分析网站登录处的加密算法

最新推荐文章于 2024-08-15 16:54:22 发布
最新推荐文章于 2024-08-15 16:54:22 发布
阅读量2.2k 收藏 5
点赞数 1
分类专栏: 渗透测试 文章标签: 算法 node.js vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/106933735
版权
本文详细描述了一次渗透测试过程中分析网站登录密码加密算法的过程。通过Burp Suite抓包,发现密码经过了MD5和AES两种加密方式。在login.vue文件中找到JS代码,发现首先使用encrypt()函数(实现AES加密)加密密码,然后对加密结果进行MD5运算。通过调试代码,定位到encrypt()函数存在于utils.js,并解析了AES加密的具体过程。最后,使用Python调用Node.js AES加密模块进行爆破脚本编写,揭示了网站登录密码的加密流程。
摘要由CSDN通过智能技术生成

在某次渗透过程中,碰到了一个登录的网站。于是随便输了个 admin/123456进行登录尝试,准备burp抓包,进行爆破。

发现 password 字段进行了加密,粗略一看很像是MD5加密。但是仔细对比,发现123456的MD5值为:e10adc3949ba59abbe56e057f20f883e ,而不是包中的 9f27a19583a386e11dd6b7bb141161fd 。所以,就需要分析js代码,判断出该字段的加密方式了。

右键检测,切换到 Network 选项,点击登录,抓到一个数据包。没错,就是我们进行登录的数据包。记住密码的字符:password

<
最低0.47元/天 解锁文章
谢公子
关注
专栏目录
webpack实战:某网站RSA登录加密逆向分析
吴秋霖的博客
09-12 8226
网站登录RSA加密,深度分析webpack代码并构建完整的加密webpack代码!
网站加密算法
u011393781的博客
10-27 1293
1、单向散列加密 单项散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息。 利用单向散列加密的这个特性,可以进行密码加密保存,即用户注册时输入的密码不能直接保存到数据库,而是对密码进行单项散列加密,将密文存入数据库,用户登录时,进行密码验证,同样计算得到输入密码的密文,并和数据库中的密文比较,如
6、37网游网页Post登陆算法分析【Post/Js逆向笔记】
Steven的杂货铺
01-29 354
事先说明:发布文章内容,只为自己自学逆向分析做一个记录,方便以后加以巩固学习逆向分析。 本人为逆向学习小白,所以发布的内容都是简单的逆向分析。大佬请高抬贵手! 1、分析的登陆网站 https://www.37.com/ 2、使用工具 chrome浏览器 鬼鬼调试工具 3、开始post分析 测试账号 Steven2020 密码:a123456 请求时发现 登陆请求竟然不是post请求,是get请求。请求参数都在请求的URL上面带上 https://my.37.com/a...
黑客入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
最新发布
Python84310366的博客
08-15 1803
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
web安全之常见加密编码算法
weixin_46425310的博客
06-11 817
加密算法 在渗透测试中,常见的密码等敏感信息会被采用加密理,因此很有必要了解常用的加密方式以及编码知识。 常见加密编码算法解析: MD5, SHA ,ASC ,URL ,BASE64 ,Unescape ,AES ,DES,进制,时间戳,unicode等 大部分网站采用MD5(不可逆):16位MD5(加密后长度为16位)与32位MD5 MD5 是非对称的加密算法 密文是0-9 a-z的组合 SHA:0-9 a-z的组合 Unicode:形如flag{18 时间戳:网站在记录注册时间,登陆时间等的时候,往往
python的加密方式
ba76191777的博客
06-15 338
MD5加密 这是一种使用非常广泛的加密方式,不可逆的,在日常字符串加密中经常会用到,下面我简单介绍一下这种方式,主要用到Python自带的模块hashlib,测试代码如下,先创建一个md5对象,然后直接加密就行: import hashlib def MD5(string): '''md5加密''' h1 = hashlib.md5() # 创建md5对象 ...
JS逆向 -- 某平台登录加密分析
weixin_41489908的博客
05-06 2384
八、选中“m(n.pwd.substr(0, 16))”,鼠标放上去,自动提示加密结果,可以分析除,是m函数进行了加密。十一、将该函数的同作用域范围的函数都复制到调试软件,并将该匿名函数改为aiyou函数,点击加载代码,成功加载。九、把鼠标放到m函数上,自动弹出下面的对话框,可以查看m函数所在的位置,点击进入该函数。十二、调用该函数,双击该函数,输入参数,点击运行获取结果。三、加密结果是32位,首先考虑是md5加密。六、找到给pwd赋值的语句,双击左边,下断,四、全局搜索pwd,点击右上角,点击搜索。
php用户密码加密算法分析【Discuz加密算法
10-21
分析Discuz加密算法的原理时,关键步骤如下: 1. 对用户输入的明文密码首先进行一次MD5加密,得到第一次加密后的密文。 2. 然后,Discuz系统会随机生成一个字符串作为salt(盐值),并将其附加在第一次MD5加密后...
QQ 2005贺岁版登录口令加密算法及其源代码分析.doc
05-29
QQ 2005贺岁版登录口令加密算法及其源代码分析.doc
python判断网页密码加密方式_python实现网页登录时的rsa加密流程
weixin_39746229的博客
12-04 822
对某些网站登录包进行抓包时发现,客户端对用户名进行了加密,然后传给服务器进行校验。使用chrome调试功能断点调试,发现网站用javascript对用户名做了rsa加密。为了实现网站的自动登录,需要模拟这个加密过程。网上搜了下关于rsa加密的最简明的解释:rsa加密是非对称加密算法,该算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘...
#初入门 各类加密方法的判断(1)
2201_75556043的博客
04-13 1329
说明:本文仅用于个人总结系多次遇见加密题常无法判断加密方式,决定做一次整理总结。
各类加密算法简单的识别技巧
weixin_37620164的博客
10-16 4519
逆向分析程序的时候往往会遇到一些加密解密算法,大家也都知道加密解密算法基本都是公开的,源码满天飞,只要识别出来是什么算法,在根据程序的要求做一些可能的修改就完成了,最重要的就是基础算法的识别,下面就简单介绍一些比较实用的算法识别的小技巧 算法的什么消息摘要大家都搜得到,这里的特点主要是逆向分析时的小技巧哦 Hash算法: 1.MD5 (用PEID可看到MD5) MD5的源码满天飞,最好识别的一个特色就是,MD5算法需要初始化4个32位的常数,用16进制表示 A=01234567h B=8...
如何实现登录页面密码加密
热门推荐
细节打败一切
04-28 5万+
现象:在登录页面有时候需要将用户输入的密码经过加密之后再传入后台. 解决办法:1:首先在页面引入md5的js,在前台框架amazeui中就携带!先下载amazeui,解压将目录复制到项目的WebRoot下。 2:在jsp页面引入amazeui的MD5js![这里写图片描述] 3:页面设置表带的提交按钮为点击事件 4:在点击事件中将密码加密然后将密码框的密码变为加密之后的密码。最后在提交。这就有时候输
网页加密方式
qq_46201406的博客
07-29 3875
网页加密方式
分析网站登录加密算法(二)
谢公子的博客
12-09 4913
前言:在渗透测试过程中,我们经常会碰到登录用js加密字段的情况。在大多数情况下,看到这种加密方式,我们都会放弃对该登录进行暴力破解。本文主要讲解对js加密进行绕过,以达到爆破或绕反爬的目的! 案例一:对登录使用sm2国密加密算法的某网站进行爆破 该网站图形验证码失效,只要能对密码字段进行相应的加密,就可以爆破! 访问网站,输入用户名:admin、密码:123456 以及正确的图形验证码进行登录。 抓包,可以看到密码字段被加密为很长的一段字符 F12打开开发者调试模式,...
轻松破解加密网页
编程爱好者
03-28 7987
作者:未知 来源:未知 2004-2-1 简单接触 <!--google_ad_client = "pub-6666369553852847";goog
淘宝密码加密方式分析,及python实现
python之战
01-31 4765
上回说到《分析淘宝登陆对selenium爬虫的封杀方案,反爬虫机制的升级》、《淘宝封杀selenium的ua算法分析》,对淘宝封杀Selenium的思路有了一个清晰认识,核心就是ua算法来鉴别是否为正常浏览器。   至于鉴别的思路可看更早的文章《selenium的封杀与突破,记录一次出师未捷身先死,淘宝、美团对爬虫的深入打击》,《Python爬虫中深不可测的ua参数,爬虫的身份证》。   ...
三维实体网格加密算法:基于Android Studio的用户登录界面实现
网格加密算法的目标是在加密区域和非加密区域之间实现单元边长的平滑过渡,通过控制节点数量和间距,确保网格密度的变化能够反映物理特征的变化和应力变化。 文章介绍的动态节点单元一体化三维网格自适应生成算法,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值