安全学习DAY08_算法加密

最新推荐文章于 2024-05-22 21:00:00 发布
最新推荐文章于 2024-05-22 21:00:00 发布
阅读量627 收藏
点赞数
分类专栏: 安全学习笔记-基础入门 文章标签: 安全 学习 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55977327/article/details/131949738
版权

算法加密

请添加图片描述

漏洞分析、漏洞勘测、漏洞探针、挖漏洞时要用到的技术知识

  1. 存储密码加密-应用对象
  2. 传输加密编码-发送回显
  3. 数据传输格式-统一格式
  4. 代码特性混淆-开发语言

传输数据 – 加密型&编码型

安全测试时,通常会进行数据的修改增加提交测试

数据在传输的时候进行编码,对方服务器可能会在接收数据时进行解码再带入。

这种情况我们应对自己的payload进行同样的加密或者编码进行提交,不然传入的数据服务器不认识

当我们要对登录网站密码进行爆破时

字典文件:

账号一般是明文传输,不需要更改,替换username=值即可

密码需要进行密码算法,需要保证和password=值同等加密,否则无法识别

例如:网站登录,APP

影响:漏洞探针

传输格式 – 常规&JSON&XML等

在进行测试时,不仅要使用相同的加密/编码,还要保证相同的格式,数据格式不一致也不行

例子:

影响:发送影响漏洞探针,回显影响数据分析

密码存储 – Web&系统&第三方应用

md5加密

zzzcms

md5加盐,md5(md5(123456).salt)=密文

dz3.5

ASE-128、DES

由密钥,偏移量,加密模式,填充量等决定,不知道密钥和偏移量就解不出来,而密钥和偏移量一般不会写在数据库中,而是写在源码中。要解密就需要拿到解密所需的密钥,偏移量等。

NTLM

windows密码一般用该加密

Linux查看/etc/shadow来看密码

现在大部分解密都是碰撞式解密,不是算法的逆向还原解密,而是直接进行匹配对比

数据库密码:

MySQL:mysql数据库中user表

复杂密文没有规律,看不出来,只能在源码中找,看负责加密的代码块是什么形式的。

识别算法编码方法

  1. 看密文位数(有些算法的编码位数固定的)
  2. 看密文特征(数字,字母,大小写,符号等)
  3. 看密文存在的地方(Web,数据库,操作系统等应用)

影响

安全后渗透测试

代码混淆 - 源代码加密&逆向保护

看不到代码,无法做代码审计发现漏洞了

加密平台

jsfuck,将js代码加密

virbox,防逆向

影响:代码审计

补充:

1.常见加密编码进制等算法解析

MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等

2.常见加密编码形式算法解析

直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等

3.常见解密解码方式(针对)

枚举,自定义逆向算法,可逆向

4.常见加密解码算法的特性

长度位数,字符规律,代码分析,搜索获取等

传输数据编码:

BASE64 URL HEX ASCII

BASE64值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号=

URL编码是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,通常以%数字字母间隔

HEX编码是计算机中数据的一种表示方法,将数据进行十六进制转换,它由0-9,A-F,组成

ASCII编码是将128个字符进行进制数来表示,常见ASCII码表大小规则:09<AZ<a~z

-传输数据加密:同密码存储加密

-传输数据格式:常规字符串 JSON XML等

密码存储加密:

MD5 SHA1 NTLM AES DES RC4

MD5值是32或16位位由数字"0-9"和字母"a-f"所组成的字符串

SHA1这种加密的密文特征跟MD5差不多,只不过位数是40

NTLM这种加密是Windows的哈希密码,标准通讯安全协议

AES,DES,RC4这些都是非对称性加密算法,引入密钥,密文特征与Base64类似

代码混淆:

JS前端代码加密:

JS颜文字 jother JSFUCK

颜文字特征:一堆颜文字构成的js代码,在F12中可直接解密执行

jother特征:只用! + ( ) [ ] { }这八个字符就能完成对任意字符串的编码。也可在F12中解密执行

JSFUCK特征:与jother很像,只是少了{ }

后端代码混淆:

PHP .NET JAVA

PHP:乱码,头部有信息

.NET:DLL封装代码文件,加保护

JAVA:JAR&CLASS文件,,加保护

举例:加密平台 Zend ILSpy IDEA

应用场景:版权代码加密,开发特性,CTF比赛等

特定应用-数据库密文加密:

MYSQL MSSQL Oracle Redis等

数据显示编码:

UTF-8 GBK2312等

部分资源:

https://www.cmd5.com

http://tmxk.org/jother

http://www.jsfuck.com

http://www.hiencode.com

http://tool.chacuo.net/cryptaes

https://utf-8.jp/public/aaencode.html

https://github.com/guyoung/CaptfEncoder

质量文章:

1.30余种加密编码类型的密文特征分析

https://mp.weixin.qq.com/s?__biz=MzAwNDcxMjI2MA==&mid=2247484455&idx=1&sn=e1b4324ddcf7d6123be30d9a5613e17b&chksm=9b26f60cac517f1a920cf3b73b3212a645aeef78882c47957b9f3c2135cb7ce051c73fe77bb2&mpshare=1&scene=23&srcid=1111auAYWmr1N0NAs9Wp2hGz&sharer_sharetime=1605145141579&sharer_shareid=5051b3eddbbe2cb698aedf9452370026#rd

2.CTF中常见密码题解密网站总结

https://blog.csdn.net/qq_41638851/article/details/100526839

3.CTF密码学常见加密解密总结

https://blog.csdn.net/qq_40837276/article/details/83080460

chuan川、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
md5算法加密解密工具
04-08
md5算法加密解密工具
安全学习DAY09_加密逆向,特征识别
学废了的阿串的博客
07-28 2623
安全学习DAY09_加密算法逆向,算法分类,特征识别,解密需求,安全测试思路
小迪web安全| 加密算法相关Day6笔记
2301_77031571的博客
11-28 691
加密算法相关知识点概念
Day13_06_openssl 对称加密算法enc命令详解
一一哥
06-27 750
06_openssl 对称加密算法enc命令详解 一.对称加密算法概述 openssl的加密算法库提供了丰富的对称加密算法,我们可以通过openssl提供的对称加密算法指令的方式使用,也可以通过调用openssl提供的API的方式使用。 openssl的对称加密算法指令主要用来对数据进行加密和解密处理,openssl基本上为所有其支持的对称加密算法都提供了指令的方式的应用,这些应用指令的名字...
【小迪安全】Day6基础入门-加密算法
qq_44312640的博客
10-20 381
常见加密算法特点总结,实际加解密过程演示
Day06 基础入门-加密编码算法
风羽墨客的博客
12-27 3086
在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备。
day_1光学加密文献
“我口袋只剩玫瑰一片,此行又山高路远”
03-06 689
光学图像加密方法综述 参考文献:信息安全中的光学加密技术 知网 爱学术(免费下载) 一、几种重要的光学加密方法: 双随机相位编码方法、基于分数傅里叶变换的加密方法、基于菲涅耳变换的加密方法、基于联合变换相关器的加密系统、利用离轴数字全息的加密系统、利用相移干涉技术的加密系统以及基于相位恢复算法加密技术。(并行性、高速度和低成本) 二、背景: 1.早期,美国的一些公司,全息防伪技术制作visa/mastercard信用卡… 2. 传统的加密技术,依赖于计算机和数字信号处理器,受到速度和成本的限制。利用光学和
【小迪安全day06】加密编码算法
RichUee的博客
11-27 809
在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作 为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准 备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展
Python实现常见的加密算法
造梦师Fred的博客
08-11 2708
文章目录一、什么叫数据加密二、数据加密的方式三、加密算法1、单向加密算法(MD5、sha系列)2、对称加密算法(AES、DES)3、非对称加密算法(RSA、DSA)4、补充算法(base64) 一、什么叫数据加密 数据加密是指利用加密算法和秘钥将明文转变为密文的过程。 二、数据加密的方式 1、单向加密 指只能加密数据而不能解密数据,这种加密方式主要是为了保证数据的完整性,常见的加密算法有MD5、sha系列等(位于python内置的hashlib模块中)。 2、对称加密 指数据加密和解密使用相同的秘钥,这种加
day1-网络安全学习笔记--安全框架
scarlett1017的博客
09-01 1771
(1) 特定安全机制—在特定情况下实现的安全机制。1.加密:运用一定的算法将数据转换成不可知的形式,隐藏数据(包括对称和公钥密码体制和密钥管理技术)2.数字签名:基于公钥密码技术,在数据单元上附加数据,以使得接收方可以证明数据源和数据的完整性并防止攻击者伪造或发送者抵赖。3.存取控制:对资源行使存取控制的各种机制,授权可用,非授权不可用。遵循最小权限原则4.数据完整性:抵抗对数据的非授权改变或破坏;基于密码技术的完整性保护和非 密码技术的完整性保护。...
PYG 密码学综合工具、支持RSA|DES|AES|SHA|Base64等40种加密算法
12-13
PYG 密码学综合工具、支持RSA、DES、AES、SHA、Base64、CAC32、MD5、TEA、FILEHASH、GOST、RC、等40种加密算法
c# 加密和解密相关代码
09-06
添加两个Button 控件,分别用来实现利用ROT13算法加密和解密数据的功能。 (3)程序主要代码如下: public string ROT13Encode(string InputText) { char tem_Character; //存储临时字符 int UnicodeChar; //存储...
传智播客扫地僧视频讲义源码
04-03
11_C++基础课程day06-day08_知识体系梳理 文档和源码 第三部分 C++进阶部分目录 01_上一次课程知识点_梳理 02_函数模板为什么和函数模板语法基础 03_课堂答疑_遇到莫名其妙的问题_重新编译 04_函数模板当函数参数 ...
Oracle_Database_11g完全参考手册.part3/3
08-18
通过学习《Oracle Database 11g完全参考手册》,您可以了解如何实现最新的安全措施,如何调优数据库的性能,如何部署网格计算技术。附录部分内容丰富、便予参照,包括Oracle命令、关键字、功能以及函数等。 目录 ...
简单3步,ERP、OA、CRM等客户端,安全远程访问服务端
最新发布
oray2013的专栏
05-22 234
然而,如何确保在不同地点的员工都能安全、便捷地访问公司内网的C/S(Client/Server)架构办公系统,是一个亟待解决的问题。采用贝锐花生壳内网穿透服务,可以简化这些步骤,使得远程访问变得异常简单。无需公网IP,无需繁琐的路由和网关配置,简单三步,即可实现远程访问。目前,除了上述举例的ERP系统,市面上主流C/S(Client/Server)架构办公系统均可搭配贝锐花生壳实现远程访问。传统的远程访问解决方案往往需要复杂的网络配置,包括公网IP的申请、路由和网关的设置等。
保障餐饮场所安全:可燃气体报警器专业检测的必要性
BDjiance的博客
05-21 284
可燃气体报警器是一种用于监测空气中可燃气体浓度的设备,一旦检测到可燃气体浓度超过设定的安全范围,就会发出警报,提醒人们及时采取措施,避免火灾事故的发生。在日常经营中,餐饮场所也应当加强对可燃气体报警器的日常维护和保养,定期清洁和检查,确保其在平时的使用中处于良好的状态。其次,定期检测也可以校准报警器的灵敏度,确保其能够及时、准确地检测到可燃气体的泄漏情况,提供更可靠的安全保障。综上所述,餐饮场所应当认真对待可燃气体报警器的专业检测周期,选择正规的专业机构进行检测和校准,保障其安全可靠。
服务器漏洞安全修复记录
lxw1844912514的博客
05-22 328
Redis中线上使用keys *命令是非常危险的,应该禁用或者限制使用这些危险的命令,可降低Redis写入文件漏洞的入侵风险。描述:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。例如,在一个简单的 bash 脚本中,你可以检查用户输入的命令,如果是。重命名为一个难以猜测的命令,以此来减少恶意用户利用默认命令执行未授权操作的风险。但是,需要注意的是,Redis 并没有提供完全禁用命令的机制。命令,你可以考虑修改 Redis 源代码,从源头上移除。
大坝安全位测设备:位移监测站
thhj3312的博客
05-20 868
TH-WY1大坝安全位移监测设备是用于监测水库大坝位移变化的设备,旨在确保大坝的安全运行。总的来说,大坝安全位移监测设备是大坝安全管理的重要组成部分,通过实时、准确的监测数据,可以确保大坝的安全运行,减少潜在的安全风险。
用python:恺撒密码的解密算法程序首先接收用户输入的加密文本,然后对字母a-z和字母A-Z按照密码算法进行反向转换请输入加密后文本:Lw lv d zrqghuixo gdb, It is a wonderful day
05-29
好的,以下是用 Python 编写的恺撒密码的解密算法程序: ```python encrypted_text = input("请输入加密后文本:") # 定义解密函数 def decrypt(ciphertext, shift): plaintext = "" for char in ciphertext: # 判断字符是否为字母 if char.isalpha(): # 将字符转换为 ASCII 码值 char_code = ord(char) # 判断字母是否为大写字母 if char.isupper(): # 将大写字母转换为 0-25 的数字 char_code -= ord('A') # 进行反向转换并取模 char_code = (char_code - shift) % 26 # 将数字转换为大写字母 char_code += ord('A') else: # 将小写字母转换为 0-25 的数字 char_code -= ord('a') # 进行反向转换并取模 char_code = (char_code - shift) % 26 # 将数字转换为小写字母 char_code += ord('a') # 将 ASCII 码值转换为字符并添加到明文中 plaintext += chr(char_code) else: # 非字母字符直接添加到明文中 plaintext += char return plaintext # 调用解密函数并输出明文 print("解密后文本:", decrypt(encrypted_text, 3)) ``` 输入加密后的文本“Lw lv d zrqghuixo gdb”,程序输出“解密后文本:It is a wonderful day”,即为恺撒密码的解密结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值