          for (int i = 1; i <= tamanio; i++)
          {
               caracter = (int)Convert.ToChar(texto.Substring(i-1,1));
               if (!(caracter == Asc(" ")))
               {
                    caracter = caracter - (40 - i);
               }
               if (caracter <= 0)
               {
                    caracter = 255 + caracter;
               }
               clave = Convert.ToChar(caracter) + clave;
          }
          return clave;
}

Tiempo después volví a tener la necesidad de implementar el mismo método, pero ahora en JAVA, y también lo conseguí:

Código JAVA:

Ver originalprivate String Encriptacion(String texto)   {
          int tamanio = 0;
          String clave = "";
          int caracter = 0;
          texto = texto.trim();
          tamanio = texto.length();
          for (int i = 1; i <= tamanio; i++) {
               caracter = (int)texto.charAt(i-1);
               if (!(caracter == (int)" ".charAt(0))) {
                    caracter = caracter - (40 - i);
               }
               if (caracter <= 0) {
                    caracter = 255 + caracter;
               }
               clave = (char)caracter + clave;
          }
          return clave;
}

Pero cuando lo llevé a PHP, no tuve la misma suerte:

Código PHP:

Ver originalpublic function validarContrasenia($password)
{
      $tamanio = 0;
      $clave = "";
      $caracter = 0;
      $password = trim($password);
      $tamanio = strlen($password);
      for ($i=1;$i<=$tamanio;$i++)
      {
           $caracter = ord(substr($password,$i-1));
           if   (!($caracter == ord(" ")))
           {
                $caracter = $caracter - (40 - $i);
           }
           if   ($caracter <= 0)
           {
                $caracter = 255 + $caracter;
           }
           $clave = chr($caracter) + $clave;
          }
      return $clave;
}

Sigo creyendo que puede tratarse de la inferencia de tipos que posee el lenguaje. Alguna otra persectiva ?

pateketrueke · #6 (**permalink**) 26/07/2012, 11:53

¿Puedes explicar que es lo que tratas de hacer?

Erick_Lucas · #7 (**permalink**) 26/07/2012, 12:01

Jajajajajaja sabía que obtendría una respuesta como esa

Todos aquellos métodos son los mismos pero en diferente lenguaje (aunque en PHP todavía no funciona), se observa que reciben un parámetro String que no es otra cosa que el valor que estará en un campo de texto en donde el usuario insertará la contraseña.

El método realiza la encriptación y compará con lo que se encuentre en la columna del PASSWORD de la base de datos. Si es igual, el login será correcto, si no, no lo será.

Recuerdo que esa columna tiene datos HAShBYTES pero el tipo de dato es CHAR.

mogurbon · #8 (**permalink**) 26/07/2012, 12:31

ojo ve la linea de java

Código:

/*aqui segun yo estas casteando y concatenando  */
clave = (char)caracter + clave;

ve la linea de php

Código PHP:

Ver original/*aqui le asignas un valor ascii y se lo sumas a clave que es vacio osease clave segun yo debe valer 0*/ 
 $clave = chr($caracter) + $clave;

una cadena en php se puede recorrer como arreglo

Código PHP:

  $cadena="algo";
echo $cadena[2];
#te debe devolver una g

algo de documentación

http://mx2.php.net/manual/es/language.types.string.php
http://php.net/manual/es/language.ty...e-juggling.php

pero pos si ve tu a saber que quieres hacer

Erick_Lucas · #9 (**permalink**) 26/07/2012, 15:21

Ambas líneas son exactamnte iguales, eso lo comprobé antes. El problema debe estar por otra parte, lo que me sorprende es que no entiendan a lo que me refiero.

Busco realizar el mismo método, funcional en Visual Basic .NET, en C# y en JAVA, pero ahora en PHP. Mismo que me permita encriptar una contraseña HASHBYTES MD5 de SQL Server.

pateketrueke · #10 (**permalink**) 26/07/2012, 15:59

A decir verdad no se a que te refieres con "Hashbytes", y en teoría se entiende que estás traduciendo tu implementación de un lenguaje a otro simplemente.

Deberías ejecutar algunos tests en los lenguajes donde si te funciona, con las mismas cadenas de entrada para todas las pruebas y hacer un diff de los resultados en comparación con lo que te produce php.

Así es esto, no tienes problemas de lógica o sintaxis objetivamente, a menos que nos muestres el RFC para poder basarnos en algo.

GatorV · #11 (**permalink**) 26/07/2012, 16:14

Estas funciones me generan la misma salida:

Código Java:

Ver originalprivate String Encriptacion(String texto)   {
    int tamanio = 0;
    String clave = "";
    int caracter = 0;
    texto = texto.trim();
    tamanio = texto.length();
    for (int i = 1; i <= tamanio; i++) {
        caracter = (int)texto.charAt(i-1);
        if (!(caracter == (int)" ".charAt(0))) {
            caracter = caracter - (40 - i);
        }
        if (caracter <= 0) {
            caracter = 255 + caracter;
        }
        clave = (char)caracter + clave;
    }
    return clave;
}

Código PHP:

Ver originalprivate function Encriptacion($texto)
    {
        $tamanio = 0;
        $clave = "";
        $char = 0;
        $texto = trim($texto);
        $tamanio = strlen($texto);
        for ($i = 1; $i <= $tamanio; $i++) {
            $char = ord($texto[$i - 1]);
            if (!($char == ord(' '))) {
                $char = ($char - (40 - $i));
            }
            if ($char <= 0) {
                $char = 255 + $char;
            }
            
            $clave = chr($char) . $clave;
        }
        
        return $clave;
    }

Con este texto:

Código:

Texto de Ejemplo

Me genera estas salidas:

Código:

Java: WSVRIM' EC LPS?-
PHP: WSVRIM' EC LPS?-

Saludos.

Erick_Lucas · #12 (**permalink**) 26/07/2012, 16:22

Cita:

Iniciado por pateketrueke

A decir verdad no se a que te refieres con "Hashbytes"..

Si se desea guardar un dato en SQL Server con algun algoritmo de hashing (como MD5, SHA1, etc.) se utiliza la función llamada HASHBYTES lo cual hace que el dato se almacene como tipo de dato VARBINARY.

Cita:

Iniciado por pateketrueke

..en teoría se entiende que estás traduciendo tu implementación de un lenguaje a otro simplemente.

Es exactamente lo que estoy tratando de hacer

Cita:

Iniciado por pateketrueke

Deberías ejecutar algunos tests en los lenguajes donde si te funciona, con las mismas cadenas de entrada para todas las pruebas y hacer un diff de los resultados en comparación con lo que te produce php.

Podrias indicarme cmo puedo ejecutar los tests? Entiendo por 'dif' algo relacionado a Control de Versiones (muy probablemente, he de equivocarme).

pateketrueke · #13 (**permalink**) 26/07/2012, 17:26

Pues viendo los resultados de GatorV, que ha hecho unos tests (pruebas), y el diff (diferencias) que muestra es equivalente no veo porque la implementación debería de fallar.

Tal vez el problema lo tienes en otra parte, ¿como saber?

Erick_Lucas · #14 (**permalink**) 26/07/2012, 17:50

Cita:

Iniciado por pateketrueke

Tal vez el problema lo tienes en otra parte, ¿como saber?

Algo así como en la interfaz entre el teclado y la silla

Creí imaginar de qué se trataba,a pues en los sistemas que desarrollé en C# y JAVA fueron implementaciones propias, mientras que en PHP estoy ayudándome de un Framework.

Sin embargo, hice un pequeño formulario HTML + PHP en N++ y ni aún así pude obtener el loguin que deseo, así que sigo pensando en la omnipresente (de tanto haberla mencionado) INFERENCIA DE TIPOS DE PHP

Eleazan · #15 (**permalink**) 27/07/2012, 02:46

Tu fallo está en la concatenación....

Si te fijas, @GatorV lo ha corregido ;)

pateketrueke · #16 (**permalink**) 27/07/2012, 03:33

Cierto, muy cierto.

La implementación si estaba errada, ya que el operador de concatenación en PHP es el punto y no el signo de suma.

mogurbon · #17 (**permalink**) 27/07/2012, 07:07

Cita:

Iniciado por Erick_Lucas

Ambas líneas son exactamnte iguales, eso lo comprobé antes. El problema debe estar por otra parte, lo que me sorprende es que no entiendan a lo que me refiero.

Busco realizar el mismo método, funcional en Visual Basic .NET, en C# y en JAVA, pero ahora en PHP. Mismo que me permita encriptar una contraseña HASHBYTES MD5 de SQL Server.

a mi no me gusta decir te lo dije pero ...... a no

a mi si me gusta , te lo dije

no eran exactamente iguales

Erick_Lucas · #18 (**permalink**) 27/07/2012, 10:35

Cita:

Iniciado por pateketrueke

Cita:

Iniciado por Eleazan

Tu fallo está en la concatenación....

Cierto, muy cierto.

La implementación si estaba errada, ya que el operador de concatenación en PHP es el punto y no el signo de suma.

¡¡¡Rasmus Lerdorf!!! Digo... madre del PHP

Cómo puedo ser tan mal concatenador???!!! Lo dicho, era la interfaz entre el teclado y la silla.

Bucle infinito de gracias para Uds. señores

, he logrado el login desde el pequeño formulario de PHP, aunque en el sistema que uso con el Framework todavía no se da, pero es cosa de revisar más a fondo los procesos de logueo del mismo, cosa que ya quedará a mi cargo.

Saludos cordiales!

Cita:

Iniciado por mogurbon

a mi no me gusta decir te lo dije pero ...... a no

a mi si me gusta , te lo dije

no eran exactamente iguales

Que bueno que no te gusta

Saludos

GatorV · #19 (**permalink**) 27/07/2012, 12:31

De hecho la implementación que hice fue propia, no tomé la tuya jeje solo re-escriba el código de Java...