前端加解密对抗encrypt-labs

最新推荐文章于 2025-02-21 10:37:58 发布
最新推荐文章于 2025-02-21 10:37:58 发布
阅读量1.1k 收藏 15
点赞数 26
文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83799022/article/details/144826911
版权

前言

项目地址:https://github.com/SwagXz/encrypt-labs

作者:SwagXz

现在日子越来越不好过了,无论攻防、企业src还是渗透项目,总能看到大量的存在加密的网站,XZ师傅的前端加密靶场还是很值得做一做的,环境很贴合实战会遇到的一些情况,本人web小菜鸡练完之后反正是收获颇丰,推荐给各位师傅。

之前自己在学习前端加解密经常遇到加密解不了的情况;之后慢慢看师傅们的文章,也学到了很多绕过技术,于是写了个简单的靶场,为之后的师傅们铺路学习,加密方式列出了我经常见的8种方式包含非对称加密、对称加密、加签以及禁止重放的测试场景,比如AES、DES、RSA,用于渗透测试加解密练习。希望可以帮助到最近在学习这块知识的师傅,靶场函数.很简单,和实战相比还是差的有点多,不过应该够入门了

默认密码:admin/123456

http://82.156.57.228:43899 (混淆)

http://82.156.57.228:43899/easy.php (无混淆)

加解密插件/工具

burp自动加解密插件autoDeceder:https://github.com/f0ng/autoDecoder

这个插件可以帮忙处理常见的AES、DES、SM4、SM2、RSA等加密,灰常好用

还有个浏览器插件:Ctool 程序开发常用工具:https://ctool.dev/

直接在谷歌商店或者火狐商店即可下载

也是可以对常见的加密方式进行加密解密,这个适用的加解密方式更多,如果只是用于验证加解密情况的话,这个插件会方便很多

encrypt-labs

使用无混淆的进行测试说明

http://82.156.57.228:43899/easy.php (无混淆)

admin/123456

【第一关】AES固定key

抓包发现数据包被加密了:加密参数为encryptedData

直接跟进js查看,直接在进入位置下断点,再次抓包

一个断点直接找到加密后的数据和加密前的数据,向上查找,发现是用AES加密

function sendDataAes(url) {
    const formData = {
        username: document.getElementById("username")
            .value,
        password: document.getElementById("password")
            .value
    };
    const jsonData = JSON.stringify(formData);

    const key = CryptoJS.enc.Utf8.parse("1234567890123456");
    const iv = CryptoJS.enc.Utf8.parse("1234567890123456");

    const encrypted = CryptoJS.AES.encrypt(jsonData, key, {
            iv: iv,
            mode: CryptoJS.mode.CBC,
            padding: CryptoJS.pad.Pkcs7
        })
        .toString();
    const params = `encryptedData=${encodeURIComponent(encrypted)}

根据断点信息可知:

AES加密,CBC模式,PKCS5Padding

key:1234567890123456 / iv:1234567890123456

autoDecoder

配置数据包自动加解密

输入key / iv,设置正则表达式,正确设置正则表达式之后才可以实现自动解密

配置需要加解密的域名

尝试重放

最低0.47元/天 解锁文章
encrypt-labs靶场搭建(docker)
weixin_73049307的博客
11-25 722
访问192.168.230.134:82(个人kali的IP地址)默认账户密码:admin/123456。
【JS逆向】前端加密对抗基础
rumil的博客
01-23 2113
【JS逆向】前端加密对抗基础和靶场练习。 encrypt-labs 靶场基本练习。
Secret-Key Encryption Lab网安实验
热门推荐
l4kjih3gfe2dcba1的博客
07-30 1万+
Secret-Key Encryption Lab网安实验 实验站点 文章目录Secret-Key Encryption Lab网安实验Task 1: Frequency Analysis Against Monoalphabetic Substitution CipherTask 2: Encryption using Different Ciphers and ModesTask 3: Encryption Mode – ECB vs. CBC-aes-128-ecb-aes-128-cbcTask 4
实战案例—encrypt靶场(RSA加密篇)
zhouzhou_98的博客
02-21 638
RSA加密作为一种非对称加密算法,与AES加密不同加密和解密时使用不相同的密钥。公钥用于加密数据,而私钥则用于解密数据。这种非对称的设计使得RSA加密能够在不直接传递密钥的情况下完成解密,从而确保了信息的安全性。RSA加密算法的安全性基于一个数学难题:对大整数进行因数分解的困难性。目前常用的RSA密钥长度为1024位、2048位和3072位等,因此,只要密钥足够大,RSA加密就能提供极高的安全性。在已知知道公钥和密文的情况下,也很难还原被加密的数据。
Encrypt-labs靶场搭建(kali搭建)
ushsbnzjz的博客
12-27 414
如果kali不能直接拖,可以选择下载到本地,然后拖到kali。访问自己kali的82端口就是靶场页面,原始账号密码:admin/123456。不然每次启动kali会占用进程和端口。不做了以后记得关闭靶场。然后cd到靶场目录下。
信息安全】seed-labs实验-Secret-Key Encryption Lab
可乐大牛的博客
12-27 5286
然后我们还有一个已知的排序结果words_frequency(这个是百度搜到的字母出现频率),这两个排序结果的对应关系我们就认为是对照表了,接着使用这个对照表翻译密文得到明文out.txt。单表替换密码(将明文中的字母按照对照表映射成密文),会将明文中的统计规律带到密文中,如明文中出现最多的是A,则密文中出现最多的就是A在对照表下的密文。比如我想将DF修改成EF,做法就是选中EF(是鼠标拖动,让ED块变红),然后右键复制,选中DF右键删除,然后再右键黏贴。
encrypt-labs前端加密对抗练习靶场
Liyu_6618的博客
12-17 521
前端加密对抗练习靶场,包含非对称加密、对称加密、加签以及禁止重放的测试场景,比如AES、DES、RSA,用于渗透测试练习。下载地址:关注公众号“知攻善防实验室”后台回复“encrypt”获取。然后运行start.sh,注意,需要运行两次start.sh。原文作者SwagXz,本文只做Vmware合并。直接下载,使用Vmware打开即可。访问http://IP:83即可。缺点:国内需要解决网络访问问题。搭建方式(Vmware推荐)搭建方式(docker)优点:Docker搭建快。
encrypt-body-spring-boot-starter:(停止维护,替代品搜索:https
05-13
encrypt-body-spring-boot-starter是对SpringBoot控制器统一的响应体加密与请求体解密的注解处理方式,支持MD5/SHA/AES/DES/RSA。 加密解密支持 可进行加密的方式有: MD5 SHA-224 / 256 / 384 / 512 AES DES ...
mybatis-encrypt-plugin:mybatis数据脱敏和字段加解密插件
05-14
敏感数据加解密以及数据脱敏mybatis插件 介绍 本工具是基于mybatis的插件机制编写的一套敏感数据加解密以及数据脱敏工具。 在使用时通过注解指定一个字段是需要加密的字段,该插件会在存储时自动加密存储。 而查询时...
JavaScript学习 -- AES加密算法
Web安全工具库
08-01 6139
AES对称加密算法是一种广泛使用的加密标准,它能够对数据进行加密和解密操作,使用相同的密钥进行处理。其安全性得益于使用的密钥长度,AES可以使用128位、192位或256位的密钥进行加密,密钥长度越长,破解的难度也就越大。在前端应用中,我们可以使用JavaScript来实现这一加密算法,确保敏感数据在传输和存储过程中得到保护。
Js:Crypto与PHP:openssl AES加密解密
FuJinlong94的博客
10-22 2377
crypto 是一个纯javascript写的加密算法类库 ,可以非常方便地在 javascript 进行 MD5、SHA1、SHA2、SHA3、RIPEMD-160 哈希散列,进行 AES、DES、Rabbit、RC4、Triple DES 加解密。 因为需求是加密可逆,具有一定的安全性(对安全性要求不高),所以使用DES或AES即可,我用的是AES; 加密解密固定算法是相通的 只要找到对应的加解密方法加解密就可实现 在使用CryptoJS中 常见的就是WordArray对象 我们把它理解为一个新的
js前端AES加密实现方法。
12-05
js前端AES加密实现方法。用于前端字符串的加密和解密操作。
CryptoJS
weixin_30414155的博客
09-21 1126
/** * CryptoJS core components. */ var CryptoJS = CryptoJS || (function (Math, undefined) { /* * Local polyfil of Object.create */ var create =...
【Vue3中使用crypto-js】crypto-js加密解密用法
m0_69892739的博客
01-09 4831
在上述示例中,通过CryptoJS.lib.WordArray.random(16)生成了一个 16 字节的随机iv,然后在CryptoJS.AES.encrypt方法中传入iv参数,指定了加密模式为CBC(Cipher Block Chaining,密码块链接模式),这种模式下需要使用iv。将明文分成固定长度的块,每个块独立使用密钥进行加密,相同的明文块会生成相同的密文块,加密和解密过程相对简单,易于实现,加密速度快。由于相同明文块加密结果相同,容易受到已知明文攻击,安全性较低。KEY:定义的加密密钥。
java dofinal_java – 在AES解密时,给定Final Block未正确填...
weixin_35820423的博客
03-04 347
首先,我会告诉我的主要目标是什么.我将使用AES加密客户端中的某些内容,然后使用RSA公钥加密重要的AES规范,并将AES加密数据和RSA加密AES规范发送到服务器.所以在服务器上,我将使用RSA私钥解密AES密钥规范,然后使用这些AES规范,我将解密AES加密数据.我通过测试加密和解密成功地使RSA部分工作.在实现RSa之前,我要使这个AES艺术工作.对于客户端,我使用的是crypto-js$(...
探索Crypto-JS:安全加密的Web开发利器
gitblog_00098的博客
03-25 537
探索Crypto-JS:安全加密的Web开发利器 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个方便易用的JavaScript库,由Evan Vosberg开发,用于在浏览器环境中执行各种常见的密码学操作。它提供了大量的加密算法,如AES、DES、RSA等,让Web开发者能够在客户端进行数据加密和解密,保障用户信息的安全性。 技术分析 Crypto-JS的核心是...
前端JS加密与Buspsuite的坦诚相待
Enlink_Young的博客
01-22 984
这种方式就存在一个很明显的问题,那就是在大量的Fuzz测试过程中,本地生成再手工替换会消耗大量的时间,这个时候我们就会想,能不能直接在Burpsuite前后利用脚本的形式进行加解密操作,让数据在Burpsuie里展示的时候已经是加解密后的数据呢?其实口令admin、admin是正确的,只不过我们提交password已经是明文的admin了,后面还会对这个admin进行解密,导致解密后的口令就不再正确了,所以我们还需要在Burpsuite把数据提交给服务端服务器之前,重新把数据给加密回来。
crypto-js加密与解密
weixin_48193914的博客
12-03 516
使用CryptoJS库轻松地进行数据的加密和解密操作。
encrypt-labs
最新发布
03-14
### 加密技术及其应用 加密是一种通过特定算法将原始数据转换为不可读形式的技术,从而保护敏感信息不被未经授权的访问者获取[^1]。在Android项目中实现加密字符串的功能可以有效提升应用程序的安全性。 对于存储在S3桶中的高度敏感数据(如个人和财务信息),如果需要确保这些数据以安全的方式存储并监控不当存储的数据,则可以选择使用Amazon Macie服务[^2]。Amazon Macie 是一种完全托管的服务,它利用机器学习来自动发现、分类和保护存储在 Amazon S3 中的敏感数据。它可以识别潜在的风险,并发送警报以便及时处理未按规定方式存储的数据。 以下是关于加密技术和实验室的一些具体方向: #### 1. 对称加密与非对称加密 - **对称加密**:使用相同的密钥进行加密和解密操作,常见的算法有AES (Advanced Encryption Standard)。 - **非对称加密**:采用一对公私钥来进行加解密过程,RSA是最典型的例子之一。 #### 2. 哈希函数 哈希函数能够把任意长度的消息映射成固定大小的一串字符值(即摘要)。MD5 和 SHA系列都是广泛使用的散列算法。 ```python import hashlib def generate_hash(message, algorithm='sha256'): hasher = hashlib.new(algorithm) hasher.update(message.encode('utf-8')) return hasher.hexdigest() print(generate_hash("example message")) ``` 此代码片段展示了如何基于Python生成消息的SHA-256哈希值。 #### 3. 数字签名 数字签名为验证文件的真实性和完整性提供了保障机制。通常结合非对称加密方法完成签署动作以及后续的身份确认工作流程。 --- ### 实验室实践建议 为了深入理解上述概念,在实际环境中设置实验环境至关重要。例如尝试构建一个简单的端到端通信系统模型,其中涉及以下环节: - 数据传输前后的加密/解密; - 验证接收到的信息是否遭到篡改——这可以通过比较前后两次计算所得出的hash值达成目标; 此外还可以探索AWS平台上的各种工具和服务怎样协助企业满足合规需求的同时加强信息安全防护措施,比如刚才提到过的Amazon Macie就是这样一个实例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值