渗透测试之[加密算法]

最新推荐文章于 2024-01-11 19:00:16 发布
最新推荐文章于 2024-01-11 19:00:16 发布
阅读量1k 收藏
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67742636/article/details/128091219
版权

前言:在渗透测试,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本次文章将讲解各种加密编码的知识,便于后期的学习。

常见的加密编码等算法解析

如:md5,sha,asc,进制,时间戳,URL,BASE64,unescape,AES,DES等

首先我们来介绍下md5加密:

一 md5加密是对字符或密码进行的16位或32位等加密方式! 一般在普通MDB数据库经常用到,比如论坛数据库等.有用!(MD5是不可逆的

二 加密解密并不矛盾,比如银行系统的128位加密现在谁可以轻易破的了呢?

虽然md5加密不算很难破,但一般也是穷破法,如果密码不是过于简单的 话,那么就很难破(使用工具)!比如密码为 dafsd63f43t5#$! 这样的密码经过md5加密之后就形成了一段密文.用穷破法的话这样一个密码也许要用几年的时间才可以破开~!

 

如上图的不可逆:这个是告诉我们不能通过密文去解密成明文也就是我们俗称的不可逆。 

现在说一下破解的方法:

 md5的解密方法的原理:

                因为我们知道MD5值是固定的,比如说你对1进行MD5加密,他会返回加密后的字符串:25f9e794323b453885f5181f1b624d0b ; 也就是说它加密这个字符串是不变得,也就是说只要我们收集一些MD5加密后的密文,然后保存在字典里面,只需要你将某个地方得到的MD5值放进去进行匹配,这样就可以得出明文。

                举个例子:你在A网站拿到了某管理员的密码,但是他的密码是采用MD5加密的,如:明文:admin 密文:21232f297a57a5a743894a0e4a801fc3(<---你拿到的密文),然后你将这串密文放到你的字典去匹配,你就破解了他的密码,得出明文admin。这样做有一个漏洞就是你的字典要足够多足够强大:不然对方密码设置难一点你是匹配不到的。

sha1,sha2,sha3,sha4加密:

 如上图:这是sha1的加密方式其实他和md5加密方式是差不多的,注意他们的区别:他们的区别就在它们的位数,我们这里主要介绍sha1的加密方式:sha1的加密后的位数是40位,sha2加密后的位数是64位,sha3加密后的密文是96位,sha4加密的位数是128位,因为他其实和md5加密方式差不多所以就不过多讲解,区分MD5和sha1到sha4的方法就是看他们的位数。

asc进制加密转换:

 这个进制加密其实挺简单的:这里就简单说一下他是怎么的得到密文的:(因为在实际情况中我们如果看到密文:1就是1,2就是2,很少用到进制加密)如上图我们知道明文是1,1的ascll码值为49,49转换为16进制就是31【能知道这个加密方式就行,一般实际情况基本不会用到这种加密】

base64加密:

我们首先来介绍base64:

Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。可查看RFC2045~RFC2049,上面有MIME的详细规范。
Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性,需要解码后才能阅读。
Base64由于以上优点被广泛应用于计算机的各个领域,然而由于输出内容中包括两个以上“符号类”字符(+, /, =),不同的应用场景又分别研制了Base64的各种“变种”。为统一和规范化Base64的输出,Base62x被视为无符号化的改进版本

base64编码加密的特点:base64编码如果明文加密长度越长那么base64的长度也就越长:

如下图:

 其第二个特点就是base64编码的末尾有时会出现一个=,或者两个==,base64的位数是由(0-9.a-z,A-Z)它与MD5的区别是他还有大写的A-Z。他是一种编码也就是可以通过密文直接得到明文。

unescape编码加密:

简介:

原理:Escape/Unescape加密解码/编码解码,又叫%u编码,从以往经验看编码字符串出现有"u",它是unicode编码,Escape编码采用是 UTF-16BE 模式。这样一来问题非常简单了。Escape编码/加密,就是字符对应UTF-16 16进制表示方式前面加%u。Unescape解码/解密,就是去掉”%u”后,将16进制字符还原后,由UTF-16转码到自己目标字符。如:字符“中”,UTF-16BE是:6d93,因此Escape是“%u6d93”,反之也一样!因为目前%字符,常用作URL编码,所以%u这样编码已经逐渐被废弃了!

 unescaoe编码的特征:他的密文的第一位数是百分号%,第二位是u,一组代表的两个字符

如果字符为单数它前面就是00,如果是双数它就会在某位加上一个%u00如下图加密一个双数的明文:

 

AES加密原理:

友情链接:https://blog.csdn.net/jiamisoft/article/details/125783821

如果想要解密aes加密的话首先你必须要要知道密码,还有偏移量,因为其他的都可以一个一个尝试,然后破解。

斩杀zhansha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
知识领域: 网络安全 技术关键词: 漏洞分析、渗透测试加密算法 内容关键词: 攻击防范、网络流量分析、身份验证
05-05
技术关键词: 漏洞分析、渗透测试加密算法 内容关键词: 攻击防范、网络流量分析、身份验证 用途: 学习保护信息系统免受恶意攻击和数据泄露 资源描述: OWASP (Open Web Application Security Project) 提供了广泛的...
知识领域: 网络安全 技术关键词: 漏洞分析、渗透测试加密算法 内容关键词: 攻击防范、身份验证、网络流量分析
最新发布
04-18
技术关键词: 漏洞分析、渗透测试加密算法 内容关键词: 攻击防范、身份验证、网络流量分析 用途: 学习保护信息系统免受恶意攻击和数据泄露 资源描述: "OWASP官方网站"提供了全面的网络安全知识和工具,包括常见漏洞...
渗透测试高级技巧(二):对抗前端动态密钥与非对称加密防护
YakProject的博客
10-13 381
在本篇“高级技巧”中,我们明显和《渗透测试高级技巧(一)》中的验签有了非常明显的区分,我们大量使用了 Web Fuzzer 序列来实现有上下文关联的部分。并且在这个案例中,因为响应的加密,导致区分“爆破”结果变得十分困难,我们也给出了一些处理技巧和实际方案。当然本篇内容的靶场和使用案例也并不是空想,而是来源于真实案例的总结和抽象。在实际使用中,加密算法和接口名称与当前案例略有差别,但是笔者相信,在完整实现过这个流程之后,你一定已经对 Web Fuzzer 序列的使用更加得心应手了。
AES加解密测试
yyyyouuu的博客
02-09 738
前后端AES加密,保证数据的安全有效
渗透测试过程中的JS调试
Javachichi的博客
04-25 290
渗透测试过程中经常会遇到无验证码或者验证码失效的情况,一但发现这种情况,肯定得进行账户密码的爆破,但抓包后发现,账户密码加密了.....此时的你,是不是已经准备好了放弃?遇到这种情况不要慌,F12翻翻加密方式,往往会有意外惊喜。今天在测试过程中就发现了网站使用的AES加密,并且在js代码中已经直接给出了加密key和加密矢量,通过这些。我们就能自己写个js小脚本,去将自己的弱口令字典转换为加密后的值,然后在进行爆破。
AES 算法测试
sugang1990的博客
01-11 1470
工作中使用到AES加解密算法,了解一下怎么测试AES加解密。通过网页算法和芯片测试结果对比,来验证芯片加解密是否正常。
国密SM2算法(JS加密,C#、Java解密)
清山博客
02-18 7809
注意:C#加解密使用的是 BouncyCastle.Crypto.dll,版本为:1.9.0.1,不同版本加密代码不一样,折腾这个问题折腾了挺久。为了方便验证加密、解密结果,本文以一组固定的公钥和私钥进行演示(公钥和私钥后文有描述如何产生)。注意:Java加解密使用的是 bcprov-jdk16-1.46.jar 这个版本的包。前端js使用公钥进行加密,后端使用私钥进行解密(后端可以是C#或java语言)。我这里使用的是VScode调试Java代码。RSA加密(JS加密,C#、Java解密)请参考。
知识领域: 网络安全 技术关键词: 漏洞分析、渗透测试加密算法 内容关键词: 攻击防范、网络流量分析、身份验证 用途: 学习保
04-18
技术关键词: 漏洞分析、渗透测试加密算法 内容关键词: 攻击防范、网络流量分析、身份验证 用途: 学习保护信息系统免受恶意攻击和数据泄露 资源描述: Cybrary 提供了免费的网络安全课程,覆盖了从基础到高级的各种...
eLearnSecurity移动应用程序渗透测试.pdf
10-06
Java加密包括SHA256和MD5等加密算法。 六、Reversing Apks Reversing Apks是移动应用程序渗透测试的重要步骤。Reversing Apks可以帮助我们了解移动应用程序的内部机理和安全机制。Reversing Apks可以使用诸如dex2...
加密接口测试
weixin_44425901的博客
10-29 1756
加密接口测试方法
测试必了解:常见加密算法解析
qq_41130705的博客
04-25 1725
前言:在测试过程中,我们经常会遇到加密或者解密的情况,我们需要针对项目中的加密方式进行相关操作,下面就一起来看看常见的加密方式有哪些吧 一、什么是加密/解密? 答:加密就是通过一定手段把需要传输的数据,进行复杂化的算法加密,而解密的过程中就是把加密算法计算后的数据,进行逆向解密(注:部分加密方式不可逆) 二、为什么要做加密? 答:因为要保护数据的安全性和防篡改 三、加密方式介绍 a)算法 1: base64 解析:严格老说这不是加...
Java 实现 Base64 加密
lyfGeek的博客
05-26 4058
Java 实现 Base64 加密
BASE64加密解密---前端 AES 加密解密
m0_68956554的博客
10-26 2353
BASE64加密解密---前端 AES 加密
App渗透中常见的加密与解密。
yihuliunian的博客
05-19 5856
随着App移动应用技术 的广泛应用及移动开发技术的飞速发展过程中,移动应用的安全也越来越被得到重视,在App服务端渗透中,我们在抓包时经常会发现App在数据传输过程中做了加密(如图1),以防止数据被查看或者被篡改;而渗透过程中的很多时候我们都需要抓包数据修改,这就要求我们需要先对App数据包进行解密了。 一、一些常见的加密方式 对于App传输数据加密,一般会考虑三个方面 1) 可用性:客...
非对称加密算法
Leon_Jinhai_Sun的博客
09-22 2783
非对称加密 简介: ① 非对称加密算法又称现代加密算法。 ② 非对称加密是计算机通信安全的基石,保证了加密数据不会被破解。 ③ 与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密(privatekey) ④ 公开密钥和私有密钥是一对 ⑤ 如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密。 ⑥ 如果用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。 ⑦ 因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 示例 首先生.
安全第五天
zhong_yan的博客
10-24 115
前言 在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备。 常见加密编码等算法解析 MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等 加密演示: 1、MD5(不可逆) 16位和32位,加密密文字符串由A-Z,0-9随机分配,70%~80%~90%网站管理员或用户密码加采取MD5加密。(不可逆) 可以通过枚举方法破解(也就是对比) 2、sha 由A-Z,0-9随..
实验三:AES
dxxmsl的博客
05-07 647
下面是解密函数的实现,首先,我们确定一下密文的类型,统一转到字节类型,然后去除密文前面的向量,初始化一个aes的密码本模式对象,我们将iv和密文分离,对于每一块,我们先解密,在和前一个密文块进行异或,得到的结果添加到明文空间,最后输出民文,这里我们将密文最后的填充部分给去除了。之后我们定义一个密文空间,是字节数组对象,将向量的值放到字节数组的前面,对于每一个明文块和密文快进行异或操作后,送入aes进行加密加密的结果作为下一个密文块,以此类推,最后返回这个密文。编译语言:python。
Web安全—常见加密编码方式详解(持续更新)
weixin_44431280的博客
03-22 6742
Web安全—常见加密编码方式详解 前言:不管是在Web安全中,还是在渗透测试中,常见的敏感信息(账号/密码)都会通过加密或编码处理后进行传送,了解常见的加密编码方式和特点有助于后续的学习。 应用场景: 1,安全过滤绕过:使用编码绕过常见过滤和限制 2,流量分析:对加密和编码后的数据包进行复原,进行分析 常见加密和编码方式 加密方式特点:密文和明文之间不可逆,通常使用穷举方法进行破解。 编码方式特点:密文和明文之间可逆,可以通过明文获取到密文,也可以通过密文得到明文。 一:MD5加密 特点:密文存在16位和3
密码学 | 密码学简介及Base64编码
爬虫进击之路
08-24 797
密码学是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关
对登录中账号密码进行加密之后再传输的爆破的思路和方式 - FreeBuf互联网安全新媒体平台1
08-03
1. 分析找出是哪个 js 件进了 password 参数值的加密, 将该 js 导本地动态执,建个小型的 web 2. 利 selenium webdrive

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值