分享国内常用的免费MD5在线解密网站,这5个网站很实用

从事网络安全这一行业的人都知道，我们做渗透测试时经常会遇到需要解密的Md5密文。为了能够提升效率，我们可以在网上找一些能够在线md5解密的网站。下面给大家分享国内常用的几个免费MD5在线解密网站。

一、MD5在线加密解密

针对md5等全球通用公开的加密算法进行反向查询，建立了密文对应查询数据库，MD5加密解密平台可查询很多复杂密文，支持多种算法，实时查询记录超过24万亿条，共占用160T硬盘，成功率95%以上。这个网站国内很多人在使用，因为它是免费的。如果在md5上解密不了的密文在其他解客网站也基本没戏了。

二、cmd5

cmd5应该是国内最多人用来进行md5解密的网站了。该网站针对md5、sha1等全球通用公开的加密算法进行反向查询，通过穷举字符组合的方式，创建了明文密文对应查询数据库，创建的记录约90万亿条，占用硬盘超过500TB，查询成功率95%以上，很多复杂密文只有cmd5才可查询。自2006年已稳定运行十余年，国内外享有盛誉。

三、T007-MD5-解密

这个网站专业针对md5等哈希算法进行在线解密，可在线批量破解，一般的查询是免费的，支持解密，开发者工具，Json工具，格式化工具，网络工具，前端工具，单位换算工具，格式化json的工具，在线json格式化工具，在线json校验工具。

四、TTMD5

TTMD5专业针对md5等哈希算法进行在线解密，可上传文件在线批量破解，最多可支持数万个密码，一般的查询是免费的。该站支持的在线解密算法包括：md5解密，md5(md5($pass))，md5(md5(md5($pass)))，MD5(MD5($pass))，MD5(MD5(MD5($pass)))，md4解密，sha1解密，md5(SHA1)，sha256解密，md5(SHA256)，sha512解密，md5(SHA512)，sha384解密，md5(SHA384)，以及部分Salt。

五、查MD5

查MD5针对会员，提供查md5服务。支持绝大多数常用算法。现已支持md5、discuz、wordpress、mysql、nthash、sha1等算法。运算量和运算时间正在不断增加，欢迎测试。如果在md5解密网站解不出来，或者这些md5解密网站解密需要收费了，但是我们又没有md5网站会员应该怎么办呢？这个给大家分享2个方法：直接在谷歌上搜索Md5密文；找有md5会员的朋友帮忙解密。

方法有非常多，很多都是因为使用大量开源的系统，或是别人开发的系统。

原因1：这些系统源码很多都是在互联网公开的，可以被别人研究的。

原因2：很多朋友为了节省成本，架设系统进行业务的时候，往往忽略了安全性，没有专门的技术人员负责安全工作，也不做代码的审计，进而导致的。

获利的方式有很多种的，比如：可以把拿到的数据库进行销售变现，也有很多会去放后门啥的，总之获利的方式非常多，这个需要根据不同的站，获利的方式也是各不相同的。

应该如何防范呢？要想防范，就得先知道对方是如何搞你的，才能很好的防范，这里给出一些常见的攻击手段，了解了攻击手段才能很好的进行防范工作。

大部分网站设计更多是考虑用户业务的实现，而软件开发商和网站的系统运维人员对攻击技术和网站的维护并不了解，在使用的过程中未能发现可能存在的安全漏洞。黑客一般可以较好利用这些漏洞为自己谋取利益。

目前比较常见的分析方法通常有以下几种

1、穷举猜测后台地址

大家要养成一个小小的习惯。把一些上传的地址。后台地址。表段记录下来。是有好处的，也可以去下些别人收集的字典。配合wwwscan啊D黑客动画巴明小子旁注之类的工具去扫描。不过成功机率不是很高（一般管理都是根据自己的习惯乱写的）当然扫下总有好处的。说不定就会扫到后台或上传路径。

2、利用比较常见的开源系统，通常同一类型的系统，都是有很多共性的

最经典的就是dede，后台就是/dede。除此之外，还有像Discuz就是admin。php，Joomla就是/administrator，wordpress就是/wp-admin。

国内的CMS通常就是/admin和/manage或者/login，这样主要还是为了让管理员登陆起来比较方便。

如果已知这是个什么CMS，但是却不知道它的后台登陆入口，不妨去它的官网或者一些下载站下载源码，看看都有哪些路径。

3、合理利用搜索引擎语法，快速寻找后台管理地址。

Google Hacking基本用法：

1、inurl：用于搜索网页上包含的URL。这个语法对寻找网页上的搜索，帮助之类的很有用。

2、intitle：限制你搜索的网页标题。

3、intext：搜索网页部分包含的文字内容（也就是忽略了标题，URL等文字）。

4、site：限制你搜索范围的域名。

5、allintitle：搜索所有关键字构成标题的网页。

6、link：搜索所有关键字构成标题的网页。

7、filetype：搜索文件的后缀或者扩展名。

Google Hacking的具体运用

1、搜索网址中包含admin字符的网站：inurl：admin

2、搜索网址中包含login字符的网站：inurl：login

3、搜索网址中包含site：http：//eu。cn inurl：admin字符的网站：site：http：//edu。cn inurl：admin

合理利用搜索引擎可以有非常好的效果

4、利用nmap检测服务器开发的其他端口。

目前在市面上主要的端口扫描工具是X_Scan、SuperScan、nmap，其中在这里主推的是nmap

Nmap包含四项基本功能：

主机发现（Host Discovery）

端口扫描（Port Scanning）

版本侦测（Version Detection）

操作系统侦测（Operating System Detection）

现在大部分Linux的发行版本像Red Hat，CentOS，Fedoro

Debian和Ubuntu在其默认的软件包管理库（即Yum和 APT）中都自带了Nmap。

5、利用嗅探技术，快速获取到对应的管理地址

这种技术比较高端，就是通过旁站拦截管理地址，这里就需要很多成本了。

比如采购到旁站服务器，这个是最关键的。

有了旁站服务器就非常简单了，架设拦截环境，就可以嗅探到相关的后端地址了。

AuthCode Function Code[php]

//定义默认函数初始值

//$string="admin";初始化$srting变量数值在

//$keyc中调用

function authcode($string='admin', $operation = 'DECODE', $key = '', $expiry = 0) {

$ckey_length = 4; // 随机密钥长度 取值 0-32;

// 加入随机密钥，可以令密文无任何规律，

//即便是原文和密钥完全相同，加密结果也会每次不同，增大破解难度。

// 取值越大，密文变动规律越大，密文变化 = //16 的 $ckey_length 次方

// 当此值为 0 时，则不产生随机密钥

$Mykey = md5(UC_KEY); //对UC_KEY进行一次md5加密

echo "\$Mykey -- $Mykey "; //输出

//$Mykey==c647d451bb5792d9cc1693a672380641

$key="";//定义key为empty

$key = md5($key $key : UC_KEY); //使用三原操作符，如果$key为

//空则对UC_KEY进行md5加密 否则对$key加密结果为$Mykey

echo "\$key -- $key ";//输出$key==c647d451bb5792d9cc1693a672380641

$key="abcdefghijklmnopqrstuvwsyz "; //定义$key=abcdefghijklmnopqrstuvwsyz 测试$keya结果

$keya = md5(substr($key, 0, 16));//用substr对$key进行截取得到从第一个到第16个字符

echo "\$keya is $keya ";//输出$keya=abcdefghijklmnop

$key="abcdefghijklmnopqrstuvwsyz123456";//定义$key

$keyb =md5(substr($key, 16, 16));//通过substr对$key进行截取

//截取方法为从第16位开始 向后截取到第32位结束

echo "\$keyb $keyb ";//

//$keyc 使用的2层的三原操作符，理解如下$keyc = $ckey_length 的时候

//返回($operation == 'DECODE' substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length))

//否则返回empty

//上面的理解为$operation == 'DECODE';时候用substr截取$string变量的值，

//截取大小为从第0个到第$ckey_length个默认$ckey_length为4$keyc = $ckey_length ($operation == 'DECODE' substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';echo "\$keyc is $keyc ";

//输出按照我们初始的测试$keyc为admi$cryptkey = $keyamd5($keya$keyc);//这个我估计不用说了

//就是单纯的字符串拼接和md5之后再拼接

echo "\$cryptkey is $cryptkey";$key_length = strlen($cryptkey);//计算$cryptkey的长度本例为64

echo "\$key_length is $key_length ";//base64_decode对encoded_data 进行解码，返回原始数据，

//失败则返回 FALSE。返回的数据可能是二进制的

$string = $operation == 'DECODE' base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry $expiry + time() : 0)substr(md5($string$keyb), 0, 16)$string; $string_length = strlen($string);

echo "\$satring is $string_length ";

$result = '';//range() 返回数组中从 low 到 high 的单元，包括它们本身。

如果 low > high，

//则序列将从 high 到 low。//根据cuh的设置，说的白话一点就是生成一个0到255的纯数字数组

$box = range(0, 255);

echo "\$box is $box[1] ";

$rndkey = array(); //$i 输出0到255个整数

for($i = 0; $i <= 255; $i++) { //ord()函数返回一个字符的askii码值；

//$rndkey[$i]根据$i /$key_length的余数然后用ord处理

//$cryptkey[$i % $key_length]返回$cryptkey

数组里的键值$i=2返回第二位

//$rndkey[$i]从数组的第$i位开始返回$rndkey[$i]的值

$rndkey[$i] = ord($cryptkey[$i % $key_length]); //echo "\$rndkey[$i] is $rndkey[2] "; }

for($j = $i = 0; $i < 256; $i++) {

//$j是三个数相加与256取余

$j = ($j + $box[$i] + $rndkey[$i]) % 256;

$tmp = $box[$i];

$box[$i] = $box[$j];

$box[$j] = $tmp; //echo "\$j is $j "; }//如果$i小于设定的随机密钥长度则$i加1

for($a = $j = $i = 0; $i < $string_length; $i++) {

//在上面基础上再加1 然后和256取余

$a = ($a + 1) % 256;

$j = ($j + $box[$a]) % 256;//$j加$box[$a]的值 再和256取余

$tmp = $box[$a];

$box[$a] = $box[$j];

$box[$j] = $tmp; // ^ 位运算符允许对整型数中指定的位进行置位。

//如果左右参数都是字符串，则位运算符将操作字符的 ASCII 值

//chr 返回相对应于 ascii 所指定的单个字符 。

//也就是说根据chr函数里生成的数的ascii来指定要输出的字符

$result = chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256])); }//这么多吧！后边的我把函数给大家 就是算法的反复重用了，

//还调用了时间函数。//base64_encode() returns 使用 base64 对 data 进行编码。

//设计此种编码是为了使二进制数据可以通过非纯 8-bit 的传输层传输，

//例如电子邮件的主体。 //str_replace() 函数使用一个字符串替换字符串中的另一些字符。

/str_replace(find,replace,string,count)find 规定要查找的值。

replace 规定替换 find 中的值的值。

0string 规定被搜索的字符串。

count 一个变量，对替换数进行计数。

/

if($operation == 'DECODE') {

if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26)$keyb), 0, 16)) {

return substr($result, 26);

} else { return ''; }

} else { return $keycstr_replace('=', '', base64_encode($result)); }

}echo authcode();

[/php]

authcode函数是照抄discuz的。

有不懂得可以来理下思绪，核心是RC4算法的扩展（Discuz加了对密钥$key的特殊处理），用异或实现加解密的双向转化，用base64_encode进行加解密，RC4算法是用3次循环来生成一个全随机但有内在规律的密码本。

$key（传入密钥）分三段：

$keya 参与加密运算，$key的前16位

$keyb 是校验数据完整性，17位开始的16位，$key的后16位

$keyc 是当前时间戳微秒数的后4位（加密时）也参与解密运算，并附加在最终返回结果的前面，所以解密时是先取消前4位。

程序逻辑的真实密钥是$keyamd5($keya$keyc) (长度48)

RC4的三个核心循环：

循环一，生成一个256位的半随机有规律的数字，48位为一个循环，一共55个循环（256除以48）。

前16位固定，而后32位根据时间戳微秒数随机（和真实密钥相关，因为后32位为当前微秒数后四位）

为初始密码本

循环二，在上面基础的上，把48一个循环和前16位固定值打乱，生成一个全随即但有内在规律的真实密码本

循环三，异或置换出对应的密文或者明文

在这个过程中的关键是$key的值，没有传入密钥，你即便知道算法也无法破解（穷举除外。。。）

就好像一个门没钥匙一样，而authcode实现的正是这种类似钥匙可锁可开的效果。

任何网站只要一被发现漏洞，立刻就会有大批黑客前来挂马！别说百度，连南京大学网站也曾有漏洞呢，这很正常，但百度的服务是一流的，技术也不会差，到现在并没有什么传闻让我们难受。

推荐新手预防网站被挂马的六招：

一、查看源文件与首页相关的CSS和JS文件。

这一招是最基础，最老土，但是最实用的一招了。查看首页代码多数人都明白。但是很多人并不在意CSS文件和JS文件。熟不知现在这两种挂马方式正在大行其道。

经常有站长反应自己的网站报病毒，但是首页里面并没有马。其实如果你细心一点看看，木马多数时间都隐藏在CSS和JS文件里面。

二、定期修改ftp的用户与密码。

这个不用多解释了吧，这也是个习惯问题。现在的网站系统漏洞不多了。想入侵系统难，但是想爆出个FTP密码来相信不少人还是能作到的。奉劝那些用纯数字作密码的站长兄弟们修改一下自己的密码，因为现在新出的纯数字密码穷举器，九位的密码能在两个小时内破出来。。。

三、注意首页及重要页面生成时间。

有很多网站，特别是ZF机关类网站多数情况下很少更新，而这些机关部门人员，如果你告诉他如何去查看源代码，估计那也是一件很难的事情。但是如果你让他看一下“文件创建时间”“文件修改时间”，这个他们应该会。如果经常几个月不更新网站，而“文件创建时间”“文件修改时间”就在这几天的话，那就很说明有问题了。

比较重要的文件，比如模版文件，CSS文件，JS文件最好都看一下。

四、经常升级一下自己的CMS系统。

现在正里八经的网站一般都是用比较成熟的CMS系统作的，比如DISCUZ、DEDECMS、PHPCM、PHPWIND之类的。这些系统在进后台之后一般都有新版本升级的提示。

这些提示最好是看一下。有的时候都是一些漏洞升级。必要的话经常升级一下。

再一个就是常用CMS系统的后台目录一定要修改。千万不要小看这一点，用一个inurl命令可以在百度或者GG里面搜索出N多后台目录来

五、程序设置定时重新生成一下首页。

一般网站被黑，多数人会选择与直接写入首页。但是正规CMS都是用生台模板来生成网站首页的。如果设置每天某个时间定时重新生成一次的话。即使被黑，被挂马了。也会自动被系统覆盖掉的。

六、异地备份整站或者数据库

开篇的时候提到了，我的亲亲传世网因为数据库是ASP的，惨被写入木马。直接挂了整站。

经常备案数据库——异地备份。一定要把重要备份放到自己的电脑上或者移动硬盘上。

这个太重要了，特别是ASP类的数据库。如果没有备份，遇上这样的事情那直接崩溃了。

再补充一下就是经常跟你的主机空间商联系一下。有的时候整个服务器出了漏洞。或者其它网站有问题连累到你也说不定。

从以下的五个方面去进行优化测试：

1、cpu瓶颈的话可以通过分布式的方式来解决 更多的结点去处理分发的任务就好了

2、本地带宽的瓶颈通过云服务器解决(一般都有100MB的方案提供) 定时定量的去购买使用可以节约成本(毕竟不是搜索引擎不会一直开着的)

3、目标服务器的带宽限制(基于IP的)通过跨区的服务器解决 云服务器提供商有多个机房的 分散节点所在的机房可以缓解问题 有提供动态ip的就更好了

4、目标服务器的访问限制，老渔哥提示搜一下<反爬虫>策略就差不多了解了 根据自己的编程能力来应对 给两个库投石问路 SeleniumPhantomJS 对于验证码相关的可以考虑购买服务(有外包的, 最高级别是人肉的一定可以搞定, 量要考虑一下价格不菲)真的不建议自己搞。

目标网站系统比较知名的话(discuz)可以网上搜搜 足够简单的话可以用opencv(有python绑定的版本而且跨平台) thredshold(二值化)处理颜色, eroded/dilate(腐蚀膨胀)处理噪点, findContours(查找轮廓)处理字符分割,穷举旋转和简单扭曲再匹配字库差不多就可以处理2010以前的简单二维码了(当然cpu开销还是很大的)

5、目标服务器的带宽上限限制 这么做的话你的爬虫就成了攻击了不讨论----以下内容常规的爬虫可能不会涉