可以以纯文本形式显示 Metasploitable (Linux) 密码吗？

Question

除非 Metasploitable 中存在关于密码存储的故意漏洞，否则这是不可能的。在一个不是非常不安全的系统中，密码不会这样存储：存储的是一个散列的密码。在给定哈希值的情况下找到密码的唯一方法是尝试计算猜测的哈希值，并检查猜测的哈希值是否等于密码数据库中存储的哈希值。

不仅如此，而且密码散列函数故意变慢，因此无法快速进行暴力猜测。

有一些工具可以破解密码，例如开膛手约翰，但它们速度慢的原因是密码破解本质上很慢。它仍然可以是一个简单的命令，但如果密码不是非常弱，那么该命令将不得不运行很长时间，如果密码很好并且系统没有严重损坏，那么该命令不应该被执行。能够在有生之年找到密码。毕竟，使用可被破解的密码有什么意义呢？

Answer 1

除非 Metasploitable 中存在关于密码存储的故意漏洞，否则这是不可能的。在一个不是非常不安全的系统中，密码不会这样存储：存储的是一个散列的密码。在给定哈希值的情况下找到密码的唯一方法是尝试计算猜测的哈希值，并检查猜测的哈希值是否等于密码数据库中存储的哈希值。

不仅如此，而且密码散列函数故意变慢，因此无法快速进行暴力猜测。

有一些工具可以破解密码，例如开膛手约翰，但它们速度慢的原因是密码破解本质上很慢。它仍然可以是一个简单的命令，但如果密码不是非常弱，那么该命令将不得不运行很长时间，如果密码很好并且系统没有严重损坏，那么该命令不应该被执行。能够在有生之年找到密码。毕竟，使用可被破解的密码有什么意义呢？

相关内容