看到t00ls上有同学在问这个问题: https://www.t00ls.net/thread-31914-1-1.html
里面有说到通过注入拿到网站的密码,加密方式是md5(unix),破解不了于是很尴尬。我们通过他文中给出的hash入手,来分析一下unix(md5)的原理与破解方法。
目标hash:$1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/
实际上,我们要先明白一点。无论是何种哈希,说到底是摘要算法,是将任意长度的任意字节对应成固定长度的一段字节。
这段摘要字节因为包含很多不易显示的字符,所以人们通常使用hex或者base64等类似方法将它转换成可见字符显示出来。
所以这个hash也一样,我们用$
将hash切割成三部分:”1“、”Dx1bONFt“、”Hsrx102ek28d03B5dqgAv/“ ,给这三部分分别起个名字:magic、salt、password。
其中password实际上就是哈希完成后的字符串,再通过类似base64的算法转换成了可见字符串。
Magic
magic是表明这一段哈希是通过什么算法得到的,对应关系如下:
$0 = DES $1 = MD5 $2a(2y) = Blowfish $5 = SHA-256 $6 = SHA-512
目标hash的magic==1,说明是md5加密。
当然内部实现不会是单纯单次md5,但总体来说是以MD5为hash函数,通过多次计算得到的最终值。
类似,这个是sha-256的哈希(明文 admin):$5$DnnkiE71Scb5$lHT.SBfgQKoiTi8cF.cbuxlZ9ZBVFG8CGDxh8CpgPe8
这个是sha-512的哈希(明文 admin):$6$I7iRFjXdW9rZA2$/4WJ35KCqtrfc3BFmoargIm8WiKhY5cSBuJIb7ItjO0I7Dj99ZVIPZ3fgKvxaDgZqrWNWwL5aSVwQUkd8D7LT0
对比发现,magic值确实不同。除了通过magic来判断密文的加密方式以外,通过哈希的长度也可以判断。比如原哈希Hsrx102ek28d03B5dqgAv/,我们可以用以下代码来看看其长度:
php -r "echo strlen(base64_decode('Hsrx102ek28d03B5dqgAv/'));"
可见结果为16,正是md5的摘要的长度(hex后长度为32),这样也能佐证这个哈希的加密方式为md5。
Salt
salt是此次哈希的盐值,长度是8位,超过8的后面的位数将不影响哈希的结果。
在正常情况下,进行加密的时候,这个盐值是随机字符串,所以说其实这个哈希:$1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/
我们可以类比为1ecaf1d74d9e936f1dd3707976a800bf:Dx1bONFt
这个值1ecaf1d74d9e936f1dd3707976a800bf也不是我胡编的,是将原hash用base64解码后再转换为hex得到的。
而实际上原hash并不是base64编码,只是用类似base64编码的一种算法。这里用base64举例,具体算法后面会讲到
所以很多同学一看到$1$xxx$abcdef
这样的密码就懵逼了,其实完全不必,你可就把他理解为abcdef:xxx。
Password
password就是加密完成后得到的hash。
我这里给出其php实现的具体算法:
<?php namespace Md5Crypt; class Md5Crypt { static public $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'; // [a-zA-Z0-9./] static protected function to64($v, $n) { $itoa64 = self::$itoa64; $ret = ''; while(--$n >= 0) { $ret .= $itoa64{$v & 0x3f}; $v = $v >> 6; } return $ret; } static public function apache($pw, $salt = NULL) { $Magic = '$apr1$'; return self::unix($pw, $salt, $Magic); } static public function unix($pw, $salt = NULL, $Magic = '$1$') { $itoa64 = self::$itoa64; if($salt !== NULL) { // Take care of the magic string if present if(substr($salt, 0, strlen($Magic)) == $Magic) { $salt = substr($salt, strlen($Magic), strlen($salt)); } // Salt can have up to 8 characters $parts = explode('$', $salt, 1); $salt = substr($parts[0], 0, 8); } else { $salt = ''; mt_srand((double)(microtime() * 10000000)); while(strlen($salt) < 8) { $salt .= $itoa64{mt_rand(0, strlen($itoa64)-1)}; } } $ctx = $pw . $Magic . $salt; $final = pack('H*', md5($pw . $salt . $pw)); for ($pl = strlen($pw); $pl > 0; $pl -= 16) { $ctx .= substr($final, 0, ($pl > 16) ? 16 : $pl); } // Now the 'weird' xform for($i = strlen($pw); $i; $i >>= 1) { if($i & 1) { // This comes from the original version, $ctx .= pack("C", 0); // where a memset() is done to $final } else { // before this loop $ctx .= $pw{0}; } } $final = pack('H*', md5($ctx)); // The following is supposed to make // things run slower for($i = 0; $i < 1000; $i++) { $ctx1 = ''; if($i & 1) { $ctx1 .= $pw; } else { $ctx1 .= substr($final, 0, 16); } if($i % 3) { $ctx1 .= $salt; } if($i % 7) { $ctx1 .= $pw; } if($i & 1) { $ctx1 .= substr($final, 0, 16); } else { $ctx1 .= $pw; } $final = pack('H*', md5($ctx1)); } // Final xform $passwd = ''; $passwd .= self::to64((intval(ord($final{0})) << 16) |(intval(ord($final{6})) << 8) |(intval(ord($final{12}))),4); $passwd .= self::to64((intval(ord($final{1})) << 16) |(intval(ord($final{7})) << 8) |(intval(ord($final{13}))), 4); $passwd .= self::to64((intval(ord($final{2})) << 16) |(intval(ord($final{8})) << 8) |(intval(ord($final{14}))), 4); $passwd .= self::to64((intval(ord($final{3})) << 16) |(intval(ord($final{9})) << 8) |(intval(ord($final{15}))), 4); $passwd .= self::to64((intval(ord($final{4}) << 16) |(intval(ord($final{10})) << 8) |(intval(ord($final{5})))), 4); $passwd .= self::to64((intval(ord($final{11}))), 2); // Return the final string return $Magic . $salt . '$' . $passwd; } }
我们可以如下调用这个类,获得elon11:Dx1bONFt
的哈希:
<?php include_once("php-crypt-md5/library/Md5Crypt/Md5Crypt.php"); $password = "elon11"; $salt = "Dx1bONFt"; echo \Md5Crypt\Md5Crypt::unix($password, $salt);
得到的结果其实就是最开始给出的目标哈希 $1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/
:
分析一下这个类,你会发现实际上它的核心算法是1002次循环md5,中间再进行一些截断、移位等过程。
在密码学中,对于防范哈希暴力破解的一种方式就是“密钥延伸”,简单来说就是利用多次hash计算,来延长暴力破解hash的时间,比如这里的1002次md5,就等于将单次md5破解时间延长了1002倍。
然而,在当今的计算机速度下,1002次md5,其实速度也是秒速。我用hashcat尝试破解上述hash,
7510个字典,仅用1秒不到跑完,速度为18.28k/s。
相对的,现代linux系统使用的hash方法为SHA-512(Unix),算法核心为sha512,我们可以通过cat /etc/shadow
来获得之,通过hashcat来跑:
速度明显降下来了,只有656 words/s
前两天爆出的Joomla注入,获取到的hash值使用的加密方法是Bcrypt + Blowfish 。我们可以利用如下命令来跑这个密码:
hashcat --hash-type=3200 --attack-mode=0 joomla.txt less.dict
可见,速度已经降到45 words/s了,7510个密码的字典需要跑2分半才能全部跑完。足以见得joomla密码的安全性。
不过,这却不是最慢的,Minos(https://github.com/phith0n/Minos) 使用的也是Bcrypt + Blowfish,但我将其cost设置为12。
cost在Blowfish算法中就是延缓其速度,增加破解难度的选项,如果将cost设置为12,生成的hash,破解起来速度可以降到10 words/s:
基本达到这样的速度,就可以满足安全需求了。这样的话,即使黑客拿到密码的hash,跑一万个密码的字典需要用16分钟,极大地增加了密码碰撞的难度。
开发与渗透中如何生成hash
那么,这些hash是怎么生成的呢?
我用php举例说明。
生成一个普通的unix(md5),直接用上面给出的源码即可。当然php也有自带的方法可以办到:
echo crypt("admin", '$1$12345678');
生成一个sha512(unix)
echo crypt("admin", '$6$12345678');
生成一个bcrypt+blowfish(cost=10默认)(joomla的加密方式)
echo password_hash("123123", CRYPT_BLOWFISH);
生成一个bcrypt+blowfish(cost=12)(minos的加密方式)
echo password_hash("123123", CRYPT_BLOWFISH, ["cost" => 12]);
在渗透过程中,我们也可以直接用工具生成这类密码。比如htpasswd工具,以下是生成密码的一些方法: