对加密的应用进行暴力破解

最新推荐文章于 2024-05-28 17:54:45 发布
最新推荐文章于 2024-05-28 17:54:45 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rigous/article/details/79325220
版权

    测试某APP需要进行暴力破解,以验证网站是否易受撞库、暴破等安全威胁。虽然网站没有采用SSL安全链路传输,但用户名和密码这两个关键字段进行了加密。密文如下:

phone=0MX9YvaTzdcAm9dZSmx7Dg==&passwd=krz2gix+C2S9j8dIX++R6A==

    首先使用base64解码,结果是乱码。参数在传输前进行了加密,加密方法可以通过逆向APP进行分析。使用xxtea进行加密。

xxtea是tea(Tiny Encryption Algorithm,TEA)微型加密算法的二次升级版。在获得加密算法之后,通过对app逆向分析,也发现了秘钥。通过python脚本发送http请求模拟暴力破解,来观察攻击面:

    代码如下:  

import xxtea
import base64
import requests
import threading
import time

uri = "http://victim/login"
threadLimit = 500
requestIndex = 0

def encode(text):
    key = "******-****-****-8CA6-*******"
    return base64.b64encode(xxtea.encrypt(text, key))

def postRequest(phone, passwd):
最低0.47元/天 解锁文章
rigous
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UNCTF2022Pwn和Reverse的部分题解(其他方向的签到题也有)
weixin_73290593的博客
11-21 1194
unctf的re和pwn部分题解
JustTrustMe 原理分析
热门推荐
Tesi1a的充电桩
01-23 1万+
需求:在逆向某些app时通过fiddler抓包。没看到https的流量信息。 解决方法:发现是客户端对 SSL 证书进行了检测,这时候使用了xposed模块JustTrustMe来绕过解决了这个问题。 总结:查看SSL 证书进行了检测的原理,和绕过原理。 转自:https://bbs.pediy.com/thread-214012.htm JustTrustMe 原理分析 ——挽秋 1、Just...
暴力破解(详解)
最新发布
qq_70584783的博客
05-28 703
此外,在实际操作中,攻击者可能会先尝试注册一个账号,以了解目标站点对密码的要求,从而优化字典文件,去除不必要的密码组合。同时,对于后台管理系统,通常会优先尝试一些象征性较高的用户名,如admin、administrator等,以提高破解效率。暴力破解,也称为穷举法或枚举法,是一种密码破译方法,通过系统地尝试所有可能的密码组合,直到找到正确的密码为止。密码组合的生成:根据密码的可能长度和字符集,生成所有可能的密码组合,然后逐一尝试。复杂密码策略:要求用户设置复杂的密码,增加密码的熵值,使得破解难度加大。
pip镜像设置
泉亚雪狐的博客
10-11 1146
@[pip 镜像设置] pip镜像设置 在用户路径下添加一个 pip.ini 的文件 文件中填写以下内容: 这样就设置好了
使用Xposed+JustTrustMe突破SSL Pinning验证
SunJ3t的菠萝屋
08-09 3749
1. 前言 1. 遇到的问题 之前在做app渗透测试的时候遇到一个问题,就是我使用burpsuite对app进行抓包时,app一直显示网络请求失败(如图1.1-1),不能进行正常的操作,burp也抓不到数据包,但是不挂代理进行正常访问又可以。一开始以为是https的证书问题,就把burp的证书重装了一遍,发现问题仍然存在,但是我抓取浏览器和其他的app程序就能正常抓到数据包,一时间慌的不行,以为凉...
安卓逆向 -- 防抓包破解(JustTrustMe)
weixin_41489908的博客
08-01 1万+
一、问题背景 Fiddler可以抓手机浏览器的包但是不能抓某apk的包,说明环境问题,我们需要xposed模块帮助抓包 二、安装xposed框架(公众号后台回复:20210727) 1、逍遥模拟器,搜索xposed,点击下载安装 2、提示框架未安装 3、访问下面网址,下载SDK22对应的x86内容 https://dl-xda.xposed.info/framework/ 4、解压后还需要用到一个sh文件(后台回复20210727),我已经打包好了 创建文
python暴力破解加密的压缩文件(二)
12-21
应用Python程序设计语言的相关知识,对加密的压缩文件进行破解。 二、实验内容 任务1:定义一个函数,函数带有一个参数L(类型为整数),函数返回一个长度为L、包含大小写字母和数字的随机密码(类型为字符串)。 ...
png加密解密工具:保护个人隐私,加密传输
06-08
VeraCrypt是一款广受欢迎的开源磁盘加密软件,能够对文件和整个磁盘进行加密,提供强大的安全保障。AxCrypt则是一款专为Windows设计的文件加密软件,同时也兼容部分macOS和Android设备,方便用户在多个平台上保护...
php-3des加密解密类
05-02
3DES(或称为Triple DES)是三重数据加密算法(TDEA,Triple Data Encryption Algorithm)块密码的通称,它相当于是对每个数据块应用三次DES加密算法,由于计算机运算能力的增强,原版DES密码的密钥长度变得容易被暴力破解,3...
PDF加密解密器 v2.0.1.zip
07-11
对PDF文件进行批量加密与解密,128-bit加密标准。通过用户密码(user password)实现对PDF文件的打开保护,通过使用密码(owner password)实现对PDF文件的编辑、打印等权限的保护。  PDF加密解密器功能说明 1. ...
图像加密加密
10-14
实验结果显示,该加密方案不仅数据量低,而且具有高稳健性和对密钥的敏感性,能有效抵抗暴力攻击。 总结来说,基于压缩感知的光学图像加密技术结合Arnold变换和双随机相位编码,提供了一种高效、安全的图像加密解决...
xxtea decrypt破解工具
05-20
是一个可以解密xxtea加密的lua代码文件的工具。适用于cocos-lua、quick-cocos
XXTEADecrypt解密LUA工具
12-06
XXTEADecrypt解密LUA工具初次使用请查看帮助,有任何疑问和建议可以联系作者,申明本工具完全免费使用,请不要用于商业用途!任何非法和损害他人利益行为与作者无关!
lua反编译,乱解密
06-05
一键解密反编译
JustTrustMe
05-05
和xposed 配合使用。用来绕开ssl pinning
justTrustMe .apk
06-10
justTrustMe最新版本,2019.6.10号编译。可解决抓包app抓取不到的问题。
TEA(Tiny Encryption Algorithm)
cglover的专栏
10-23 2741
作为一种分组加密算法,TEA加密算法在其发展的过程中,目前出现了几种针对TEA算法设计的缺陷攻击方法,使得原有的TEA加密算法变得不安全,在过去的十几年中,TEA算法进行了若干次的改进,历经XTEA, Block TEA, XXTEA几个版本。目前最新的算法是XXTEA。QQ采用了最初的TEA算法做其核心的加密算法,QQ在采用TEA算法时采用了16轮的加密,其加密复杂度比32轮减了许多。利用TEA
安卓10刷Magisk并安装JustTrustMe
kfyzjd2008的博客
07-05 6025
1:先安装Magisk框架(第三方REC刷入) 2:在Magisk框架中安装Riru-Core模块 (版本为V19及以上即可) 可以在Magisk中直接安装,如果没有加载出来模块列表可以等待一下。 3:在Magisk框架中安装magisk-EdXposed 有可能会需要更新,如需更新按提示更新就好。 4:安装JustTrustMe并在EdXposed中启动。 此时已经能够突破ssl协议。 但是有些APP依然不能抓包。比如dou音 因为dou音混淆了okhttp的函数和类名,使JustTrustMe无法抓到需
破解了XXTEA加密的《大富翁9》资源文件
bihai.org
03-18 1613
破解了XXTEA加密的《大富翁9》资源文件没啥可以高兴的,只是比较好奇而已。 这种加密还是不错,快速简单,可以规避一般的恶意破解。 挺满意呵呵。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值