Tal como dijo Swashbuckler, "descifrar" o "deshacer" son casi siempre las palabras equivocadas para atacar los hashes de contraseña.
Pero puedes intentar romperlos , incluso con una sal desconocida. Esto implica probar muchas cadenas posibles, para ver si resultan en el mismo hash. Es más difícil si la sal también es desconocida.
Si es Joomla mayor, es MD5-ish (aunque no estoy seguro de los detalles allí, indagar en el código fuente de Joomla mayor o John the Ripper o hashcat probablemente te lo diría). La nueva versión de Joomla usa phpass, por lo que hay bastantes sales posibles, por lo que probablemente no sea trivial (a menos que la contraseña sea trivial).
Editar: mirando esta respuesta y otras fuentes, a menos que la suya fuera una implementación ingenua personalizada, Joomla los hashes anteriores a 2.5.18 tenían una sal grande de 32 hex (16 ^ 32 o ~ 34x10 ^ 38 posibilidades). Incluso si la contraseña es 'contraseña', es muy poco probable que se rompa este hash sin el salt.
Si pudo obtener el hash, probablemente también puede obtener la sal. No sé sobre Joomla, pero todos los programas que he visto almacenan el hash de la contraseña y el salt en la misma tabla o incluso como una única cadena
Si tienes ambos, podrías intentar realizar ataques de fuerza bruta, es decir, hash cada contraseña posible usando ese salt y verifica si es la misma. Este es un tiempo costoso ya que tiene que recorrer todos los caracteres posibles para cada posición en la contraseña. El uso de todos los caracteres imprimibles le da 100 ^ (longitud de contraseña) posibles contraseñas, y si no conoce la longitud real de la contraseña, debe repetir este proceso para cada longitud posible
Soy un desarrollador y, de repente, me encuentro en una situación estúpida, ya que necesito romper un hash
Por lo que está diciendo, parece que olvidó su propia contraseña o una ya conocida. En este caso, recomendaría crear un diccionario de contraseñas con una contraseña simple que podría haber usado y aplicar un ataque basado en reglas usando hashcat o john the ripper. Este diccionario NO debe tener transformaciones, por ejemplo. Si su contraseña es P@s5W0rd! , el diccionario debe contener solo password ya que las reglas harán todas las transformaciones posibles. La forma en que funcionan los ataques basados en reglas está fuera del alcance de esta pregunta, pero la documentación hashcat lo explica muy bien y El propio hashcat incluye muchas reglas para transformaciones comunes.
Además, si está intentando recuperar el acceso a una instancia de Joomla y tiene acceso de escritura a la base de datos, es mucho más óptimo simplemente anular el hash y el salt. Para hacer eso, simplemente puede echar un vistazo al código fuente de Joomla para ver cómo está activado y hacer lo mismo con una contraseña recién conocida o usar una aplicación web como este (en caso de que vaya con la aplicación web, para mayor seguridad, cambie su contraseña a través de Joomla después de configurar una nueva en la base de datos)
Lea otras preguntas en las etiquetas passwords hash password-cracking md5 joomla