0

私はこれにしばらく取り組んでおり、アカウントの作成に関する多くの詳細を見つけましたが、ユーザー名と生のパスワードを指定してアカウントからデータを取得することについては何も確実ではありません. このシナリオでは、すべての Web 処理を処理する Joomla サーバーと、さまざまな目的のために作成された C# チャット サーバーを使用しています。

手始めに、Joomla は 66 桁のハッシュ化されたパスワードに MD5(password)+":"+salt プロセスを使用します。もちろん、ユーザーがハッシュ化されたパスワードを知っているとは思わないので、ユーザー名と暗号化されていないパスワードから行を取得する方法を見つけようとしています。

ユーザーが情報に直接アクセスできない場合でも、サーバーにパスワードをプルすることは避けたいと考えています。これについて調べようとすればするほど、その可能性は低くなります。

最近の試み:

SELECT name, usertype FROM fnpolit2.llc_users WHERE username='userid' AND password='password';
SELECT name, usertype FROM fnpolit2.llc_users WHERE username='userid' AND password LIKE '%:%';
SELECT name, usertype FROM fnpolit2.llc_users WHERE username='userid' AND password LIKE (MD5('password')+':%');
4

2 に答える 2

1

パスワードは md5(password:salt) として db に保存され、次のようにユーザー名とパスワードを使用してユーザーの選択を行うことができます

SELECT name, usertype FROM fnpolit2.llc_users WHERE username='userid' AND password =(MD5(CONCAT('password',':','salt')));

一致するユーザー名とパスワードを持つユーザーが必要なため、同等性を探す必要があり、md5 は既に壊れているため、運用システムには使用しないでください。

于 2013-09-23T04:06:35.780 に答える