从 PHP 5.2 迁移到 5.4 时 crypt() 中断

Question

我有一个在 PHP 5.2.10 版本上运行的系统不幸的是，最初的程序员误解了 crypt() 是如何实现的。

$crypt = crypt(trim($cuPassword), CRYPT_BLOWFISH); 
// The programmer thought this is how you configure a blowfish cipher

nb CRYPT_BLOWFISH 在这台机器上的值为零。

这可以产生一个随机的密码哈希值，例如 0$oZ534I2VvSw

今天，我将软件迁移到PHP 5.4.9，发现$crypt变成了*0，即由于salt无效导致的错误。

我的问题是我有一个无法再验证的登录密码表。我的问题：有没有一种方法可以重新创建在 5.2 版下运行的原始密码？当您将“0”作为盐传递时，实现了什么哈希？

Answer 1

你的描述并没有真正加起来。在 PHP 5.4.9 中，我对此进行了测试：

var_dump(crypt('hello', 0));

输出：

0$ny0efnQXFkE

现在在 PHP 5.5 中，调用 crypt('hello', 0) 时会得到 *0。不过没关系！因为这在 PHP 5.5 中仍然适用：this crypt('hello', '0$ny0efnQXFkE') == '0$ny0efnQXFkE'。

您需要做的就是更改为新密码生成哈希的方式。验证现有密码将继续有效。

为了更好地衡量，在人们成功登录后，检查他们的哈希是否以 0$ 开头。如果是这样，请使用更新的正确 crypt 调用重新散列密码（因为他们输入了密码，您就知道它是什么）。

Answer 2

我尝试了所有有效的两位数字组合 (CRYPT_STD_DES)，发现“0q”是等效的（几乎）。

PHP 5.2.10 地穴（修剪（$cuPassword），CRYPT_BLOWFISH）；

结果 = 0$txv6CWBxJ9Y

PHP 5.4.9 crypt(trim($cuPassword), '0q');

结果 = 0qtxv6CWBxJ9Y

我需要做的就是调整第二个字符，我可以再次匹配密码。

Answer 3

不，您无法重新创建原始密码。否则即使是童子军也能打碎河豚。

您最好的机会是为您的用户生成一个随机密码并再次对其进行哈希处理，然后强制他们在登录后立即更改密码。

Answer 4

根据 crypt(3)，"$" 不是一个有效的盐值，因此您需要找到一个与 PHP/libc 曾经拥有的一样损坏的 crypt 实现:)

如果验证旧密码就足够了，请使用 Matthews 答案，否则尝试例如openssl 目前似乎仍然接受“0$”作为盐：

$ echo -n "secret" | openssl passwd -crypt -salt '0$' -stdin
0$z.PXBBy6uY.