刚接手客户的一个由织梦dedecms搭建的企业网站，管理员密码找不到了，还好有ftp的密码，由dede的mysql密码配置文件：common.inc.php获得了mysql权限。

admin表中pwd中赫然写着：c3949ba59abbe56e057f，我勒个去，这是啥加密方式，见过混合加密的，但一般最后都是md5一下，应该16或32位，这个什么呀？？20位….

百度了一下织梦管理员密码的加密方式，发现想这个方法的人绝了，一般都是混合字符串进去然后md5，dedecms呢？直接md5然后取32位中从第五位开始的20个字符。按照概率来说这20个确实可以用于比对密码是否正确。

转念一想不对呀，大名鼎鼎的md5 16位加密不是也是从32位中提取的吗？也就是从第九位开始取16位，正好在这20个字符串里。

就是说比如原密码是123456
他的md5 32是：e10adc3949ba59abbe56e057f20f883e
dede取：e10adc3949ba59abbe56e057f20f883e  就是：c3949ba59abbe56e057f2
实际上md5 16是： e10adc3949ba59abbe56e057f20f883e 就是：49ba59abbe56e057
也就是说你的dede加密密码只要从第四位开始取16位就是md5 16的密码：c3949ba59abbe56e057f2
哈哈然后去反一下吧，当然了能不能反出来还看密码复杂程度，听天由命吧。

估计dede这样设计是为了忘记密码的还能有希望找回，也可能是感觉减少几位对比这个理论不错却忽略了16位的情况，总之这种加密只能防御菜鸟了。