Md5（base64）加密与解密实战

在对某一个CMS系统进行安全检测时，通过注入点获取其管理员表中的管理员和密码数据，但由于不知道该密码数据采用何种加密方式，虽然知道CMS系统管理后台，但苦于没有破解管理员的密码，因此无法登录系统。通过研究终于掌握了Md5（base64）加密原理和解密原理，因此才有本文。

Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一，在发送电子邮件时，服务器认证的用户名和密码需要用Base64编码，附件也需要用Base64编码。Base64要求把每三个8Bit的字节转换为四个6Bit的字节（3*8 = 4*6 = 24），然后把6Bit再添两位高位0，组成四个8Bit的字节，也就是说，转换后的字符串理论上将比原来的长1/3。

md5的全称是message-digest algorithm 5（信息-摘要算法），在90年代初由mit laboratory for computer science和rsa data security inc的ronald l. rivest开发出来，经md2、md3和md4发展而来。它的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”成一种保密的格式（就是把一个任意长度的字节串变换成一定长的大整数）。

（一）md5（dbase64）密码

md5（dbase64）加密后的字符串长度为24位，最末尾有两个“＝”好，在字符串中有数字字母大小写混在一起，如图1所示，三个用户以及其加密后的密码字符串。md5（dbase64）这种加密方式在asp.net等CMS环境中会经常碰到。

图1 md5（dbase64）密码
这里写图片描述

（二）从Google寻找破解之路

直接在Google上面对“md5（dbase64）加解密”进行搜索，一共约六条记录，如图2所示，而且从搜索结果来看，除了求助外，根本就没有md5（dbase64）的加密和解密方法，从网络来解决问题看来是不行了。

图2 Google搜索结果
这里写图片描述

（三）自己动手丰衣足食——寻求解密方法

1.生成Hash值

以前曾经写过一篇Windows下面有关hash破解的文章，在InsidePro网站提供了在线Hash破解（http://hash.insidepro.com/）和在线生成各种Hash值，其在线生成Hash值网站地址为：http://www.insidepro.com/hashes.php?lang=eng，打开后如图3所示。在password中输入“author”，然后单击“Generate”按钮直接生成各种Hash值。

图3 生成各种Hash值
这里写图片描述

2.比对Hash值和加密密码值

在http://www.insidepro.com/hashes.php?lang=eng生成Hash值后的页面中拖动滚动条，一个个的进行对照，通过比对在Base64加密中有一个明显的特征，即加密字符串最后面一般都有等号。从中截取部分author的加密值如下：

Haval128(Base64):1xehfrgfAcMYLCdLcYiDlg==

Haval160(Base64):JPfaQRoHY0v/EJnXN9iKd9MfdbE=

MD2(Base64):d+K74ta9Vhbr4yuKzfCAZQ==

MD4(Base64):QPRz/CVV3O9EVOA/iCaOwA==

MD5(Base64):Ar2S+qOKqmzA6nXlmTeh7w==

“MD5(Base64):Ar2S+qOKqmzA6nXlmTeh7w==”跟图1中的加密值一致，如图4所示，验证了该加密方式就是MD5(Base64)加密。
图4 找到加密方式
这里写图片描述

3.寻找破解方式

（1）添加Hash值

从http://www.insidepro.com/eng/passwordspro.shtml页面上我了解到passwordspro可以破解MD5(Base64)加密方式，但无法从该网站直接下载passwordspro，老外都是收钱的，呵呵，到国内的一些下载网站下载passwordsprov2.5.3.0，然后运行该程序，右键单击后选择Add，如图5所示，添加一个Hash进行破解，在Hash值中输入“MD5(Base64):Ar2S+qOKqmzA6nXlmTeh7w==”，完毕后单击“Add”按钮完成Hash值的添加。

图5 添加破解Hash值
这里写图片描述

（2）执行暴力破解

单击三角形按钮，运行破解，如图6所示，选择暴力破解，在passwordsprov2.5.3.0中还有其它的破解方式，如图7所示，还有“Preliminary Attack”，“Mask Attack”，“Simple Dictionary Attack”，“Combined Dictionary Attack”，“Hybrid Dictionary Attack”和“Rainbow Attack”六种破解方式。

图6 暴力破解md5（base64）密码
这里写图片描述

图7多种破解方式
这里写图片描述

（3）破解成功

暴力破解方式太耗费时间，后面选择了“Simple Dictionary Attack”（简单字典攻击），由于密码在字典中，所以很快就破解出来了，如图8所示，值得一提的是在InsidePro 官方网站提供了74个字典文件下载（http://www.insidepro.com/eng/download.shtml），喜欢的朋友可以自己去下载。在实际过程中这些字典仍然不够，有些密码设置往往超乎想象的复杂，除非有完整的彩虹表，否则暴力和字典破解的时间将非常漫长。

图8 使用字典破解成功

这里写图片描述

（四）探寻md5（base64）的其它破解方式

1.base64解码

网上有很多工具可以对base64编码进行解码，我先后找了两款，一款是可以在linux和windows下运行的base64工具，其下载地址为http://www.fourmilab.ch/webtools/base64/，下载完毕后可以直接运行，其运行命令为“base64 –decode base64.b64 base64.tmp”，参数“—decode”或者“-d”表示解码，“–encode”或者“-e”表示base64编码。“base64.b64”是base64编码后的文件，“base64.tmp”是解码后生成的文件。在该工具目录下还有一个bat文件，用来批处理解码，如图10所示。

图9 base64解码工具
这里写图片描述

图10 执行解码批处理文件
这里写图片描述

2.编辑解码文件

将md5（base64）加密后的密码值“Ar2S+qOKqmzA6nXlmTeh7w==”复制到base64.b64文件中，如图11所示。

图11 编辑解码文件
这里写图片描述

3.查看解码后的文件

使用UltraEdit-32编辑器打开“base64.tmp”文件，如图12所示，在“base64.tmp”文件中显示为乱码。关于这点我也很是奇怪，后面通过其它一些base64解码工具进行解码，其正常显示结果仍然为乱码。

图12 查看解码后的文件
这里写图片描述

4.获取base64解码后的md5值

在UltraEdit-32编辑器中，直接以二进制方式打开解码后的文件base64.tmp，如图13所示，将其中的二进制编码进行整理，其结果为“02BD92FAA38AAA6CC0EA75E59937A1EF”一共32位，这个跟md5加密后的值有点像哦！将这个值复制到www.cmd5.com网站进行解密，如图14所示，结果显示为“author”。

图13 获取二进制的值
这里写图片描述

图14 md5解密
这里写图片描述

5.md5（base64）加密原理

后面通过在线生成Hash值（http://www.insidepro.com/hashes.php?lang=eng）然后按照上面的步骤重新进行测试，结果跟上面的测试吻合。因此我们可以推测出md5（base64）加密解密方法。

（1）md5（base64）加密原理

（a）首先对字符串进行md5加密 md5（string）

(b) 然后对md5加密后的字符串进行base64编码

（1）md5（base64）解密原理

（a）首先对md5（base64）进行base64解码

（b）对base64解码后的值通过二进制方式进行读取，其结果应该为32位字符串

（c）对获取的32位字符串进行md5解密。

（五）总结

在信息安全的领域，只有想不到的，没有做不到的，只要努力、坚持和不断尝试，终究会有所收获。通过对md5（base64）加密和解密原理的研究，最终成功获取了该CMS系统的Webshell，如图15所示，还是孙总说的对，网络攻防的最终就是技术的对抗！欢迎来www.antian365.com（AST技术论坛进行技术探讨），我的技术交流QQ号码：525760451

图15 成功获取该系统的Webshell
这里写图片描述