QNX是一種商用的類Unix實時操作系統(tǒng)，遵從POSⅨ規(guī)范，目標市場主要是嵌入式系統(tǒng)。QNX成立于1980年，是加拿大一家知名的嵌入式系統(tǒng)開發(fā)商。QNX的應(yīng)用范圍極廣，包含了：控制保時捷跑車的音樂和媒體功能、核電站和美國陸軍無人駕駛Crusher坦克的控制系統(tǒng)，還有RIM公司的BlackBerry PlayBook平板電腦。QNX系統(tǒng)將/usr/bin/passwd中的二進制以可輸出的格式到/etc/shadow文件中。它包含了生成和解析這些hash值的所有邏輯數(shù)據(jù)，這是逆向這個格式的最好資源。

這個文件支持好幾種hash加密方法：MD5，SHA-{256,512}，以及QNX遺留的不安全加密實現(xiàn)(參見CVE-2000-0250)。他們分別命名為md5_crypt,sha2_crypt,qnx_crypt。

另外，其同時還支持解析明文密碼的plain_crypt方法，但是這個你需要手動修改/etc/shadow。 有趣的是，SHA-1支持比較老的版本，但是由于沒有鏈接庫調(diào)用路徑，所以沒有辦法使用。

QNX Neutrino 6.6.0默認的hash方法是SHA-512，1000輪計算，并附帶16字節(jié)的鹽值。用SHA-512對用戶賬號密碼附加8字節(jié)的鹽值做1000輪的計算生成的結(jié)果如下：

這是MD5和SHA-{256,512}的通用格式。QNX的hash加密方法，格式上很像傳統(tǒng)的Linux DES加密字符串。

1.Shadowed密碼文件用冒號(：)分割得到下面接個段：

2.username – 用戶名

3.@S,100@386d...truncated...da5d@129b6761 –可輸出的hash字符串(根據(jù)使用hash方法的不同而不同)

4.1448613322 – 設(shè)置密碼時產(chǎn)生的時間戳

5.0 – 未知

6.0 – 未知

面我還未找到最后兩個值是用來干嘛的，但這兩個值總為0也許跟不可使用的賬戶有關(guān)。

可輸出的hash字符串又被@符號分割成下面這幾個段：

S,100 –前面表示使用的hash方法，后面表示加密計算輪數(shù)

S -- SHA-512

s -- SHA-256

m -- MD5

p – 明文密碼

386d...truncated...da5d – 使用hash方法計算出的16進制結(jié)果

129b6761 – 16進制鹽值

Hash密碼例子

下面所有的例子都是密碼的hash值

SHA-512加密， 1000輪， 16字節(jié)鹽值

username:@S@60653c9f515eb8480486450c82eaad67f894e2f4828b6340fa28f47b7c84cc2b8bc451e37396150a1ab282179c6fe4ca777a7c1a17511b5d83f0ce23ca28da5d@caa3cc118d2deb23:1448585812:0:0

SHA-512加密， 1000輪， 8字節(jié)鹽值

username:@S@386d4be6fe9625c014b2486d8617ccfc521566be190d8a982b93698b99e0e3e3a18464281a514d5dda3ec5581389086f42b5dde023e934221bbe2e0106674cf7@129b6761:1448585864:0:0

SHA-256加密， 1000輪，16字節(jié)鹽值

username:@s@1de2b7922fa592a0100a1b2b43ea206427cc044917bf9ad219f17c5db0af0452@36bdb8080d25f44f:1448585954:0:0

MD5加密， 1000輪， 16字節(jié)鹽值

username:@m@bde10f1a1119328c64594c52df3165cf@6e1f9a390d50a85c:1448585838:0:

內(nèi)部二進制代碼

從QNX Neutrino 6.6.0系統(tǒng)得到的/usr/bin/passwd 二進制并不很令人興奮。 這是一個32位的可執(zhí)行文件，沒有剪去符號表和libc,ld-linux,linux-gate的動態(tài)鏈接，能夠找到shadowed密碼文件的所有hash加密實現(xiàn)。

文件/etc/default/passwd會影響二進制的行為，只有個QNXCRYPT指令存在于文件中時QNX加密方法才會被使用。另外一些有趣的指令，比如STRICTPASSWORD確保密碼使用至少兩個字符集、NOPASSWORDOK允許使用空白密碼。

函數(shù)gensalt使用系統(tǒng)時間初始化一個隨機算法來生成一個隨機值，如果想要深入挖掘可以使用initstate,setstate,random,srandom函數(shù)。我沒有很詳細看這幾個函數(shù)，但是聚合熵少于8字節(jié)隨機操作會失敗。 該鹽值是16進制字符串，如果設(shè)置為16字節(jié)就是16個字符。

qnx_crypt 已經(jīng)有說明文檔，并且沒有修改。

md5_crypt 使用函數(shù)MD5Init, MD5Update, MD5Transform。

sha2_crpyt 使用函數(shù)shaXXX_init， shaXXX_update，shaXXX_done，XXX指的是位，如512。

QNX的hash函數(shù)是按位偏移的。 Hash函數(shù)初始化之后，更新過程如下所示：

digest = update(salt), update(password) * rounds, update(password)

最后一次輪數(shù)置為0時，是使用密碼來更新hash函數(shù)的。 所以摘要被計算出來的時候，1000輪的設(shè)置，其實是被計算了1001輪。 除此之外，其他都是標準的。

QNX 密碼hash值爆破

John the Ripper (即使用了jumbo補丁)和其他通用的工具都不支持QNX shadowed密碼的hash格式。

我嘗試用python的hashlib和passlib模塊重新實現(xiàn)hash函數(shù)的邏輯。但是我得到的輸出跟/usr/bin/passwd產(chǎn)生的二進制結(jié)果無法匹配。 所用方法的實現(xiàn)都是一致的，所以我意識到QNX的hash函數(shù)有一些特有的實現(xiàn)。這是QNX自己實現(xiàn)的代碼，并不依賴于通用的擴展庫， 比如OpenSSL。

如果你想暴力破解hash值，你可以直接在GDB調(diào)試中調(diào)用它。另一個優(yōu)雅的實現(xiàn)就是使用dlopen(3) 和dlsym(3)去從C的封裝調(diào)用這個函數(shù)。

cc

收藏 海報分享