危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790818

击破MD5在线网站

MD5用的是哈希函数,在计算机网络中应用较多的不可逆加密算法有RSA公司发明的MD5算法和由美国国家技术标准研究所建议的安全散列算法SHA。对MD5算法简要的叙述可以为:MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。

MD5广泛用于操作系统的登陆认证上,如Unix、各类BSD系统登录密码、数字签名等诸多方面。如在UNIX系统中用户的密码是以MD5(或其它类似的算法)经Hash运算后存储在文件系统中。当用户登录的时候,系统把用户输入的密码进行MD5 Hash运算,然后再去和保存在文件系统中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这可以避免用户的密码被具有系统管理员权限的用户知道。MD5将任意长度的“字节串”映射为一个128bit的大整数,并且是通过该128bit反推原始字符串是困难的,换句话说就是,即使你看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点象不存在反函数的数学函数。所以,要遇到了md5密码的问题,比较好的办法是:你可以用这个系统中的md5()函数重新设一个密码,如admin,把生成的一串密码的Hash值覆盖原来的Hash值就行了。

正是因为这个原因,现在被网络安全爱好者使用最多的一种破译密码的方法就是一种爆破的方法,又被称为”跑字典”。有两种方法得到字典,一种是日常搜集的用做密码的字符串表,另一种是用排列组合方法生成的,先用MD5程序计算出这些字典项的MD5值,然后再用目标的MD5值在这个字典中检索。我们假设密码的最大长度为8位字节(8 Bytes),同时密码只能是字母和数字,共26+26+10=62个字符,排列组合出的字典的项数则是P(62,1)-i-P(62,2)...+P(62,8),那也已经是一个很天文的数字了,存储这个字典就需要TB级的磁盘阵列,而且这种方法还有一个前提,就是能获得目标账户的密码MD5值的情况下才可以。这种加密技术被广泛的应用于UNIX系统中,这也是为什么UNIX系统比一般操作系统更为坚固一个重要原因。所以我们就需要强大的字典库去查询MD5的Hash值得到加密前的密码,国内有众多出色的md5查询破解网站,其中最出色的网站便是md5了,而且这个站点还是兄弟站点,那么今天们危险漫步就来路过下它吧!

之前我一直在使用md5在线破解网站破解MD5 Hash,成功率是相当的高,即使有个别没有找到,他也会放到后台服务器里去分布式查询,这个效果非常的好,一般只要一天的时间就可以从后台服务器里查询出结果,不过这个服务是收费的,于是便有了到md5打酱油的想法。

国际惯例,先扫描一遍服务器漏洞吧。

由此看来服务器没啥漏洞,只好先旁注试试了。发现服务器上共有17个站。

发现一个.net的企业站www,这个站采用的是siteserver系统,嘿嘿,祭出传说中的0day,拿到了一个.net的WEBSHELL。

发现权限蛮严格的,不支持FSO和wscript.shell等危险组件。只好工具遍历下服务器文件夹,令我惊讶的是发现在D盘下的WWWROOT文件夹居然有写的权限,继续深入,发现一个名为xiangxia的文件夹,再深入又发现一个名为xiangxia.net的文件夹。于是,试着访问这个域名,可以打开,再用CMD执行下ping,发现指向59.54.54.8这个IP,果然放在这个服务器上,可能是管理员图一时之快放到这个不安全的地方,还是直接everyone。写个.net的马发现没权限,打开发现是discuz论坛系统,于是写了个PHP大马上去。可惜的是发现PHP权限比.net权限还要低,哎,情绪低落不少。然后,绞尽脑汁之后,想到一个非常猥琐的方法,嘿嘿,写了个PHP,读取MD5服务器的MAC地址。

查出了他的MAC是00:16:76:62:D5:FA,发现MD5服务器有两个IP,一个C段的内网IP是192.168.158.8。从C段开始渗透吧,扫描下了发现59.54.54.*同段IP很多空机。从59.54.54.9入手吧,旁注了下发现上面有12个站。

翻了半天找到了个搜索型的漏洞,不过不知道有什么系统在过滤,有些语句要替换大小写以后才能进去查询,直接搜索:1' anD 1=(SElect IS_MEMBER('sysadmin')),发现返回的内容和搜索关键字1返回的内容一样,说明这个搜索型的点是SA权限。

再次执行:1' anD 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE name= 'xp_cmdshell')-,也同样返回和1同样的内容,真是天助我也,xp_cmdshell没被管理干掉。接下来只要直接执行CMD加用户就行了,执行:1'and exec master..xp_cmdshell 'net user yzy$ joemjj/add'-和1'and exec master..xp_cmdshell 'net localgroup administrator yzy$/add'-,然后直接连接下,成功的连接上了该服务器的终端。

看上去这服务器很新,几乎都没有装什么软件,估计是刚上架的,于是我用pwdump7抓到了管理员的HASH。

我们得到管理员Admin/strator的的HASH是:3078E09A5C74E4ABCCF9155E3E7DB453:E99651893DA606CIC5EA93D9E878EE3C。接下来就是交给光速兔去爆破下就行了,不到半个小时他就把结果发来了。

把这台服务器的服务器IP和MAC改的和MD5服务器的设置一样,让他们起冲突,起冲突通常情况下,MD5的服务器管理员肯定认为密码被嗅探了,其实不然,这样是肯定嗅探不到的,因为机房路由做了IP与MAC绑定来防止ARP。通常情况下,服务器管理员会去重装系统,这时,真正强大的地方出现了,我们就要用到前面的机房服务器初始密码了。这个时候md5在线解密网站访问不了。

估计管理员很快就会做出反应,我只要不断去ping md5在线解密网站就行了。过了1个多小时,再次去ping md5的服务器,这个时候成功ping通了,看来管理员已经重装完了系统,这个时候要速度地用之前HASH得到的密码登录服务器,果然和之前想的没有错,默认的系统密码是enkjidc123,登录成功了。

既然拿到了服务器,到这里本次打酱油就结束了,通过配置文件发现md5在线解密网站的数据量是非常可观的,在同个内网里有26台服务器是属于md5的数据库服务器,不过这些服务器有没有渗透下来,这些都是后话了。

相关推荐