获取 Django 管理员密码

Posted 2023-02-24

【中文标题】获取 Django 管理员密码

【英文标题】：Get Django admin password

【发布时间】：2018-12-26 13:12:54

【问题描述】：

我作为新手使用 Django（2.0 版）并且忘记了管理员超级用户密码。我知道我可以创建另一个超级用户并更改前一个超级用户的密码。但是有什么程序可以知道我忘记的前一个超级用户的 RAW 密码吗？

【问题讨论】：

不，密码不是以纯文本形式存储的，而是以哈希的形式存储的。如果您能找到忘记的密码，那将是一个相当大的安全问题。

您可以简单地构造一个新密码，而无需创建新的超级用户。

你试过manage.py changepassword <your_superuser_username>

是的，但关键是我很想知道以前的密码是什么。

@ShaifulIslam：如果可能的话，那将是一种非常糟糕的安全做法。因为它可以让您查看（并可能使用）同事、客户等的凭据）

【参考方案1】：

默认情况下，密码不存储在数据库中的原始文本中，而是散列。这意味着，鉴于散列算法是一个好的算法，并且 gap 定理 成立，除了枚举所有可能的密码之外，您无能为力找出密码。许多散列算法都有一些弱点，但通常这并没有多大帮助：例如，它使猜测有时快 10 或 100 倍，但仍然需要很长时间才能猜出正确的一个。

散列意味着我们因此有一个函数h，它被认为是一个很好的散列函数，它将密码转换为某些数据，并将该数据存储在数据库中。相同的密码应该会产生相同的散列数据，通常输入（密码）中的微小变化会导致输出（我们存储的数据）发生很大变化。一个好的散列函数具有计算 inverse 不可行的特性：这意味着不应该有直接的方法来根据输出（存储的数据）计算输入（密码），除了通过枚举所有可能的输入，直到这种“猜测”的输出最终与哈希匹配。如果用户登录，Django 将首先计算给定密码的哈希值，然后检查它是否与存储的哈希值匹配。如果是，则登录成功，如果不是，则登录失败。

这意味着（恶意）数据库管理器也无法看到密码。假设您对所有应用程序使用相同的密码（无论如何不推荐），如果其中一台服务器将密码存储为原始文本，则有权访问数据库的人（黑客或公司员工）可以看到密码，并且因此旨在将这些凭据用于其他服务（例如电子邮件服务）。通过散列，损害通常更本地化（也许黑客可以窃取用户数据，但不能重用凭据在其他地方发现更多数据）。

不过，如果您可以访问 Django 管理 shell，您只需将密码更改为给定的密码即可。由于 Django 可以访问数据库（假设您在某处提供了数据库密码），它可以简单地用新密码的散列版本覆盖密码字段。无论旧密码是什么，新密码都可以使用。

你可以通过运行来做到这一点：

python3 manage.py changepassword <username>

<username> 是管理员用户的名称。

【讨论】：

最后我错过了 。谢谢。