首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >本地巧暴MD5

本地巧暴MD5

作者头像
C4rpeDime
发布2018-08-28 10:02:34
1.4K0
发布2018-08-28 10:02:34
举报
文章被收录于专栏:黑白安全黑白安全

现在MD5加密的应用范围可谓是极其广泛,绝大部分的网站存储账号密码的数据库都采用的是MD5加密方式,只有极少数的是明文密码——毕竟多一层加密就多一层安全。标准的MD5密码是16位和32位的,有不少网站系统为了“更加安全”而采用20位MD5密码(比如DEDECMS系统)、34位MD5密码(比如Serv.U)或是40位的MD5密码(详见危险漫步“唬人的40位MD5加密”一文),其实这些都是障眼法而已,真正的内容还是16/32位MD5核心密码。想必大家在平时的入侵检测过程中都遇到过拿到了管理员账号的MD5密码却无法破解的情况,要么就是被提示“Found!这是一条收费记录”,非常郁闷,这将直接导致入侵检测的失败。那几个比较著名的MD5在线破解网站也越来越不厚道,有的MD5密码明明非常简单竟然也要收费,强烈BS这种做法!在此危险漫步就提供一个破解MD5密码的小技巧来热热身先!

话说某次猜解到管理员账号的MD5密码为“d8cf4200766e16ddbc42038fa89aOec3”,于是拿到md5网站进行在线破解,结果被提示“已经查到,但您查询结果为普通收费数据,点击购买!”,很郁闷!后来无意联想到admin/admin常规的与账号相同的密码设置习惯,赶紧将管理员的账号“729967209”进行32位的MD5加密,结果正是“d8c f4200766e16ddb c4203 8fa89aOec3”!

下面正式开始介绍一款黑客刚刚放出来的本地破解MD5的精巧工具M5.exe,其原理非常筒单但思路却是十足的巧妙。大家应该对去年年底互联网大泄密事件还有印象吧?也许,一些手快的朋友应该下载到了几个网站的账号数据库;当然,打开看一下也觉得没什么,无非是可以观赏一下普通大众(也包括若干网站管理员大哥)都喜欢用些什么样的密码。这样的数据库还可以拿来做什么用呢?他将几个这样的数据库做了整理(包括7k7k、CSDN和人人阿的),生成了13个txt字典,一共是800W个密码(排序并且剔除了重复数据)。这个工具可以破解收费MD5密码(也包括那些“NotFound”的记录),也可以用来破解Disucz的39位密码。我猜想它的工作原理应该是这样的:先从字典中读取第一个密码进行MD5加密运算,然后将得到的16/32值MD5密码值与输入查询的字符串进行逐使比较,完全相符的话就说明读取到的密码就是待破解的原密码,破解成功;否则,依次读取第二个、第三个及之后的若干密码进行同样的操作。工具是否给力呢?我在这几年入侵检测过程中有不少的MD5密码“历史遗留问题”,试了几个,还真有被成功破解的!就以“38eb69859bcc825a”为倒,在几个网站测试的都是收费记录或是无法破解。

本地巧暴MD5 本地巧暴MD5 灰色产业
本地巧暴MD5 本地巧暴MD5 灰色产业

打开M5.exe程序。在右上方的“输入或者加载MD5密文”处选挥密文类型为“MD5->md5($pass)”,并将待破解[的MD5值粘贴到下方的“单个”输入框中;然后在左侧点击“打开字典文件”选择工具自带的字典(可依次选择),接着点击“破解”按钮即可。很快就弹出“破解成功!”的提示,结果出来了:38eb69859bcc825a->adm/n1230。

另外,为了验证自己所猜想的软件工作原理,我自行设置了一个密码“goodgoodstudy,daydayup.”(好好学习,天天向上),其1 6位的MD5密码是“b7131cOdcab7bSa8”,是无法在线破解出来的。然后新建了一个txt字典文件,将“goodgoodstudy,daydayup.”输入其中,存盘:接着再用M5.exe程序进行破解,当然挂接的字典就是自己刚刚制作的“测试.txt”,点击“破解”按钮后瞬间就出结果了:b7131cOdcab7b5a8->goodgoodstudy,daydayup。呵呵,完全证实了自己的猜想是正确的。这也同时说明了该工具的核心程序的确是非常给力的,不过所挂接的字典也同样具有极其重要的地位,只要字典中有对应的密码存在,破解就只是个时间问题而已——这就是暴破的最根本原则。X-Scan扫描弱口令是这样,明小子和flD扫描网站后台地址也是这样的。根据这一颠扑不灭的真理,我们完全可以自己制作“对口”的字典来更加有效地进行MD5暴破,比如将社工到的目标网站信息、网管员信箱、QQ、电话号码、生日……甚至是其女友等相关信息用“N.C.P.H社舍工程学字典”生成字典,挂接到M5.exe程序上进行暴破的话,相信最终成功破解的几率还是比较大的,大家不妨一试。

本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2018-08-011,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档