专家讲解：Md5（base64）加密与解密实战

转自 http://sec.chinabyte.com/153/11099653.shtml

[导读]在对某一个CMS系统进行安全检测时，通过注入点获取其管理员表中的管理员和密码数据，但由于不知道该密码数据采用何种加密方式，虽然知道CMS系统管理后台，但苦于没有破解管理员的密码，因此无法登录系统。通过研究终于掌握了Md5(base64)加密原理和解密原理，因此才有本文。

　　在对某一个CMS系统进行安全检测时，通过注入点获取其管理员表中的管理员和密码数据，但由于不知道该密码数据采用何种加密方式，虽然知道CMS系统管理后台，但苦于没有破解管理员的密码，因此无法登录系统。通过研究终于掌握了Md5(base64)加密原理和解密原理，因此才有本文。

　　Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一，在发送电子邮件时，服务器认证的用户名和密码需要用Base64编码，附件也需要用Base64编码。Base64要求把每三个8Bit的字节转换为四个6Bit的字节(3*8
= 4*6 = 24)，然后把6Bit再添两位高位0，组成四个8Bit的字节，也就是说，转换后的字符串理论上将比原来的长1/3。

　　md5的全称是message-digest algorithm 5(信息-摘要算法)，在90年代初由mit laboratory for computer science和rsa data security inc的ronald l. rivest开发出来，经md2、md3和md4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”成一种保密的格式(就是把一个任意长度的字节串变换成一定长的大整数)。

　　(一)md5(dbase64)密码

　　md5(dbase64)加密后的字符串长度为24位，最末尾有两个“=”好，在字符串中有数字字母大小写混在一起，如图1所示，三个用户以及其加密后的密码字符串。md5(dbase64)这种加密方式在asp.net等CMS环境中会经常碰到。



图1
md5(dbase64)密码

　　(二)从Google寻找破解之路

　　直接在Google上面对“md5(dbase64)加解密”进行搜索，一共约六条记录，如图2所示，而且从搜索结果来看，除了求助外，根本就没有md5(dbase64)的加密和解密方法，从网络来解决问题看来是不行了。



图2 Google搜索结果

　　(三)自己动手丰衣足食——寻求解密方法

　　1.生成Hash值

　　以前曾经写过一篇Windows下面有关hash破解的文章，在InsidePro网站提供了在线Hash破解(http://hash.insidepro.com/)和在线生成各种Hash值，其在线生成Hash值网站地址为：http://www.insidepro.com/hashes.php?lang=eng，打开后如图3所示。在password中输入“author”，然后单击“Generate”按钮直接生成各种Hash值。



图3
生成各种Hash值

　　2.比对Hash值和加密密码值

　　在http://www.insidepro.com/hashes.php?lang=eng生成Hash值后的页面中拖动滚动条，一个个的进行对照，通过比对在Base64加密中有一个明显的特征，即加密字符串最后面一般都有等号。从中截取部分author的加密值如下：

　　Haval128(Base64):1xehfrgfAcMYLCdLcYiDlg==

　　Haval160(Base64):JPfaQRoHY0v/EJnXN9iKd9MfdbE=

　　MD2(Base64):d+K74ta9Vhbr4yuKzfCAZQ==

　　MD4(Base64):QPRz/CVV3O9EVOA/iCaOwA==

　　MD5(Base64):Ar2S+qOKqmzA6nXlmTeh7w==

　　“MD5(Base64):Ar2S+qOKqmzA6nXlmTeh7w==”跟图1中的加密值一致，如图4所示，验证了该加密方式就是MD5(Base64)加密。



图4 找到加密方式

　　3.寻找破解方式

　　(1)添加Hash值

　　从http://www.insidepro.com/eng/passwordspro.shtml页面上我了解到passwordspro可以破解MD5(Base64)加密方式，但无法从该网站直接下载passwordspro，老外都是收钱的，呵呵，到国内的一些下载网站下载passwordsprov2.5.3.0，然后运行该程序，右键单击后选择Add，如图5所示，添加一个Hash进行破解，在Hash值中输入“MD5(Base64):Ar2S+qOKqmzA6nXlmTeh7w==”，完毕后单击“Add”按钮完成Hash值的添加。



图5 添加破解Hash值

　　(2)执行暴力破解

　　单击三角形按钮，运行破解，如图6所示，选择暴力破解，在passwordsprov2.5.3.0中还有其它的破解方式，如图7所示，还有“Preliminary Attack”，“Mask Attack”，“Simple Dictionary Attack”，“Combined Dictionary Attack”，“Hybrid Dictionary Attack”和“Rainbow Attack”六种破解方式。



　图6 暴力破解md5(base64)密码



图7多种破解方式

　　(3)破解成功

　　暴力破解方式太耗费时间，后面选择了“Simple Dictionary Attack”(简单字典攻击)，由于密码在字典中，所以很快就破解出来了，如图8所示，值得一提的是在InsidePro 官方网站提供了74个字典文件下载(http://www.insidepro.com/eng/download.shtml)，喜欢的朋友可以自己去下载。在实际过程中这些字典仍然不够，有些密码设置往往超乎想象的复杂，除非有完整的彩虹表，否则暴力和字典破解的时间将非常漫长。



　图8 使用字典破解成功

　　(四)探寻md5(base64)的其它破解方式

　　1.base64解码

　　网上有很多工具可以对base64编码进行解码，我先后找了两款，一款是可以在linux和windows下运行的base64工具，其下载地址为http://www.fourmilab.ch/webtools/base64/，下载完毕后可以直接运行，其运行命令为“base64
–decode base64.b64 base64.tmp”，参数“—decode”或者“-d”表示解码，“--encode”或者“-e”表示base64编码。“base64.b64”是base64编码后的文件，“base64.tmp”是解码后生成的文件。在该工具目录下还有一个bat文件，用来批处理解码，如图10所示。



　图9 base64解码工具



　图10
执行解码批处理文件

　　2.编辑解码文件

　　将md5(base64)加密后的密码值“Ar2S+qOKqmzA6nXlmTeh7w==”复制到base64.b64文件中，如图11所示。



图11 编辑解码文件

　　3.查看解码后的文件

　　使用UltraEdit-32编辑器打开“base64.tmp”文件，如图12所示，在“base64.tmp”文件中显示为乱码。关于这点我也很是奇怪，后面通过其它一些base64解码工具进行解码，其正常显示结果仍然为乱码。



图12 查看解码后的文件

　　4.获取base64解码后的md5值

　　在UltraEdit-32编辑器中，直接以二进制方式打开解码后的文件base64.tmp，如图13所示，将其中的二进制编码进行整理，其结果为“02BD92FAA38AAA6CC0EA75E59937A1EF”一共32位，这个跟md5加密后的值有点像哦!将这个值复制到www.cmd5.com网站进行解密，如图14所示，结果显示为“author”。



图13
获取二进制的值



　图14 md5解密

　　5.md5(base64)加密原理

　　后面通过在线生成Hash值(http://www.insidepro.com/hashes.php?lang=eng)然后按照上面的步骤重新进行测试，结果跟上面的测试吻合。因此我们可以推测出md5(base64)加密解密方法。

　　(1)md5(base64)加密原理

　　(a)首先对字符串进行md5加密 md5(string)

　　(b) 然后对md5加密后的字符串进行base64编码

　　(1)md5(base64)解密原理

　　(a)首先对md5(base64)进行base64解码

　　(b)对base64解码后的值通过二进制方式进行读取，其结果应该为32位字符串

　　(c)对获取的32位字符串进行md5解密。

　　(五)总结

　　在信息安全的领域，只有想不到的，没有做不到的，只要努力、坚持和不断尝试，终究会有所收获。通过对md5(base64)加密和解密原理的研究，最终成功获取了该CMS系统的Webshell，如图15所示，还是孙总说的对，网络攻防的最终就是技术的对抗!



　图15
成功获取该系统的Webshell