看到t00ls上有同學在問這個問題: https://www.t00ls.net/thread-31914-1-1.html
里面有說到通過注入拿到網站的密碼，加密方式是md5(unix)，破解不了于是很尷尬。我們通過他文中給出的hash入手，來分析一下unix(md5)的原理與破解方法。

目標hash：
$1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/

實際上，我們要先明白一點。無論是何種哈希，說到底是摘要算法，是將任意長度的任意字節(jié)對應成固定長度的一段字節(jié)。
這段摘要字節(jié)因為包含很多不易顯示的字符，所以人們通常使用hex或者base64等類似方法將它轉換成可見字符顯示出來。
所以這個hash也一樣，我們用$將hash切割成三部分：”1“、”Dx1bONFt“、”Hsrx102ek28d03B5dqgAv/“ ，給這三部分分別起個名字：magic、salt、password。
其中password實際上就是哈希完成后的字符串，再通過類似base64的算法轉換成了可見字符串。

Magic

magic是表明這一段哈希是通過什么算法得到的，對應關系如下：

$0 = DES
$1 = MD5
$2a(2y) = Blowfish
$5 = SHA-256
$6 = SHA-512

目標hash的magic==1，說明是md5加密。
當然內部實現(xiàn)不會是單純單次md5，但總體來說是以MD5為hash函數(shù)，通過多次計算得到的最終值。

類似，這個是sha-256的哈希(明文 admin)：
$5$DnnkiE71Scb5$lHT.SBfgQKoiTi8cF.cbuxlZ9ZBVFG8CGDxh8CpgPe8
這個是sha-512的哈希(明文 admin)：
$6$I7iRFjXdW9rZA2$/4WJ35KCqtrfc3BFmoargIm8WiKhY5cSBuJIb7ItjO0I7Dj99ZVIPZ3fgKvxaDgZqrWNWwL5aSVwQUkd8D7LT0

對比發(fā)現(xiàn)，magic值確實不同。除了通過magic來判斷密文的加密方式以外，通過哈希的長度也可以判斷。比如原哈希Hsrx102ek28d03B5dqgAv/，我們可以用以下代碼來看看其長度:

php -r "echo strlen(base64_decode('Hsrx102ek28d03B5dqgAv/'));"

Paste_Image.png

可見結果為16，正是md5的摘要的長度（hex后長度為32），這樣也能佐證這個哈希的加密方式為md5。

Salt

salt是此次哈希的鹽值，長度是8位，超過8的后面的位數(shù)將不影響哈希的結果。
在正常情況下，進行加密的時候，這個鹽值是隨機字符串，所以說其實這個哈希：
$1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/
我們可以類比為
1ecaf1d74d9e936f1dd3707976a800bf:Dx1bONFt

這個值1ecaf1d74d9e936f1dd3707976a800bf也不是我胡編的，是將原h(huán)ash用base64解碼后再轉換為hex得到的。
而實際上原h(huán)ash并不是base64編碼，只是用類似base64編碼的一種算法。這里用base64舉例，具體算法后面會講到

所以很多同學一看到$1$xxx$abcdef這樣的密碼就懵逼了，其實完全不必，你可就把他理解為abcdef:xxx。

Password

password就是加密完成后得到的hash。
我這里給出其php實現(xiàn)的具體算法：

namespace Md5Crypt;
class Md5Crypt 
{
    static public $itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'; 
            // [a-zA-Z0-9./]
    
    static protected function to64($v, $n) 
    {
        $itoa64 = self::$itoa64;
        $ret = '';
        
        while(--$n >= 0) {
            $ret .= $itoa64{$v & 0x3f};   
            $v = $v >> 6;
        }
        return $ret;
    }
    
    static public function apache($pw, $salt = NULL) 
    {
        $Magic = '$apr1$';
        
        return self::unix($pw, $salt, $Magic);
    }
    
    static public function unix($pw, $salt = NULL, $Magic = '$1$') 
    {
        $itoa64 = self::$itoa64;
        
        if($salt !== NULL) {
            // Take care of the magic string if present
            if(substr($salt, 0, strlen($Magic)) == $Magic) {
                $salt = substr($salt, strlen($Magic), strlen($salt));
            }
            // Salt can have up to 8 characters
            $parts = explode('$', $salt, 1);
            $salt = substr($parts[0], 0, 8);
        } else {
            $salt = '';
            mt_srand((double)(microtime() * 10000000));
            
            while(strlen($salt) < 8) {
                $salt .= $itoa64{mt_rand(0, strlen($itoa64)-1)};
            }
        }
        
        $ctx = $pw . $Magic . $salt;
        
        $final = pack('H*', md5($pw . $salt . $pw));
        
        for ($pl = strlen($pw); $pl > 0; $pl -= 16) {
           $ctx .= substr($final, 0, ($pl > 16) ? 16 : $pl);
        }
            
        // Now the 'weird' xform
        for($i = strlen($pw); $i; $i >>= 1) {   
            if($i & 1) {                // This comes from the original version,
                $ctx .= pack("C", 0);   // where a memset() is done to $final
            } else {                    // before this loop
                $ctx .= $pw{0};
            }
        }
        
        $final = pack('H*', md5($ctx)); // The following is supposed to make
                                        // things run slower
        
        for($i = 0; $i < 1000; $i++) {
            $ctx1 = '';
            if($i & 1) {
                $ctx1 .= $pw;
            } else {
                $ctx1 .= substr($final, 0, 16);
            }
            if($i % 3) {
                $ctx1 .= $salt;
            }
            if($i % 7) {
                $ctx1 .= $pw;
            }
            if($i & 1) {
                $ctx1 .= substr($final, 0, 16);
            } else {
                $ctx1 .= $pw;
            }
            $final = pack('H*', md5($ctx1));
        }
        
        // Final xform
        $passwd = '';
        $passwd .= self::to64((intval(ord($final{0})) << 16)
                        |(intval(ord($final{6})) << 8)
                        |(intval(ord($final{12}))),4);
        $passwd .= self::to64((intval(ord($final{1})) << 16)
                        |(intval(ord($final{7})) << 8)
                        |(intval(ord($final{13}))), 4);
        $passwd .= self::to64((intval(ord($final{2})) << 16)
                        |(intval(ord($final{8})) << 8)
                        |(intval(ord($final{14}))), 4);
        $passwd .= self::to64((intval(ord($final{3})) << 16)
                        |(intval(ord($final{9})) << 8)
                        |(intval(ord($final{15}))), 4);
        $passwd .= self::to64((intval(ord($final{4}) << 16)
                        |(intval(ord($final{10})) << 8)
                        |(intval(ord($final{5})))), 4);
        $passwd .= self::to64((intval(ord($final{11}))), 2);
        
        // Return the final string
        return $Magic . $salt . '$' . $passwd;
    }
}

我們可以如下調用這個類，獲得"elon11:Dx1bONFt"的哈希：

include_once("php-crypt-md5/library/Md5Crypt/Md5Crypt.php");

$password = "elon11";
$salt = "Dx1bONFt";

echo \Md5Crypt\Md5Crypt::unix($password, $salt);

得到的結果其實就是最開始給出的目標哈希 $1$Dx1bONFt$Hsrx102ek28d03B5dqgAv/：

分析一下這個類，你會發(fā)現(xiàn)實際上它的核心算法是1002次循環(huán)md5，中間再進行一些截斷、移位等過程。
在密碼學中，對于防范哈希暴力破解的一種方式就是“密鑰延伸”，簡單來說就是利用多次hash計算，來延長暴力破解hash的時間，比如這里的1002次md5，就等于將單次md5破解時間延長了1002倍。
然而，在當今的計算機速度下，1002次md5，其實速度也是秒速。我用hashcat嘗試破解上述hash，

7510個字典，僅用1秒不到跑完，速度為18.28k/s。
相對的，現(xiàn)代linux系統(tǒng)使用的hash方法為SHA-512(Unix)，算法核心為sha512，我們可以通過cat /etc/shadow來獲得之，通過hashcat來跑：

速度明顯降下來了，只有656 words/s
前兩天爆出的Joomla注入，獲取到的hash值使用的加密方法是Bcrypt + Blowfish 。我們可以利用如下命令來跑這個密碼：

hashcat --hash-type=3200 --attack-mode=0 joomla.txt less.dict

可見，速度已經降到45 words/s了，7510個密碼的字典需要跑2分半才能全部跑完。足以見得joomla密碼的安全性。
不過，這卻不是最慢的，Minos(https://github.com/phith0n/Minos) 使用的也是Bcrypt + Blowfish，但我將其cost設置為12。
cost在Blowfish算法中就是延緩其速度，增加破解難度的選項，如果將cost設置為12，生成的hash，破解起來速度可以降到10 words/s:

基本達到這樣的速度，就可以滿足安全需求了。這樣的話，即使黑客拿到密碼的hash，跑一萬個密碼的字典需要用16分鐘，極大地增加了密碼碰撞的難度。

開發(fā)與滲透中如何生成hash

那么，這些hash是怎么生成的呢？
我用php舉例說明。
生成一個普通的unix(md5)，直接用上面給出的源碼即可。當然php也有自帶的方法可以辦到：

echo crypt("admin", '$1$12345678');

生成一個sha512(unix)

echo crypt("admin", '$6$12345678');

生成一個bcrypt+blowfish(cost=10默認)(joomla的加密方式)

echo password_hash("123123", CRYPT_BLOWFISH);

生成一個bcrypt+blowfish(cost=12)(minos的加密方式)

echo password_hash("123123", CRYPT_BLOWFISH, ["cost" => 12]);

在滲透過程中，我們也可以直接用工具生成這類密碼。比如htpasswd工具，以下是生成密碼的一些方法：