Comment retrouver un mot de passe crypté en MD5

Problème : 
J'ai installé nagiosql pour faciliter la configuration de nagios. Après un certain temps j'ai voulu continuer à travailler sur nagiosql, mais j'avais totalement oublié le mot de passe admin pour accéder à l'interface web. Heureusement j'avais toujours la main sur le serveur nagios. Notamment je pouvais accéder à mysql.

Procédure :

Accéder à mysql puis taper la requête SQL suivante :

Select * from tbl_user ;


Sur le résultat on voit qu’il y a un utilisateur admin qui a le droit d’administration. Son mot de passe est crypté en utilisant MD5.

Remarque : Si on a un doute sur un mot de passe donné, on peut taper la requête suivante :

Select password, md5(‘mot de passe à tester’) from ubl_user ;

Sur le résultat est le même, cela veut dire que le mot de passe testé est le bon.


On peut aussi tester la requête suivante :

Select password=md5(‘mot de passe à tester’) from ubl_user ;

Si le résultat est 1, cela veut dire que les mots de passe correspondent. Dans le cas contraire on obtient 0.


Copier le mot de passe crypté en MD5 puis aller sur le site précédent, coller le mot de passe et choisir Décrypter. A l’heure de la rédaction de ce billet, le site comporte plus d’un milliard de mots de passe cryptés.


Le mot de passe est trouvé presque instantanément


Remarque : pour tester un mot de passe que vous utilisez fréquemment, je vous déconseille d’utiliser ce site pour le crypter et chercher le résultat pour vérifier qu’il existe dans la base. Lorsque vous crypter un mot de passe sur le site md5decrypt.net, systématiquement le résultat est ajouté à la base de données.

Pour le démontrer, nous allons crypter le mot de passe ytreza$2015 en MD5 sur le site http://www.cryptage-md5.com/
Le hash obtenu est 899765d88d7350b3cb74ab45d3756ded
Si on cherche ce hash sur le site md5decrypt.net, on ne trouve rien dans la base de données.
Nous allons chercher le hash sur md5decrypt.net puis refaire la recherche


Remarquer que la base contient 1007268085 mots de passe


Nous allons chercher le hash sur md5decrypt.net puis refaire la recherche


Le nombre de mots de passe est maintenant de 1007268086 suit à l’ajout du mot de passe précédent.

Commentaires

Posts les plus consultés de ce blog

Installation de glpi 0.9 sur un serveur Windows 2012 R2

Impossible de joindre un fichier dans OWA

Accéder à PhpMyAdmin sans mot de passe