主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

解密Myspace密码的姿势
2016-08-18 10:30:29

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

一、背景

MySpace成立于2003年9月,作为比FTI(Facebook、Twitter、Instagram)更早推出的垂直社交平台,MySpace在过去几年经历了过山车式的跌宕起伏。在FTI一个个大红大紫时,高层战略调整的滞后曾让MySpace卖来卖去,用户大批撤离,被国内外意见领袖贴上必死标签。不过,自从4年前Specific Media买了这个半死不活的社区后,用了不到三年时间,将MySpace定位为专注于音乐领域的垂直娱乐社交中心。MySpace不但有新用户加入,也有大量的老客群的集体回归。2014年11月的统计数据显示,MySpace在美国本土的访问量达到5060万,较上一年增长575%,对外宣称注册用户达到了10亿人次。

2016年6月2息,Myspace公司收到了警告,称有超过 3.6 亿帐户被泄露,并在暗网论坛上出售,尽管泄露的数据是2013 年 6 月 11 日以前用户数据的一部分,但庞大的数据量使得此次泄漏很引人注目。泄露的数据量远远超过了近期曝光的1.17亿条Linedin用户数据,被称之为有史以来最大规模的数据泄露事件。

图片1.png

Myspace证实用户数据是被自称“Peace”的黑客所公布的。LinkedIn 和 Tumblr 数据泄露事件的幕后黑手也是这名黑客。Tumblr 的数据泄露影响到了超过 6500 万个帐户,但这些密码是“加盐的”,而myspace的密码采用了sha1算法,密码强度极低。低到什么程度?LeakedSource(被入侵数据的有偿搜索引擎)直接宣称他们将破解98%到99%的密码。我们泰格实验室的小伙伴也想试验一下破解这些密码的难度,下面记录了本次破解实验的全过程,希望能给大家一个更直观的感受。

关于Myspace此次泄露事件的情况请参考Freebuf相关文章,传送门:

MySpace出现史上最大规模数据泄露事件

http://www.freebuf.com/news/105589.html

地下黑市以2800美元出售4.27亿MySpace账户密码

http://www.freebuf.com/news/105935.html

短讯:黑客公布Myspace泄露数据

http://www.freebuf.com/news/108351.html

二、破解过程

图片2.png

7月5日,Myspace泄露的数据在网站公布,并提供文件种子下载链接。利用种子下载文件之后,解压前大小15G,解压后大小35G左右。

在泄露的数据中共发现有效Hash值358,991,641个,去重后116,822,085个。其中有68,493,651个账户有二级密码,本次破解完全出于密码研究目的,所以只对116,822,085个Hash值进行了破解。

本次泄露的SHA1算法,是一种快速简单的的Hash方法,由它生成的密文(其实我们更愿意称之为Hash值),加密强度极低,而且可以同时大批量破解(这点很重要,如果加了salt,那么批量暴力破解几乎无法完成,想要破解全部密码的难度暴增)。本次破解借用了团队小伙伴学校实验室的1台改造后的破解专用服务器,插有4块显卡,破解工具给基于Hashcat3.0,对批量破解进行了优化,速度提升了10%左右。单个SHA1破解速度为5739.9 MH/s(每秒可遍历57亿次SHA1Hash值),批量破解最佳条数为每次4000万条(此时破解速度为3504.9MH/s)。预计使用3天时间进行破解。

破解过程如下:

第一轮快速破解大量Hash值

由于破解服务器每次批量破解的最佳条数是4000万条(每台服务器的性能和显卡的性能有区别,所以最佳条数需要实际测试,并不是一次破解越多的Hash越好,因为批量破解的速度是和待破解Hash的数量成反比),所以第一步我们考虑通过字典和小空间暴力破解的方式,尽可能多的破解出Hash值,将待破解的Hash数量快速降低到4000万以下,以便后续进行大空间暴力破解时可以一次完成。

由于Myspace的国外用户占绝大多数,因此我们花费了5个小时的时间收集并整理国外常用密码字典,共整理出了15亿条国外常用密码字典,再结合已有的字典,去重后共获得25亿条字典。这里贡献一个linux下排序去重字典的小脚本

sort.sh:#!/bin/bashsplit –d –l [条数] $1 _part$1for file in _part*do{sort $file > sort_$file}&donewaitsort –smu sort_* > $2rm –rf _part*rm –rf sort_*

使用方法:./sort.sh 原始文件 去重后文件

字典破解

字典破解花费15分钟,破解成功46,558,625条Hash值。字典还是猛!!

1-7位全空间暴力破解

剩余的7千万条Hash值,分两次进行批量破解,每次3500万条。1-7位全空间有70,576,641,626,495(95+95^2+95^3+95^4+95^5+95^6+95^7)个组合,批量破解速度3504.9 MH/s,单次耗时5小时46分钟。两轮破解耗时11小时32分钟,破解成功27,409,679条。

本轮经过字典和1-7位全空间暴力破解后,共花费12小时的时间,破解成功7396万密码,占破解总量的63.32%。剩余待破解Hash值4285万条。

第二轮字典+规则变换

字典破解变换用来破解和字典中密码相似的字段,变换种类如下:

图片3.png

本轮字典+规则变换破解花费5小时,破解成功10,155,487条Hash值,占破解总量的8.69%。剩余待破解Hash值3270万条。

第三轮8-10位密码部分暴力破解

八位及以上密码空间对于我们现有计算能力来说,无法在短时间内完成全空间的遍历,因此只能采取各种破解策略,在尽可能短的时间内,遍历高可能性的解空间。

8位--大小写+数字部分空间

破解花费1个小时,破解成功222,789条Hash值。

8位--首末位特殊字符

图片4.png

不少人认为在密码的首末位加上特殊字符就无法破解了,我们对8未首末位包含特殊字符的情况进行了试验,花费9小时28分钟,破解成功1,381,237条Hash值,去重后942,022条。

9位--末位特殊字符部分空间

从八位的特殊字符破解规律我们可以看出,末位特殊字符的概率相对较大,所以9位采用了此种破解规律。破解花费1小时,破解成功821,828条Hash值。

10位纯数字

破解花费3分钟,破解成功741,575条Hash值。

本轮破解8-10位密码部分暴力破解花费11小时31分钟,破解成功272万条Hash值,占破解总量的2.71%。剩余待破解Hash值2953万条。

第四轮字典+暴力破解组合

基于原有字典和已破解出的myspace密码字典,在字典前后分别加上1-3位进行暴力破解。

图片5.png

本轮破解花费19小时38分钟,破解成功1849万条Hash值,去重后1427万条。占破解总量的12.22%。剩余待破解Hash值1525万条。

第五轮字典组合破解

第五轮破解是最后的一轮破解,重点还是利用字典。利用字典两两组合进行破解,最后对于第二轮之后破解成功的密码,再集中进行一次规则变化和暴力组合破解。

字典组合破解

字典混合破解及将两本字典进行叠加混合,如果字典1的内容为(A1,A2,……,An),字典2的内容为(B1,B2,……,Bn),混合破解输出则变为(A1B1,A1B2,……A1Bn,A2B1,A2B2,……A2Bn……AnB1,AnB2,……AnBn)。

本次混合的两本字典,一本是根据近年来泄露的数据整理的2000万高命中率字典,一本是从前四轮破解出的1亿条密码中精选出的200万条字典。最终花费5小时40分钟,破解成功2,096,487条Hash。

规则变换、暴力破解组合

对第二轮后破解成功的2000万密码,利用规则变换和首末位暴力破解组合的方式进行破解,由于时间关系,只选择了成功率较高的几种组合模式。花费3小时,破解成功1,613,545条Hash。

本轮破解花费8小时40分钟,破解成功371万条Hash值。占破解总量的3.18%。剩余待破解Hash值1198万条。

三、破解总结

本次破解Myspace泄露密码共花费约3天时间,对1亿1682万个Hash值进行了破解,破解成功1亿484万条Hash,破解成功率89.74%。共计335,275,873个Myspace用户密码被成功破解,占总用户量的93.39%。

花费时间成功Hash成功率
第一轮12小时7396万63.32%
第二轮5小时1015万8.69%
第三轮11小时31分钟272万2.71%
第四轮19小时38分钟1849万12.22%
第五轮8小时40分钟371万3.18%
总计约3天1亿484万(3亿3527万用户)89.74%(总用户量的93.39%)

我们的破解步骤综合了经验、计算能力和作息时间,对于暴力破解我们遵循的一个原则就是:

如果破解时间可接受,就全空间破解,否则就要尽可能选择概率最大的空间,在时间和空间中选择一个平衡。

这篇文章只是想分享一下我们的解密过程,并不是最优的破解思路,仅供大家参考,欢迎拍砖,也欢迎研究密码的小伙伴们与 我们联系:root@hashkill.com

附录:Myspace **TOP100最弱密码**

本篇文章的主要目的是分享一下密码破解的过程,所以不会做很深入的密码统计,这里只分享一下Top100最弱密。

排名密码明文出现次数
1homelesspa855478
2password1585469
3abc123569803
4123456487919
5myspace1276906
6123456a244632
7123456789191007
8a123456165124
9123abc159691
10qwerty1141104
11passer2009130740
12fuckyou1125298
13iloveyou1123661
14princess1114103
1512345a111809
16monkey1106417
17football1101149
18babygirl190676
19love12388755
20a1234585868
21iloveyou84994
22jordan2381026
23hello180217
24jesus178072
25bitch178012
26password77902
27iloveyou276970
28michael175874
29soccer174921
30blink18273144
3129rsavoy71551
32123qwe70472
33angel170267
34myspace69016
35fuckyou268995
36jessica167640
37number165971
38baseball165396
39asshole163074
40123456789062853
41ashley162607
42anthony162293
43money161638
44asdasd560810
45123456789a60436
46superman159564
47sunshine157522
48nicole156037
49password255754
50charlie154430
51shadow154397
52jordan154001
53123456751126
5450cent50717
55password1250546
56hottie150503
57love1249981
58amanda148665
59brandon148003
60myspace12347287
61dragon147210
62purple146511
63justin146302
64xbox36045424
651234567845170
66chris145036
67killer145013
68michelle144226
69butterfly144186
70computer144173
71abcd123444057
72liverpool143954
73andrew143717
74daniel143600
75chocolate143596
76chicken143050
77justinbieb42552
78cookie142178
791qaz2wsx41704
80mommy141540
81hannah141334
82happy140789
83passw0rd40647
841password40316
85cheese140300
86hunter140105
87matthew139972
88qwe12339763
89loveme139428
90robert139427
91123439377
92fuckyou39338
93asd12339130
94elizabeth139122
95jasmine139067
96america138939
97tigger138893
98taylor138781
99mexico138195
100qwerty38100

第一名是个什么鬼??看知乎的解释吧。

图片6.png

另外7093d5899fa80c28414219988cc8c89a7b476122这个Hash值出现次数高达158,462次,但是我们没有破解成功,欢迎提供此Hash线索 。

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文作者:, 转载请注明来自FreeBuf.COM

# 密码破解
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦