👤 Registro de Cuenta

Crea tu cuenta en Nexo

← Volver

Crear cuenta

🔴 Cómo se almacena tu password

Cuando te registrás, tu password se guarda así:

$hash = md5($password);
// Sin salt, sin bcrypt, solo MD5

Problemas:

MD5 es rápido — se pueden probar billones de hashes/segundo
Sin salt — dos usuarios con "password123" tienen el mismo hash
Rainbow tables — hashes pre-computados permiten crackeo instantáneo

🔓 Explorar la vulnerabilidad

Para este lab, podés ver los hashes directamente:

Ver hashes de la BD

En un ataque real, estos hashes se obtendrían vía SQL injection (lab A05) o accediendo al backup expuesto (lab A02).

El sistema almacena contraseñas con MD5 sin salt.

MD5 es rápido y reversible con rainbow tables. Sin salt, dos usuarios con la misma password tienen el mismo hash.

Además, "olvidé mi contraseña" envía la password actual en texto plano.

# 1. Obtené los hashes (ver pestaña "Ver Hashes")
# 2. Usá CrackStation para crackearlos:
#    https://crackstation.net/

# Hashes de ejemplo:
# 0192023a7bbd73250516f069df18b500 -> admin123
# 482c811da5d5b4bc6d497ffa98491e38 -> password123
# 5ebe2294ecd0e0f08eab7690d2a6ee69 -> secret

Herramientas: CrackStation Hashcat John the Ripper