foxmail算法.docVIP

笔者最常用的邮件客户端软件是Foxmail5.0，相信许多人也在用它，因为它的界面简洁、功能强大。在使用Foxmail的过程中发现一个问题，即Foxmail邮箱密码不够安全！而且这个问题在Foxmail 4.x和5.0正式版（包括测试版）中都存在，在这里提醒大家注意保管好自己的密码。? Foxmail邮箱加密密码保存在哪里? 在正式开始以前，先说说在Foxmail中邮箱口令保存在哪里。右键点击你的账户（假设账户名为abcde），在弹出菜单中选择“属性”，然后点击“邮件服务器”，在这里你会看到以“*”号显示的邮箱密码（图1）。 用任意一款密码查看软件就可以发现“*”号中是什么内容。其实，即便不使用查看*号工具也可看到Foxmail的密码！? 当选择保存邮箱口令后，邮箱密码加密后的密文保存在一个文件中，这个文件位于Foxmail安装目录下的Mail文件夹（如果采用默认安装方式，一般在C:\ProgramFiles\Foxmail下），那里有个以你的账户名为名字的文件夹（如账户名为abcde，则Mail文件夹下有个abcde文件夹），其下有个accounts.cfg文件，打开它就会看到你的邮箱密码密文。? 再现一个众所周知的Foxmail漏洞 ? 大家都知道，打开“资源管理器”或“我的电脑”，找到Foxmail文件夹，打开里面的“Mail”文件夹，你会发现这里有许多以账户名命名的文件夹，进入Mail文件夹下你想侵入的账户对应的文件夹，将其中的account.stg文件更名或删除，然后运行Foxmail，你会发现该信箱上原来的小“锁头”不见了（加有口令的账户会带有红色小“锁头”标志）！此时不需要任何密码就可以看到被保护的信件！ ? 为什么将Account.stg这个文件复制到别人的账户文件夹下，就有这么大的“威力”呢？用“记事本”打开该文件看看就明白了（图2）！事实上，你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了（如果你细心的话，会发现“属性”中的“模板”并没有包含在内），其中也包括了经过加密的信箱密码密文，也就是“POP3Password=”后面的部分。下面我们就谈谈这个令人感兴趣的话题。? Foxmail漏洞分析? 先假设你在Foxmail中有且仅有一个账户：abcde，它的E-mail地址是abcde@163.net，这个信箱的密码是12345。? 用记事本打开accounts.cfg文件，一开始是一些乱七八糟的内容，再往下你会看到如下所示内容：? MailAddress=abcde@163.net //这是邮件地址? POP3Account=abcde? POP3Host= //POP3服务器地址? POP3Password=BB6DFB5DF061 //邮箱密码加密后显示的密文? POP3Port=110 //POP3服务器端口 ? PrintFont=宋体,9 ? ReplyAddr=? ReplyFormat=1? SameWithPop=1 ? SMTPHost= //SMTP服务器地址? SMTPPort=25 //SMTP服务器端口? ……? 在计算Foxmail邮箱密码明文之前，请你先记住一个单词：~draGon~（注意要区分大小写），它是Foxmail邮箱密码的加密密钥。记住后我们开始行动：? 第一步：下载一个十六进制文件编辑器UltraEdit，这是一套极棒的文字、Hex、ASCII码编辑器，内建英文单字检查、C++及VB指令突显，可同时编辑多个文件，而且即使开启很大的文件速度也不会慢。其并且附有HTML Tag颜色显示、搜寻替换以及无限制的还原功能；一般大家常会用其来修改EXE或DLL文件。大家可以在这里下载到它：/down/cuedit1010b.exe。安装完毕，运行UltraEdit，在它的文件编辑状态下输入“~draGon~”这个单词（没有引号），然后单击“Edit”(编辑)菜单下的“Hex Edit”(16进制编辑)，可以查到这个词的16进制编码（图3），为：7E 64 72 61 47 6F 6E 7E，分别记为a1,a2,a3,a4,a5,a6,a7,a8，我将它们称之为Ai。第二步：再记住一个恒定的值：5A（其实也是由上面的a1～a8计算而来，具体方法就不多说了），记为C0，这个C0我们在下面会用到? 第三步：取邮箱密码加密后的密文，在本例中为：BB6DFB5DF061，将它们两两分开，得到：BB,6D,FB,5D,F0,61，分别记为b1,b2,b3,b4,b5,b6。由于此加密密文的总长度为12，所以我们可以判断邮箱真正地密码长度为12÷2-1＝5，即邮箱密码为5