问题直截了当,下面有更多解释 - 是否有一种合理的方法来解密最新更新的Wordpress密码哈希,即使它可能需要一段时间才能解码?
我们目前有一个完整的数据库备份,如果需要的话我们可以免费使用,我只是不确定起点。我们有hashcat可用,但我不确定应该使用哪些变量。如果需要,我们可以在很长一段时间内运行破解。我知道MD5曾经被破解了一段时间,所以如果我们掌握了所有可用的数据库信息,我想知道新的phpass是否可以破解。非常感谢任何洞察力或者指向我们可以研究的适当方向或资源的指针。
答案 0 :(得分:1)
我知道MD5在一段时间内被破解了所以我想知道如果我们掌握了所有数据库信息,新的phpass是否可以破解。
这是不正确的。 MD5尚未“破解”,但现在可以如此快速地处理,以便可以非常快速地找到解决方案值(或重复)。这与“ crack ”不同,后者是用于创建密文/散列的过程的数学逆转。
因为MD5现在可以如此快速地处理,并且因为它总是从相同的输入产生相同的结果,所以有一些称为“彩虹表”的东西通过关联存储明文和md5哈希所以使它成为容易进入一个,找出另一个。 See more here
那说,解释一下:我们手上的情况非常奇怪。我最近接触过一家企业,他认为网络开发人员显然也是白帽子。长话短说,三个月前唯一可以访问该公司网站的人在车祸中去世了。服务器访问,wordpress访问,整个九码 - 他是唯一一个有访问权限的人,他留下零注释。从那以后,该公司没有对该网站做过任何事情,但显然上周该网站被利用,现在转发到一个色情网站,目前正在谋杀他们的声誉。我们已与主机联系,他们无法做任何事情,因为我们目前没有已故的验证信息......所以我们陷入困境。我们已与主机管理层联系并提交了相应的文件,但他们表示可能需要3-4周才能得到答复。就是这样。
这听起来像完全垃圾。
这里有各种各样的声音听起来非常可疑。没有服务器只能由一个人访问,除非它们是自己的PC坐在他们的起居室或车库等,正确维护和管理的系统(因为这似乎是通过参考托管公司等)将访问托管管理可用的根级别(可能是较低级别)。通常,网站开发人员和厨师之间有5-6个访问级别,如果需要访问最终用户帐户的大多数部分,他们都可以访问。
人们一直在死。这不是因为某人去世而沉没服务器帐户的理由。将法律文件从法律专业人员发送到托管公司,解释并显示帐户持有人已过期并要求转帐。
这可能需要一些时间,具体取决于公司的规模以及企业是否愿意支付此项工作的费用。
如果服务器主机出现问题,您还可以向DNS权限/公司申请删除域名,并将其重定向到另一个主机的其他帐户。对于网络域访问者来说,这几乎是无用的。
我再说一遍,这个问题的各个方面听起来最好是可疑的,最糟糕的只是虚构。
答案 1 :(得分:1)
如果您有权访问数据库并且您知道它是一个WordPress网站,您可以安全地创建一个新的wordpress安装,与您当前运行的版本相同,创建一个具有已知密码的帐户,然后复制这些数据库字段进入当前运行的DB。然后,简单地说,使用散列凭据和管理员权限登录并进行适当的更改。
WILD GUESS,但stackoverflow不会为您解密PHP的密码哈希并在此处发布。