Mysticbinary

只有通过概念的劳作才能获得真实的思想

破解MySQL库user表hash密码


实验环境

select version();

得到用户名和密码 hash

mysql安装好就会默认生成图中红线内的库,

今天先认识mysql库,mysql库里面保存有账户信息、权限信息、存储过程、event、时区等信息。

把登录账号,密码读取出来,

select User,authentication_string from user;

*81F5E21E35407D884A6CD4A731AEBFB6AF209E1B
*THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE
*THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE

带*和不带*的区别

可以利用https://www.cmd5.com/在线工具查看hash类型;

HASH值开头带”*”号的是MYSQL5的HASH ;
不带*号的是旧版MYSQL的HASH(也就是MYSQL323);

参考:
https://www.cnblogs.com/mujj/articles/2048477.html

破解hash

在线工具


缺点就是不能指定自己的密码本。

Hashcat

Hashcat可以指定自己的密码本,但我使用虚拟机装kali,遇到报错:

* Device #1: This device's constant buffer size is too small.

* Device #1: This device's local mem size is too small.

* Device #1: Not a native Intel OpenCL runtime. Expect massive speed loss.
             You can use --force to override, but do not report related errors.
No devices found/left.

查了一下网上的解释,说从hashcat V3.30开始,在虚拟机中运行hashcat会报错,提示GPU错误。这是由于从该版本开始,hashcat对于Intel CPU会自动检测Intel OpenCL运行时,即是否支持GPU破解。如果不支持,就会停止运行。还有需要缓存足够,用户可添加隐藏选项--force来强制运行,但可能也解决不了。

暂时不去解决这个问题,先用在线工具,等需要用到自定义破解时在安装一下旧版,或者找其他替换工具。


这篇文章对你有帮助吗?作为一名程序工程师,在评论区留下你的困惑或你的见解,大家一起来交流吧!
微信公众号: Mysticbinary
Github:https://github.com/Mysticbinary
本文版权归作者所有,欢迎转载,但未经作者同意请保留此段声明,请在文章页面明显位置给出原文链接
声明:本文章仅限于讨论网络安全技术,请勿用作任何非法用途,否则后果自负,本人和博客园不承担任何责任!

posted on 2021-02-14 20:56  Mysticbinary  阅读(292)  评论(0编辑  收藏  举报

导航