!MJXAy ....(41个字符,A-Z a-z 0-9) 我有一个较旧的Web应用程序的密码列表,但是不再有创建/验证哈希的来源。 我认为这可能是django应用,但不能确定。 我正在寻找哈希类型或到源的链接,以便我可以验证登录名。
有什么想法/建议吗?
答案 0 :(得分:1)
您可能只是拥有40个字符的“已禁用”哈希。
!和*通常放在散列的开头或结尾,以可逆地“禁用”帐户(因为这些字符永远不会出现在大多数散列中,从而使包含它们的任何散列都不可能匹配)。
如果需要重新激活帐户,只需删除明显无效的“禁用”字符,即可恢复原始密码,而不必知道原始密码或与用户互动。
>如果所有散列都以感叹号开头,则可能出于某种原因故意禁用了所有散列。
值得一提的是,我知道的两种Django格式如下(来自 the Hashcat example-hashes page,两个纯文本“ hashcat”):
Django (PBKDF2-SHA256):
pbkdf2_sha256$20000$H0dPx8NeajVu$GiC4k5kqbbR9qWBlsRgDywNqC2vd9kqfk7zdorEnNas=
Django (SHA-1):
sha1$fe76b$02d5916550edf7fc8c886f044887f4b1abf9b013
这两个都是盐腌的,似乎与您的字符集不匹配。您的哈希很可能是自定义哈希,最后一步是base64转换(但没有结尾的=?)。
我能看到的最接近的是将ASCII MD5哈希转换为base64,将二进制SHA26哈希转换为base64,但这两个都是44个字符。
您最好的选择是修剪!并尝试使用mdxfind进行验证,这将尝试许多不同种类和链的哈希,编码和截断。