day04 30余种加密编码进制&Web&数据库

最新推荐文章于 2024-10-04 15:55:22 发布
最新推荐文章于 2024-10-04 15:55:22 发布
阅读量5k 收藏 2
点赞数
分类专栏: 小迪网安笔记 文章标签: 前端 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hesysd/article/details/123263040
版权
本文深入探讨了在渗透测试中,安全测试人员如何理解和使用各种加密方式,如MD5、SHA、进制、时间戳、URL、BASE64、AES和DES等。通过分析加密编码的特性,介绍了在线解密工具的使用,并提供了实际的SQL注入漏洞测试案例,强调了在安全测试中解密密码和参数的重要性。此外,还分享了多个密码解密和加密资源链接,以供进一步学习和实践。
摘要由CSDN通过智能技术生成

在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备。

#知识点:

  1. 存储密码加密-Web&数据库&系统
  2. 传输数据编码-各类组合传输参数值
  1. 代码特性加密-JS&PHP&NET&JAVA
  2. 数据显示编码-字符串数据显示编码

常见加密编码等算法解析

MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等

  1. MD5(不可逆)
    16位和32位,加密密文字符串由A-Z,0-9随机分配,80%网站管理员或用户密码加采取MD5加密。(不可逆)



    网上的MD5在线工具,它的解密过程是用了枚举方法
  2. SHA
    由A-Z,0-9随机组合,SHA1,SHA256,SHA384,SHA512长度固定。(不可逆)

  1. 进制
    16进制加密

  2. 时间戳
    网站或者服务器脚本语言里经常会使用,会在数据库里用户登录和注销,注册里会使用
  1. URL
    浏览器只做一次加密,在渗透绕过的时候可能会使用二次,三次加密方式

  2. BASE64
    大小写随机组合,在字符串后面经常出现一个或两个等号
    明文越长,密文越长
    常见应用:代码、密码、参数
    浏览器只做一次加密,在渗透绕过的时候可能会使用二次,三次加密方式

  1. unescape
    %u+4位数字,对应两位字符,主要应用WEB应用上

  2. AES
    是一种安全的加密方式,涉及到密码,偏移量,数据块,填充,在加密时候涉及到4种随机性。解密难度大。用base64解密出来是乱码,有很大可能是AES加密。有时候/出现在字符串里面。比较注重安全和大型网站、安全比赛
    注:必须有密码和偏移量,否则无法进行解密

  1. DES
    类似于BASE64,有时候+会出现字符串里

常见加密形式算法解析

直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等

常见加密方式

枚举,自定义逆向算法,可逆向

了解常规加密算法的特性

长度位数,字符规律,代码分析,搜索获取等

涉及在线工具

DES加密-DES解密-在线DES加密解密工具

md5在线解密破解,md5解密加密

时间戳(Unix timestamp)转换工具 - 在线工具

http://tool.chacuo.net/cryptaes

在线DES加密/解密工具 - 密码工具箱 - 脚本之家在线工具

在线加密解密 - chahuo.com

演示:SQL注入漏洞测试(参数加密)

  1. 进入题目

  2. 使用御剑扫描该IP

  1. 在浏览器中输入该URL,发现使用PHP文件

  2. 访问该URL,下载压缩包并解压

  1. 得到解密源码

  2. 审计源码,发现是由两次base64加密得到。
    一次base64解密,

  1. 二次base64解密:
    选中对应模式:
    AES加密模式:CBC、数据块:128位、密码:ydhaqPQnexoaDuW3、偏移量:2018201920202021
    解密得出:1_mozhe

  2. 审计代码,最终得出值为:1

在SQL注入时,要将1 and 1=1或者其他payload共同按格式加密之后才可以进行

部分资源:

https://www.cmd5.com

http://tmxk.org/jother

http://www.jsfuck.com

http://www.hiencode.com

http://tool.chacuo.net/cryptaes

https://utf-8.jp/public/aaencode.html

1.30余种加密编码类型的密文特征分析(建议收藏)

https://mp.weixin.qq.com/s?__biz=MzAwNDcxMjI2MA==&mid=2247484455&idx=1&sn=e1b4324ddcf7d6123be30d9a5613e17b&chksm=9b26f60cac517f1a920cf3b73b3212a645aeef78882c47957b9f3c2135cb7ce051c73fe77bb2&mpshare=1&scene=23&srcid=1111auAYWmr1N0NAs9Wp2hGz&sharer_sharetime=1605145141579&sharer_shareid=5051b3eddbbe2cb698aedf9452370026#rd

2.CTF中常见密码题解密网站总结(建议收藏)

https://blog.csdn.net/qq_41638851/article/details/100526839

3.CTF密码学常见加密解密总结(建议收藏)

https://blog.csdn.net/qq_40837276/article/details/83080460

匿名用户0x3c
关注
专栏目录
网安工具系列:30余种加密编码类型密文特征分析(建议收藏)
weixin_54626591的博客
01-08 884
30余种加密编码类型密文特征分析(建议收藏)
数据库国产化探究及升级改造过程指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-18 2539
当前官网最新版本为DM8,相较于目前主流产品架构:不同特性依靠不同内核去实现,DM8独特采用了双存储引擎架构,行存储引擎和列存储引擎可相互配合、协同工作。同时实现了计算层和存储层的分离,同一内核既支持共享存储式集群,也支持分布式事务集群。
第四天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值
m0_51322401的博客
11-27 1082
是一种安全加密方式,涉及到密码,偏移量,数据块,填充,在加密时候涉及到4种随机性。Base64编码要求把3个8位字节(38=24)转化为4个6位的字节(46=24),之后在6位的前面补两个0,形成8位一个字节的形式。如果剩下的字符不足3个字节,则用0填充,输出字符使用‘=’,2:碰撞性:原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。3:不可逆:也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,
免费在线解密md5的网站
最新发布
棉花糖的博客
10-04 312
稍微好一点的解密md5网站都要收费,今天给大家带来一个不收费的且好用的在线md5解密网站,密文收录量达到10万亿级别。
【小迪安全Day04基础入门-30 余种加密编码进制&Web&数据库&系统&代码&参数值
2201_75772809的博客
04-28 901
MD5 值是 32 或 16 位位由数字"0-9"和字母"a-f"所组成的字符串SHA1 这种加密密文特征跟 MD5 差不多,只不过位数是 40NTLM 这种加密是 Windows 的哈希密码,标准通讯安全协议AES,DES,RC4 这些都是非对称性加密算法,引入密钥,密文特征与 Base64 类似应用场景:各类应用密文,自定义算法,代码分析,CTF 安全比赛等BASE64 值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号=URL 编码是由数字"0-9"和字母"a-f"所组成
第4天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值
qq_61125086的博客
03-14 675
扫一下网站,发现list.zip文件,解压缩是PHP文件,里面有解密过程代码,搜一下里面的函数作用,是什么加密算法(AES),然后知道了参数值,对应为分组模式(CBC),密码、填充值、偏移量等数据。从output文件夹里看到,zip文件,解压是txt文件,notepad++打开乱码,用记事本打开,然后在线解密就行。应用场景:参数传递(如注入影响),后期WAF绕过干扰写法应用(对后门进行加密,使得检测不出来),视频地址还原等。搭建网站,注册用户,密码存储在数据库中以密文形式,MD5密文形式。
第4天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值
qq_56414082的博客
11-01 410
搜狐视频-BASE64解码https://tv.sohu.com/v/MjAyMTEyMzAvbjYwMTE0NTUxMC5zaHRtbA==.html。解密不直接通过算法解密,枚举,将每个加密后进行碰撞测试出每个位数对应的加密字数。3、看当前密文存在的地方(Web数据库,操作系统等应用)对1123进行加密,生成的密文进行比对,这样来进行解密的。2、看密文的特征(数字,字幕,大小写,符号等)2.掌握常见的加密解密编码解码进制互转的操作。3.了解常见的加密解密编码解密进制互转的影响。
通达oa2017 数据库表结构
lzs
02-11 5144
通达oa2017表结构
Day02:DAY02-从头开始
03-10
在“Day02: DAY02-从头开始”这个主题中,我们可以假设这是一个学习计划或者教程的第一部分,旨在帮助初学者系统地掌握某个IT领域的基础知识。虽然标签没有提供具体的领域信息,但根据通常的学习路径,我们可以从零...
JavaWeb复习Day2
睡个好觉吗
10-31 2271
JavaWeb复习Day2 JavaWeb试题及答案JavaWeb复习Day2选择题第1章WEB开发环境标题第2章JSP编译指令第3章 JSP动作指令第4章 JSP内置对象第5章 JSP&JavaBean综合应用第6章 自定义标签第7章JSTL第8章 Servlet 技术第9章 Servlet 常用接口第10章 Servlet请求响应机制第11章 会话跟踪技术(上)第12章 会话跟踪技术(下)第13章 请求转发机制第14章 web监听与过滤第15章 国际化和JSP中文乱码处理第16章 JSP&amp
BUUCTF-WEB
ccfly1012的博客
11-02 3933
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
30余种加密编码类型密文特征分析建议收藏
12-16 9280
30余种加密编码类型密文特征分
30余种加密编码类型密文特征分析
wangyuxiang946的博客
11-19 2万+
声明:本文只收集了30余种加密编码类型,关于他们的介绍来源于网络,重点讲的是他们的密文特征,还有很多类型没有讲到,后续等我研究明白了再发,转载请注明来源,感谢支持 MD5、sha1、HMAC算法、NTLM等相似加密类型 1、MD5——示例21232F2...
05-30余种加密编码进制WEB
易编橙 · 终身成长社群,相遇已是上上签!
06-10 362
30余种加密编码类型密文特征分析(建议收藏) https://mp.weixin.qq.com/s?__biz=MzAwNDcxMjI2MA==&mid=2247484455&idx=1&sn=e1b4324ddcf7d6123be30d9a5613e17b&chksm=9b26f60cac517f1a920cf3b73b3212a645aeef78882c47957b9f3c2135cb7ce051c73fe77bb2&mpshare=1&scene=23
分享几个好用的在线破解md5的网站
cheng1a的博客
06-25 2万+
分享国内常用的几个免费MD5在线解密网站,一个不行就试试下一个;简洁的页面让人看着很舒服。
md5在线转换计算机,已解付费MD5在线解密查询
weixin_34366539的博客
06-19 1万+
付费MD5查询结果c6ad08219ced82e2admin81694151f7943c1df6cae1780511770829038acc3e7ad61817bs5^f#32265bf91a56795747kel)o0*ke4e8ea189145e917f18dancenlyca57060c984cf034jxdx114456BBD1B8D041943B72A2F609B701CFA0Ddszb...
怎么解密MD5,常见的MD5解密方法,一看就会
热门推荐
ITduo的博客
02-15 3万+
MD5是一种被广泛使用的密码散列函数,曾在计算机安全领域使用很广泛,但是也因为它容易发生碰撞,而被人们认为不安全。那么,MD5应用场景有哪些,我们怎么解密MD5,本文将带大家了解MD5的相关知识,以及比较简单的MD5解密方法。
md5在线解密
qq_34004088的博客
07-30 4460
点击进入在线解密
MD5在线加密解密
qq_33240556的博客
07-07 1212
MD5在线加密 https://md5jiami.bmcx.com/ MD5在线解密 https://www.cmd5.com/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

匿名用户0x3c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值