在检查代理服务器的审核日志时,我看到大量的登录POST,其中包含有关用户名或密码的信息,这些信息看起来像是Base64编码的。这显然来自某种恶意软件活动,因为流量显示任何成功的登录都会导致论坛垃圾邮件,但这不是问题的焦点。
看看这些真实的例子(减去用户名,以保护无辜者):
2012-07-07 15:04:49,741 POST数据(bitstudyclub.org): 用户名=匿名&安培;的密码= kc1ahpXXE &安培;记住= YES&安培;提交=登录&安培;行动= do_login&安培; URL =
2012-07-07 15:06:52,081 POST数据(www.vampirediaries.org): 用户名=匿名&安培;的密码= KDbcZ75fg &安培;记住= YES&安培;提交=登录&安培;行动= do_login&安培; URL =
2012-07-07 15:08:37,983 POST数据(www.missionmountain.com): XID = 52ee69654fddd13d2a0323c95eaca5c7b736bdd8& ACT = 9& FROM = forum& mbase = http:
%2F%2Fwww.missionmountain.com%2Findex.php%2Fforums%2Fmember2%2F& board_id = 1& RET = http:%2F%2Fwww.missionmountain.com%2Findex.php%2Fforums%2F& site_id = 1&username = ANONYMIZED& auto_login = 1& password = yn2b4ne9VC & submit =登录2012-07-07 15:19:47,476 POST数据(www.diecutdesigner.com): 用户名=匿名&安培;密码= 8zcs13hzYH &安培;记住= YES&安培;提交=登录&安培;行动= do_login&安培; URL =
2012-07-07 15:20:36,729 POST数据(classjuice.com): 用户名=匿名&安培;密码= 8zcs13hzYH &安培;记住= YES&安培;提交=登录&安培;行动= do_login&安培; URL =
2012-07-07 15:20:43,866 POST数据(wodrpg.com): 用户名=匿名&安培;密码= 8zcs13hzYH &安培;记住= YES&安培;提交=登录&安培;行动= do_login&安培; URL =
在一遍又一遍地看到这种事之后,我的问题就变成了如何找出看起来像Base64的“密码”字符串的编码?如果这些字符串是实际的(看起来像MD5 / SHA1)哈希,似乎可以通过检查彩虹表来尝试恢复明文,但我不认为从“我有一个随机的非十六进制”的角度来看string“to”以下是我所知道的(x)是从中派生随机字符串的哈希值。“
如何将POST条目(如上所述)中的“密码”字符串识别为给定编码,然后将它们转换回实际密码哈希值?
答案 0 :(得分:0)
他们可能不是哈希。它们是随机字符串。
如果它们是Base64编码的,它们将具有不同的长度(它可以被4整除)。
所以可能这些尝试登录垃圾邮件发送者之前创建的帐户(或者相信他们之前创建的帐户)?
HTTP表单通常以 plaintext 提交密码,这就是您应该使用https的原因。