6、基础入门-加密编码算法

前言

在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备。

超级加密解密工具V2.1(支持104种方法)

image-20210705150514409

常见加密编码等算法分析

#常见加密编码等算法分析
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等 

#常见加密形式算法解析
直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等

#常见解密方式(针对)
枚举,自定义逆向算法,可逆向

#了解常规加密算法的特性
长度位数,字符规律,代码分析,搜索获取等

加盐MD5:md5(md5($pass).$salt)先MD5,再加盐MD5 CMD5在线解密
注意SQL注入时对语句进行加密。需要知道SQL注入的加密方式,而后将语句进行加密,再注入。
测试注入点要对payload进行加密

#企业基本设备部署情况:
云waf----DDOS-----FW----F5----WAF

加解密

MD5

特点:32位数字字母(a-f)混合,不可逆

平台:解密md5

原理:枚举,正向得到md5值,做成字典,再反向查询

https://cmd5.com/

somd5.com/

image-20210705150542912

16位MD5

特点:16位数字字母(a-f)混合,不可逆

image-20210705150614784

SHA

特点:40位数字字母(a-f)混合,不可逆

image-20210705150628396

SHA256/384/512

image-20210705150641859

AES

加密模式、填充、数据块、密码、偏移量、输出、字符集

明文越长,密文也越长

输出有时候带'/'

image-20210705150700333

DES

明文越长,密文也越长

可自定义密码

输出有时候带'+'

image-20210705150713099

image-20210705150730325

编码

ASCII

image-20210705150802774

BASE64

特点:区分大小写,长度固定。密文越长,编码越长。大写字母小写字母数字的组合。末尾常有一两个‘=’。

image-20210705150822350

URL

地址栏上常见的编码

介绍:有特殊含义的字符会被转码

特点:前面带%,后面是数字或字母

image-20210705150839305

Unescape

特点:一个%u加上四个数字

单数的时候最后一个%00

双数的时候最后一个%0000

image-20210705150855182

image-20210705150933605

其他

时间戳

介绍:距离1970 年1月1日的秒数

image-20210705150950939

演示案例

某CTF比赛题目解析

#脚本自定义算法组合逆向

加密代码

image-20210705151011026

解密代码

image-20210705151028659

反向解密就行了

某CMS密码加密解密

#MD5+salt
#部分CMS密码加密形式-wp,dz等

($md5($pass).$salt) discuz加密方式

image-20210705151052734

某URL加密地址的漏洞测试

#AES+BASE64+自定义
#观察参数值加密字符串,下载源代码分析,函数定义AES加密,涉及模式CBC,128位,加密密码,偏移量,两次BASE64减去常规一次,填充模式。(mozhe)
ZUlJOGMzSmVMMHQwZHhNN3diM056Zz09
eII8c3jeL0t0dxM7wb3Nzg==

image-20210705151111187

image-20210705151123001

信息泄露-》扫网站

image-20210705151144443

image-20210705151206595

image-20210705151226578

先base64解密一次,再用AES解密

image-20210705151239067

注入的话,应对

image-20210705151255968

进行AES加密再base64加密

image-20210705151308744

image-20210705151425513

某实际应用URL地址参数加密

#搜索特定关键字加密字符串

搜索url包含MQ==的页面

image-20210705151439303

参数base64加密

image-20210705151458676

涉及资源

https://www.mozhe.cn

https://www.cmd5.com

http://tool.chacuo.net/cryptaes

https://ctf.bugku.com/challenges

https://www.cr173.com/soft/21692.html

https://gitee.com/ComsenzDiscuz/DiscuzX

最后修改:2021 年 07 月 15 日 09 : 45 AM
如果觉得我的文章对你有用,请随意赞赏