-
-
[原创]跟我一起做个密码学应用小实验,而后再论道
-
发表于: 2010-6-5 07:04
-
本实验使用新浪UC系统,各位请看以下截图:
注意以下说明:密码应由6-16位数、英文字母(区分大小写)、或者“-_.?"("_"不能在最后)组成
这个注释各位都能完全明了吧? 大多数软件都有类似规则。
接着各位打开以下登陆地址(使用UC客户端登陆也可以):
http://login.sina.com.cn/
使用以下登陆名与密码登陆:
登陆名:291171
密码:101@1201
登陆成功后可以查看截图中的信息,不要修改密码以让更多兄弟做这个小实验。
通过上面小实验,各位应该已经知道,我设置的密码不符合游戏规则,很显然是用了一个不能作为密码的字符@
如果你是攻击此密码的大牛,你会想到吗?
如果你是帐号的主人,你可以做到设置非法密码吗?
假设你可以成功设置上面这个非法密码,你可以设置你的密码为:101(Enter)1201吗? PS:(Enter)指控制符号,无法使用键盘输入。
如果你已经可以使用控制符号作为密码,你可以跟我谈论密码学了,因为这里面就必须突破一个小”撞击“才可以,算法已知,而且强度很高。
很显然新浪的开发人员与安全人员不会笨到对用户的密码的存储不使用加密算法,那么你作为一个已经获得新浪主机管理员权限的攻击者,你面对加密的数据库,如何将非法控制字符存入新浪加密后的数据库?
王与冯在研究MD5破解方法时使用了”碰撞“的方法,得出结论是:两个不同的文件可以有相同的MD5值,从而打破了原来学术界公认的”不可逆“的定论。
那么我为什么给我的方法起名为”非线性域撞击“呢?
我的”撞击“与王老师的”碰撞“有何不同呢?
我是这么定义着两个基本密码学范畴的:
碰撞 无目标性对象”运动“,即碰撞的两个对象必须为已知,可以应用于密码学理论论证,实用性不够。
撞击 有目标性对象”运动“,有多个撞击目标为未知,可以应用于广泛的密码学应用领域,具有很好的研究前景与应用效果。
不过就目前我掌握的情况,”碰撞“成功的概率远大于”撞击“成功的概率,我之所以在电话卡等领域可以容易撞击成功是因为”撞击“的对象具有数量巨大的特性,如果只针对单一目标撞击,成功率真的需要亿万分之一,但是如果目标本身就是成千上万,成功率还是很好的,这是我撞击成功的关键。
说到这里希望有高手出手赐教,小弟不胜感激,至于无法完成最简单的”碰撞“或者”撞击“实验的兄弟就免开尊口了,之所以口水是因为你的理论基础还不到能够进行密码学哲学思考的境界。
PS:我犯了个低级错误——当今真正能够掌握中医学的人寥寥无几,我对一群西医学大牛谈中医,所以我错了!
特别声明:
1. 此实验使用了新浪UC密钥验证系统,有侵权之过,如若新粮官方有任何异议,请直接通知我,我会马上停止试验与讨论。
2. 恳请各位验证过这个非法密码的网友,回帖表示实验成功并且不要修改密码,因为这个实验应该坚持不了多久,还望各位可怜我仅有6毛人民币的资本无法支付新浪的巨额赔偿费。
3. 请COMODO公司的那位朋友检查你们主机的引导区,里面我写入了我的非法签名[Divinger]使用了RC4算法,使用的密钥为此主机的管理员密码[当时的],获取管理员密码使用了类似的“撞击方法”,在此一并致以深深地歉意。
4. 此方法尚处于研发阶段,虽然实验可以通过,理论尚不成熟,还望喜欢“水”的朋友高抬贵手放这个“可怜的孩子”一条生路,让其有个“快乐的童年”。
谨以此原创帖献给Oleh Yuschuk兄,庆祝OllyDbg 2.0 final release!
注意以下说明:密码应由6-16位数、英文字母(区分大小写)、或者“-_.?"("_"不能在最后)组成
这个注释各位都能完全明了吧? 大多数软件都有类似规则。
接着各位打开以下登陆地址(使用UC客户端登陆也可以):
http://login.sina.com.cn/
使用以下登陆名与密码登陆:
登陆名:291171
密码:101@1201
登陆成功后可以查看截图中的信息,不要修改密码以让更多兄弟做这个小实验。
通过上面小实验,各位应该已经知道,我设置的密码不符合游戏规则,很显然是用了一个不能作为密码的字符@
如果你是攻击此密码的大牛,你会想到吗?
如果你是帐号的主人,你可以做到设置非法密码吗?
假设你可以成功设置上面这个非法密码,你可以设置你的密码为:101(Enter)1201吗? PS:(Enter)指控制符号,无法使用键盘输入。
如果你已经可以使用控制符号作为密码,你可以跟我谈论密码学了,因为这里面就必须突破一个小”撞击“才可以,算法已知,而且强度很高。
很显然新浪的开发人员与安全人员不会笨到对用户的密码的存储不使用加密算法,那么你作为一个已经获得新浪主机管理员权限的攻击者,你面对加密的数据库,如何将非法控制字符存入新浪加密后的数据库?
王与冯在研究MD5破解方法时使用了”碰撞“的方法,得出结论是:两个不同的文件可以有相同的MD5值,从而打破了原来学术界公认的”不可逆“的定论。
那么我为什么给我的方法起名为”非线性域撞击“呢?
我的”撞击“与王老师的”碰撞“有何不同呢?
我是这么定义着两个基本密码学范畴的:
碰撞 无目标性对象”运动“,即碰撞的两个对象必须为已知,可以应用于密码学理论论证,实用性不够。
撞击 有目标性对象”运动“,有多个撞击目标为未知,可以应用于广泛的密码学应用领域,具有很好的研究前景与应用效果。
不过就目前我掌握的情况,”碰撞“成功的概率远大于”撞击“成功的概率,我之所以在电话卡等领域可以容易撞击成功是因为”撞击“的对象具有数量巨大的特性,如果只针对单一目标撞击,成功率真的需要亿万分之一,但是如果目标本身就是成千上万,成功率还是很好的,这是我撞击成功的关键。
说到这里希望有高手出手赐教,小弟不胜感激,至于无法完成最简单的”碰撞“或者”撞击“实验的兄弟就免开尊口了,之所以口水是因为你的理论基础还不到能够进行密码学哲学思考的境界。
PS:我犯了个低级错误——当今真正能够掌握中医学的人寥寥无几,我对一群西医学大牛谈中医,所以我错了!
特别声明:
1. 此实验使用了新浪UC密钥验证系统,有侵权之过,如若新粮官方有任何异议,请直接通知我,我会马上停止试验与讨论。
2. 恳请各位验证过这个非法密码的网友,回帖表示实验成功并且不要修改密码,因为这个实验应该坚持不了多久,还望各位可怜我仅有6毛人民币的资本无法支付新浪的巨额赔偿费。
3. 请COMODO公司的那位朋友检查你们主机的引导区,里面我写入了我的非法签名[Divinger]使用了RC4算法,使用的密钥为此主机的管理员密码[当时的],获取管理员密码使用了类似的“撞击方法”,在此一并致以深深地歉意。
4. 此方法尚处于研发阶段,虽然实验可以通过,理论尚不成熟,还望喜欢“水”的朋友高抬贵手放这个“可怜的孩子”一条生路,让其有个“快乐的童年”。
谨以此原创帖献给Oleh Yuschuk兄,庆祝OllyDbg 2.0 final release!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
真的可以进去啊...
 291171 实验成功 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
实验成功
俺不是马甲 
|
|
|
对您的大力支持表示深深的敬意,还望以后多多支持小弟
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
牛人都很低调,你不会是sina的admin吧
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
