html aspx asp php加密保护,php – 解密.ASPXAUTH Cookie WITH保护=验证

于 2021-06-19 02:24:43 发布
阅读量550 收藏
点赞数
文章标签: html aspx asp php加密保护

有一段时间,我一直在尝试破译ASP .ASPXAUTH cookie并使用

PHP进行解密.我的理由很大,我需要这样做,别无选择.在PHP到目前为止,我已经成功地设法读取了这个cookie的数据,但是加密时似乎并没有这样做.无论如何,在这里…

首先您需要更改您的服务器Web.config文件(保护需要设置为验证):

然后在同一个域的PHP脚本中,您可以执行以下操作来读取数据,这是一个非常基本的例子,但是是证明:

$authCookie = $_COOKIE['_ASPXAUTH'];

echo 'ASPXAUTH: '.$authCookie.'
'."\n";//This outputs your plaintext hex cookie

$packed = pack("H*",$authCookie);

$packed_exp = explode("\0",$packed);//This will separate your data using NULL

$random_bytes = array_shift($packed_exp);//This will shift off the random bytes

echo print_r($packed_exp,TRUE); //This will return your cookies data without the random bytes

这会破坏Cookie,或至少是未加密的数据:

现在我知道我可以获取数据,我从我的Web.config中删除了’protection =“验证”’字符串,我试图使用PHP mcrypt解密它.我尝试过无数次的方法,但这里是一个有希望的例子(失败)…

define('ASP_DECRYPT_KEY','0BC95D748C57F6162519C165E0C5DEB69EA1145676F453AB93DA9645B067DFB8');//This is a decryption key found in my Machine.config file (please note this is forged for example)

$iv = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_CBC), MCRYPT_RAND);

$decrypted = mcrypt_decrypt(MCRYPT_RIJNDAEL_128, ASP_DECRYPT_KEY, $authCookie, MCRYPT_MODE_CBC, $iv);//$authCookie is the pack()'d cookie data

然而这失败了.我已经尝试了IV的变化,所有零@ 16个字节.我尝试了不同的Rijndael大小(128对256).我已经尝试过base64_decode()ing,似乎没有任何工作.我发现这个stackoverflow post here,并开始使用使用sha256使用的键/ iv的变体,但这也不是真的有效.

有人有线索我应该做什么?

山蓝蓝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
加密aspx webshell_冰蝎动态二进制加密WebShell基于流量侧检测方案
weixin_39785150的博客
11-24 1182
概述冰蝎是一款新型动态二进制加密网站工具。目前已经有6个版本。对于webshell的网络流量侧检测,主要有三个思路。一:webshell上传过程中文件还原进行样本分析,检测静态文件是否报毒。二:webshell上线或建立连接过程的数据通信流量。三:webshell已连接后执行远程控制命令过程的数据通信流量。本文通过分析多个历史冰蝎版本及五种脚本(asp|aspx|jsp|jspx|php...
加密aspx webshell_你所不知道的Webshell基础篇
weixin_39845220的博客
11-24 1023
Webshell利用的起因企业对外提供服务的应用通常以Web形式呈现,因此Web站点经常成为攻击者的攻击目标。攻击者找到Web站点可利用的漏洞后,为了扩大战果或维持对目标站点的控制权限,通常会在Web站点植入Webshell程序。Webshell是以网页文件形式存在的一种命令执行环境,也可以将其称为网页后门。根据Web服务器环境的不同,Webshell分为aspphp、jsp、cgi等...
aspx文件加密加密后文件大小为1k,文件只有一句话:这是预编译工具生成的标记文件,不应被删除!
Java_c#
05-27 3924
一、加密后的效果:   二、方法: 1、以网站方式打开,然后选择要发布的网站文件夹,导航菜单->生成->发布 2、   3、
asp加密解密函数decrypt
10-30
asp加密解密函数decrypt
net、aspphp三个平台的sha256加密
11-08
net、aspphp三个平台的sha256加密,经过测试,运行正常,经过测试,三个平台上的加密结果完全一致。
20200619_ASP.NET MVC 權限管理.pptx
03-08
<forms loginUrl="Login.aspx" protection="All" timeout="30" name=".ASPXAUTH" path="/" requireSSL="false" slidingExpiration="true" defaultUrl="default.aspx" cookieless="UseDeviceProfile" ...
使用cookie知道WebClient坚持ASP.NET MVC认证.zip
最新发布
11-03
当用户通过登录表单成功验证后,服务器会创建一个FormsAuthenticationTicket,将其加密并封装到cookie中(默认为`.ASPXAUTH`),然后发送给客户端。下次请求时,服务器会检查该cookie来确定用户的身份。 2. **...
asp.net WEB.CONFIG form验证
06-28
登录成功后,服务器会创建一个名为".ASPXAUTH"的cookie,该cookie包含加密的用户信息,并设置2880分钟的超时时间。 3. `<authorization>`: 这个元素用于定义哪些用户或角色可以访问特定的页面或目录。例如,如果你...
ASP.NET Forms验证
11-21
ASP.NET Forms验证是一种广泛使用的身份验证机制,尤其适用于基于Web的应用程序。在ASP.NET中,有三种主要的身份验证模式:Windows、Forms和Passport,但Forms验证因其灵活性和易用性而成为首选。本文将深入探讨...
ASP.NETMVC:窗体身份验证及角色权限管理示例[定义].pdf
10-11
ASP.NET MVC框架提供了一种强大的机制来处理网站的身份验证和权限管理,其中窗体身份验证(Forms Authentication)是常用的方法。本文将深入探讨如何在ASP.NET MVC中实现窗体身份验证以及角色权限管理,同时避免依赖...
Web.Config数据库连接串加密解密(转载)
weixin_30532987的博客
04-06 332
旧版本的ASP.NET将连接字符串直接保存在ASPX页面中。回想一下,连接字符串包含了数据服务器名称和用户账户等信息,有时候甚至还包含了密码。在代码中包含以上信息是非常不好的习惯,原因有二。首先,这些信息可以被设计小组中的每一位程序人员看到(但是站点访问者不能在浏览器上看到)。第二,在整个Web站点中的每一个拥有该连接的地方,都必须进行维护和更新。更新密码成为了一项繁重的工作。 ASP.NET ...
解析ASP.net身份验证——选择验证方式
高精尖发展
07-18 1411
俗话说一张图胜过千言万语,所以直接上图好了 1、进入ISS管理器 OR:    回车 2、选择身份验证方式: 双击、选择 2.1Windows验证:     配置文件web.config中, 在system.web配置节中找到authentication元素的mode属性, 将其值修改为Windows Forms验证
Asp.net中基于Forms验证的角色验证授权
chnking的专栏
06-11 3305
Asp.net中基于Forms验证的角色验证授权Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cooki
ASP.NET---安全模式
刘远的编程技术博客
04-12 253
1.        安全的必要性构造特殊的链接地址,导致文件内的数据泄露数据库泄露安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全性是关键2.        ASP.NET的安全模式            ASP.NET支持的4种授权方法:                a)        Windows:IIS验证,在内联网环境中非常有用                ...
ASP.NET中如何实现FORM认证登录
weixin_33941350的博客
01-05 143
1: 在web.config中,加入form认证; <authentication mode="Forms"> <forms name="auth" loginUrl="index.aspx" timeout="30"></forms> </authentication> <authorization> &lt...
web服务如何开启身份验证模式的详细步骤
04-20
对于这个问题,我可以给出以下的步骤: 1. 在 web 服务的配置文件中开启身份验证模式,如 ASP.NET 的 web.config 配置文件中添加以下代码: <authentication mode="Forms"> <forms loginUrl="login.aspx" name=".ASPXAUTH" timeout="60" /> </authentication> 2. 创建登录页面,这个页面需要有能够提交用户账号密码的表单,并将这些信息提交给服务器端进行验证。在验证成功后,一般会创建一个包含用户信息的身份验证票据,并将该票据存储在客户端的 Cookie 中。 3. 在需要进行身份验证的页面或者操作中,添加相关的验证逻辑,一般是在页面或控制器的基类中添加相关的代码,来检查当前请求是否拥有有效的身份验证票据。 4. 另外,如果需要对身份验证进行更加严格的访问控制,可以使用角色策略(Role-Based Authorization),针对不同的角色来控制他们可以访问哪些页面或者资源。 以上是关于如何开启 web 服务身份验证模式的简要步骤,如果您需要更加详细的说明,可以提出具体问题,我会尽力给出更加详细的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值