看到t00ls上有同學(xué)在問這個(gè)問題: https://www.t00ls.net/thread-31914-1-1.html
里面有說到通過注入拿到網(wǎng)站的密碼截亦,加密方式是md5(unix)丹锹,破解不了于是很尷尬。我們通過他文中給出的hash入手肢藐,來(lái)分析一下unix(md5)的原理與破解方法。
目標(biāo)hash:
$1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/
實(shí)際上吱韭,我們要先明白一點(diǎn)吆豹。無(wú)論是何種哈希鱼的,說到底是摘要算法,是將任意長(zhǎng)度的任意字節(jié)對(duì)應(yīng)成固定長(zhǎng)度的一段字節(jié)痘煤。
這段摘要字節(jié)因?yàn)榘芏嗖灰罪@示的字符凑阶,所以人們通常使用hex或者base64等類似方法將它轉(zhuǎn)換成可見字符顯示出來(lái)。
所以這個(gè)hash也一樣衷快,我們用$將hash切割成三部分:”1“宙橱、”Dx1bONFt“、”Hsrx102ek28d03B5dqgAv/“ 蘸拔,給這三部分分別起個(gè)名字:magic师郑、salt、password调窍。
其中password實(shí)際上就是哈希完成后的字符串宝冕,再通過類似base64的算法轉(zhuǎn)換成了可見字符串。
Magic
magic是表明這一段哈希是通過什么算法得到的邓萨,對(duì)應(yīng)關(guān)系如下:
$0 = DES
$1 = MD5
$2a(2y) = Blowfish
$5 = SHA-256
$6 = SHA-512
目標(biāo)hash的magic==1地梨,說明是md5加密。
當(dāng)然內(nèi)部實(shí)現(xiàn)不會(huì)是單純單次md5缔恳,但總體來(lái)說是以MD5為hash函數(shù)宝剖,通過多次計(jì)算得到的最終值。
類似褐耳,這個(gè)是sha-256的哈希(明文 admin):
$5$DnnkiE71Scb5$lHT.SBfgQKoiTi8cF.cbuxlZ9ZBVFG8CGDxh8CpgPe8
這個(gè)是sha-512的哈希(明文 admin):
$6$I7iRFjXdW9rZA2$/4WJ35KCqtrfc3BFmoargIm8WiKhY5cSBuJIb7ItjO0I7Dj99ZVIPZ3fgKvxaDgZqrWNWwL5aSVwQUkd8D7LT0
對(duì)比發(fā)現(xiàn)诈闺,magic值確實(shí)不同。除了通過magic來(lái)判斷密文的加密方式以外铃芦,通過哈希的長(zhǎng)度也可以判斷雅镊。比如原哈希Hsrx102ek28d03B5dqgAv/,我們可以用以下代碼來(lái)看看其長(zhǎng)度:
php -r "echo strlen(base64_decode('Hsrx102ek28d03B5dqgAv/'));"
可見結(jié)果為16刃滓,正是md5的摘要的長(zhǎng)度(hex后長(zhǎng)度為32)仁烹,這樣也能佐證這個(gè)哈希的加密方式為md5。
Salt
salt是此次哈希的鹽值咧虎,長(zhǎng)度是8位卓缰,超過8的后面的位數(shù)將不影響哈希的結(jié)果。
在正常情況下砰诵,進(jìn)行加密的時(shí)候征唬,這個(gè)鹽值是隨機(jī)字符串,所以說其實(shí)這個(gè)哈希:
$1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/
我們可以類比為
1ecaf1d74d9e936f1dd3707976a800bf:Dx1bONFt
這個(gè)值1ecaf1d74d9e936f1dd3707976a800bf也不是我胡編的茁彭,是將原h(huán)ash用base64解碼后再轉(zhuǎn)換為hex得到的总寒。
而實(shí)際上原h(huán)ash并不是base64編碼,只是用類似base64編碼的一種算法理肺。這里用base64舉例摄闸,具體算法后面會(huì)講到
所以很多同學(xué)一看到$1$xxx$abcdef這樣的密碼就懵逼了善镰,其實(shí)完全不必,你可就把他理解為abcdef:xxx年枕。
Password
password就是加密完成后得到的hash炫欺。
我這里給出其php實(shí)現(xiàn)的具體算法:
namespace Md5Crypt;
class Md5Crypt
{
static public $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';
// [a-zA-Z0-9./]
static protected function to64($v, $n)
{
$itoa64 = self::$itoa64;
$ret = '';
while(--$n >= 0) {
$ret .= $itoa64{$v & 0x3f};
$v = $v >> 6;
}
return $ret;
}
static public function apache($pw, $salt = NULL)
{
$Magic = '$apr1$';
return self::unix($pw, $salt, $Magic);
}
static public function unix($pw, $salt = NULL, $Magic = '$1$')
{
$itoa64 = self::$itoa64;
if($salt !== NULL) {
// Take care of the magic string if present
if(substr($salt, 0, strlen($Magic)) == $Magic) {
$salt = substr($salt, strlen($Magic), strlen($salt));
}
// Salt can have up to 8 characters
$parts = explode('$', $salt, 1);
$salt = substr($parts[0], 0, 8);
} else {
$salt = '';
mt_srand((double)(microtime() * 10000000));
while(strlen($salt) < 8) {
$salt .= $itoa64{mt_rand(0, strlen($itoa64)-1)};
}
}
$ctx = $pw . $Magic . $salt;
$final = pack('H*', md5($pw . $salt . $pw));
for ($pl = strlen($pw); $pl > 0; $pl -= 16) {
$ctx .= substr($final, 0, ($pl > 16) ? 16 : $pl);
}
// Now the 'weird' xform
for($i = strlen($pw); $i; $i >>= 1) {
if($i & 1) { // This comes from the original version,
$ctx .= pack("C", 0); // where a memset() is done to $final
} else { // before this loop
$ctx .= $pw{0};
}
}
$final = pack('H*', md5($ctx)); // The following is supposed to make
// things run slower
for($i = 0; $i < 1000; $i++) {
$ctx1 = '';
if($i & 1) {
$ctx1 .= $pw;
} else {
$ctx1 .= substr($final, 0, 16);
}
if($i % 3) {
$ctx1 .= $salt;
}
if($i % 7) {
$ctx1 .= $pw;
}
if($i & 1) {
$ctx1 .= substr($final, 0, 16);
} else {
$ctx1 .= $pw;
}
$final = pack('H*', md5($ctx1));
}
// Final xform
$passwd = '';
$passwd .= self::to64((intval(ord($final{0})) << 16)
|(intval(ord($final{6})) << 8)
|(intval(ord($final{12}))),4);
$passwd .= self::to64((intval(ord($final{1})) << 16)
|(intval(ord($final{7})) << 8)
|(intval(ord($final{13}))), 4);
$passwd .= self::to64((intval(ord($final{2})) << 16)
|(intval(ord($final{8})) << 8)
|(intval(ord($final{14}))), 4);
$passwd .= self::to64((intval(ord($final{3})) << 16)
|(intval(ord($final{9})) << 8)
|(intval(ord($final{15}))), 4);
$passwd .= self::to64((intval(ord($final{4}) << 16)
|(intval(ord($final{10})) << 8)
|(intval(ord($final{5})))), 4);
$passwd .= self::to64((intval(ord($final{11}))), 2);
// Return the final string
return $Magic . $salt . '$' . $passwd;
}
}
我們可以如下調(diào)用這個(gè)類,獲得"elon11:Dx1bONFt"的哈希:
include_once("php-crypt-md5/library/Md5Crypt/Md5Crypt.php");
$password = "elon11";
$salt = "Dx1bONFt";
echo \Md5Crypt\Md5Crypt::unix($password, $salt);
得到的結(jié)果其實(shí)就是最開始給出的目標(biāo)哈希 $1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/:
分析一下這個(gè)類熏兄,你會(huì)發(fā)現(xiàn)實(shí)際上它的核心算法是1002次循環(huán)md5品洛,中間再進(jìn)行一些截?cái)唷⒁莆坏冗^程霍弹。
在密碼學(xué)中毫别,對(duì)于防范哈希暴力破解的一種方式就是“密鑰延伸”娃弓,簡(jiǎn)單來(lái)說就是利用多次hash計(jì)算典格,來(lái)延長(zhǎng)暴力破解hash的時(shí)間,比如這里的1002次md5台丛,就等于將單次md5破解時(shí)間延長(zhǎng)了1002倍耍缴。
然而,在當(dāng)今的計(jì)算機(jī)速度下挽霉,1002次md5防嗡,其實(shí)速度也是秒速。我用hashcat嘗試破解上述hash侠坎,
7510個(gè)字典蚁趁,僅用1秒不到跑完,速度為18.28k/s实胸。
相對(duì)的他嫡,現(xiàn)代linux系統(tǒng)使用的hash方法為SHA-512(Unix),算法核心為sha512庐完,我們可以通過cat /etc/shadow來(lái)獲得之钢属,通過hashcat來(lái)跑:
速度明顯降下來(lái)了,只有656 words/s
前兩天爆出的Joomla注入门躯,獲取到的hash值使用的加密方法是Bcrypt + Blowfish 淆党。我們可以利用如下命令來(lái)跑這個(gè)密碼:
hashcat --hash-type=3200 --attack-mode=0 joomla.txt less.dict
可見,速度已經(jīng)降到45 words/s了讶凉,7510個(gè)密碼的字典需要跑2分半才能全部跑完染乌。足以見得joomla密碼的安全性。
不過懂讯,這卻不是最慢的荷憋,Minos(https://github.com/phith0n/Minos) 使用的也是Bcrypt + Blowfish,但我將其cost設(shè)置為12域醇。
cost在Blowfish算法中就是延緩其速度台谊,增加破解難度的選項(xiàng)蓉媳,如果將cost設(shè)置為12,生成的hash锅铅,破解起來(lái)速度可以降到10 words/s:
基本達(dá)到這樣的速度酪呻,就可以滿足安全需求了。這樣的話盐须,即使黑客拿到密碼的hash玩荠,跑一萬(wàn)個(gè)密碼的字典需要用16分鐘,極大地增加了密碼碰撞的難度贼邓。
開發(fā)與滲透中如何生成hash
那么阶冈,這些hash是怎么生成的呢?
我用php舉例說明塑径。
生成一個(gè)普通的unix(md5)女坑,直接用上面給出的源碼即可。當(dāng)然php也有自帶的方法可以辦到:
echo crypt("admin", '$1$12345678');
生成一個(gè)sha512(unix)
echo crypt("admin", '$6$12345678');
生成一個(gè)bcrypt+blowfish(cost=10默認(rèn))(joomla的加密方式)
echo password_hash("123123", CRYPT_BLOWFISH);
生成一個(gè)bcrypt+blowfish(cost=12)(minos的加密方式)
echo password_hash("123123", CRYPT_BLOWFISH, ["cost" => 12]);
在滲透過程中统舀,我們也可以直接用工具生成這類密碼匆骗。比如htpasswd工具,以下是生成密碼的一些方法:
