Informix密码破解

Question

我得到了一些哈希，比如：

username         sowainformix
salt             7307821250330563328
hashed_password  HaHvvzanjp_lPZgHLu0KHquN.Q4t98EF48csXk1QTJs
hash_type        SHA-256
updated
flags            2
min_change
max_change
inactive
ac_expire

谁能告诉我关于Informix算法的一些信息，我应该对一些Informix设备进行弱密码检查？谢谢。

Answer 1

哈希由密码和salt的SHA-256生成，编码为带有自定义字符集的Base64字符串。通过将无效字符(_和.)替换为A并对其进行解码，我发现了这一点，结果正好是256位。当然，由于不知道编码，结果数据是错误的，但是大小仍然是正确的。

这是由他们的文件备份的，它显示了有关users表的以下内容：

• 用户名- NCHAR(32) -用户的名称。
• 在应用散列算法之前，服务器使用salt - BIGINT -64位salt来修改密码.服务器可以使用salt来更改密码，以便两个密码相同的用户在数据库中没有相同的散列密码。Salt提高了安全性，因为它可以防止密码猜测。
• hashed_password - VARCHAR(128) -一个sha-256散列和基-64编码密码.
• hash_type - CHAR(16) -使用的哈希算法类型。目前使用的是SHA-256算法.
• 更新- DATETIME YEAR TO SECOND {TIMESTAMP} - N/A
• 标志- INTEGER -用于存储某些帐户信息的标志(如帐户锁)。
• min_change - INTERVAL DAY(7) TO SECOND - N/A
• max_change - INTERVAL DAY(7) TO SECOND - N/A
• 非活动- INTERVAL DAY(7) TO SECOND - N/A
• ac_expire - DATETIME YEAR TO SECOND - N/A

不幸的是，没有一种简单的方法可以判断哈希是如何从密码和salt中计算出来的，或者它们使用的是什么base64字符集。它似乎没有被记录在案。您可能需要手动安装Informix并进行逆向工程。

Answer 2

该算法如下所述：http://sourceforge.net/p/jbrute/blog/2013/10/jbrute-labs-a-little-of-cryptoanalysis-over-informixs-password-algorithm/

干杯。