【Java】RSA+AES加密破解真实案例

已于 2024-11-04 11:16:15 修改
阅读量1.2k 收藏 10
点赞数 18
分类专栏: 破万法 文章标签: java 爬虫 安全
于 2024-10-30 16:29:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49324188/article/details/143364940
版权

文章目录

概要

经过短暂的休养生息后,我的头发又迎来了新的挑战,这次的课题是RSA+AES加密,具体原理可以看这篇文章,点此跳转,本文不在赘述。

作者商务合作及技术交流QQ704191499

整体架构流程

在这里插入图片描述
整个流程没有难度特别高的地方,毕竟对我们来说,所有的前端加密都是形同虚设,主要是繁琐程度比较高,正所谓伤害性不大,侮辱性极强!

一、抓包原始数据

本案例中的平台所有功能都使用同一接口,所有传参、返回都进行了RSA+AES双重加密,导致我们用浏览器控制台或者抓包软件无法得知请求的功能、传参等有用信息。
在这里插入图片描述
在这里插入图片描述

所以为了知道哪些请求是用来获取我们需要的数据,我选择找到其加密解密代码段,插入打印到控制台代码。
在这里插入图片描述
要从这些连名称都随机的脚本文件中找到加密解密的代码段属实是不容易。我这边是一个个打开然后搜索encryptKey,因为这是请求传参的键,顺着请求肯定可以找到加密解密的代码,比较幸运的是,请求和加密解密都在一个脚本里,只要加上打印代码就行了。
在这里插入图片描述
加上打印到控制台的代码后顺利可以看见加密前的传参,以及解密后的返回了。至于为什么打印加上123,因为方便搜索我打印的内容哈哈。

二、获取RSA公钥

既然可以RSA加密,那就必须要有公钥,我打印了加密工具发现其中有一个setPublicKey的函数。
在这里插入图片描述
那么顺着这个线索,再到每个脚本文件中搜索setPublicKey这个函数就可以得到公钥了。
在这里插入图片描述
打印到控制台然后复制下来就行了。

三、模拟请求

为了模拟请求,我仔细阅读了脚本中的加密流程(因为当时不懂RSA+AES加密原理),发现传参逻辑如下:随机生成16位AES秘钥,使用AES秘钥将原始数据加密,放在请求中的encryptData里,再将AES秘钥用RSA公钥加密,放在请求中的encryptKey里,最后加上一个固定参数,格式如下图。
在这里插入图片描述
代码如下,感谢Hutool。

String publicKey = "xxx";
String key = RandomUtil.randomString(16);
AES aes = SecureUtil.aes(key.getBytes());
RSA rsa = SecureUtil.rsa(null, publicKey);
HttpUtil.createPost("https://xxx/api/")
        .form("encryptKey", rsa.encryptBase64(key, KeyType.PublicKey))
        .form("encryptData", aes.encryptBase64(param))
        .form("encryptType", "RA")
        .execute();

四、解密加密数据

同样是阅读了脚本中的解密流程,发现其实就是用之前自己随机的16位AES秘钥解密,那么就简单了,一个方法把加密传参、解密返回搞定。

String publicKey = "xxx";
Function<String, String> request = param -> {
    String key = RandomUtil.randomString(16);
    AES aes = SecureUtil.aes(key.getBytes());
    RSA rsa = SecureUtil.rsa(null, publicKey);
    String body = HttpUtil.createPost("https://xxx/api/")
            .form("encryptKey", rsa.encryptBase64(key, KeyType.PublicKey))
            .form("encryptData", aes.encryptBase64(param))
            .form("encryptType", "RA")
            .execute()
            .body();
    return aes.decryptStr(body);
};

吐槽

好了到这里就结束了,不得不吐槽一下,阅读没有注释的源码属实是有点痛苦了,加上不了解这个加密方案吃了不少苦,希望大家以后发现不了解的加密方案是先查找学习,而不是像我一样直接读源码,引以为戒(哭)。当然了,要是人家自己定义加密方案那就只能阅读源码了,祝你好运。

AES加密后的密码可以破解
舒一笑的博客
02-12 3898
如果密钥管理不当(例如,密钥泄露或被猜测到),或者加密实现存在漏洞,则加密的数据可能会被破解。它被认为是非常安全的,到目前为止,没有已知的可行方法能够有效破解使用AES加密的数据,前提是实现得当且密钥保密性得到妥善管理。破解AES加密理论上是可能的,比如通过蛮力攻击(尝试所有可能的密钥组合),但是给定足够长的密钥,这种攻击方式在实际中是不可行的。综上所述,虽然理论上AES加密是非常安全的,但在实际应用中,加密系统的安全性取决于多种因素,包括密钥管理、加密算法的实现、系统的整体安全架构等。
java 和 c# 下的RSA证书+AES+DES加解密实现
chenxiaoshuai的博客
10-07 784
java 和 c# 下的RSA+AES+DES加解密实现 前言 在实际应用中,经常有需要使用加解密的情况,RSA\AES\DES是比较常用的几种加解密方式,使用和实现方式都比较成熟可靠,本文简要介绍一下分别在java和c#两种语言中实现RSA+AES加密请求,然后通过http远程调用服务器后,再通过RSA+DES解密返回的实现方式(如果需要了解几种加密方式的原理的同学请参考来自一位美女同学推荐的学...
RSAAES混合加密算法的实现(java版)
05-07
RSAAES混合加密算法的实现http://blog.csdn.net/jkxqj/article/details/25228707
使用AES对称加密算法进行加解密
最新发布
qq_54655539的博客
03-04 1216
使用CBC工作模式,需要一个iv作为初始化向量,用于增强使用AES加密算法的安全性。同一条数据,密钥相同,iv不同的话,加密数据也会不一样,因此,加解密时必须使用相同的key和iv,否则会解密失败。/*** 使用AES对称加密算法的CBC模式进行加解密*///使用AES算法的 CBC模式 和 PKCS7填充static {//向Java的Security系统添加一个新的安全提供者(Provider),即 BouncyCastle提供者。
“不给力啊,老湿!”:RSA加密破解
weixin_30267785的博客
12-19 370
作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明。谢谢! 加密和解密是自古就有技术了。经常看到侦探电影的桥段,勇敢又机智的主角,拿着一长串毫无意义的数字苦恼,忽然灵光一闪,翻出一本厚书,将第一个数字对应页码数,第二个数字对应行数,第三个数字对应那一行的某个词。数字变成了一串非常有意义的话: Eat the beancurd ...
java RSA+AES实现接口验签和参数加密
chenliup的博客
10-18 3787
java RSA+AES实现接口验签和参数加密
java实现双向RSA + AES加密
infi
01-24 1万+
本文主要讲解在APP上如何实现双向RSA + AES加密。 先上一张主要流程图: 场景预设: 由于客户端是APP而不是网页,APP在第一次加载的时候会生成一对RSA秘钥对(我们称它为APP公钥私钥,不同APP的秘钥对不一样),生成以后就写在配置文件里,而且每次都不变,这样可以保证Server公钥和APP公钥不会在网络上明文传输,从而避免了被掉包的可能。服务器也生成一对RSA
AES加密解密详解
热门推荐
xiejunxing的专栏
11-28 2万+
一)什么是AES?高级加密标准(英语:Advanced Encryption Standard,缩写:AES),是一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。那么为什么原来的DES会被取代呢,,原因就在于其使用56位密钥,比较容易被破解。而AES可以使用128、192、和256位密钥,并且用128位分组加密和解密数据,相对来说安全很多。完善的加密算法在理论上是无
rsa+aes加密传输工具类及案例
06-07
通常的做法是:客户端和服务器先通过RSA交换一个临时的会话密钥,然后使用这个会话密钥进行AES加密。这样,即使RSA公钥被暴露,由于实际数据是用AES加密的,攻击者也无法轻易解密。 在实际开发中,我们可能需要编写...
java使用RSAAES加密解密的实例代码详解
08-25
Java 使用 RSAAES 加密解密的实例代码详解 Java 使用 RSAAES 加密解密的一些重要知识点如下: 1. 对称加密与非对称加密: 在加密技术中,有两种主要的加密方式:对称加密和非对称加密。对称加密中,加密...
RSAAES 加密效率对比,用调研事实说明问题,用算法原理解决疑惑
Java Punk
12-10 1万+
相同的时间条件下,AES 解密的文件是 M 级,而 RSA 解密只有 KB 级,两者解密速度差异相当明显
RSA+AES 加密工具类 Java
03-13
适用于Android、Java、Web端使用的AESRSA加密工具类
3、加密算法-AESRSA
~单人舞~的博客
07-02 2045
它是一个唯一对应一个消息或文本的固定长度的值,它由一个单项Hash函数对消息进行计算而产出;不定长的数据===》数字摘要算法(Hash)====>定长的数据不用纠结非对称加密的公私秘钥在前端or后台生成,关键是看场景和主导方RSA拿来做签名是:私钥加密,公钥解密RSA拿来做数据传输加密是:公钥加密,私钥解密jwt的token案例在了解RSA的逻辑之后,会变得非常简单。
rsa+aes加密
qq_43470725的博客
11-30 1230
参考:https://www.cnblogs.com/huanzi-qch/p/10913636.html
RSA+AES加密
baidu_41564215的博客
06-02 1171
加密设计:RSA + AES 1.接收方创建RSA秘钥对 2.发送RSA公钥给发送方,自己保留RSA私钥 3.发送方创建AES密钥,加密待传送的明文,之后用RSA公钥加密该密钥 4.RSA公钥加密AES的密钥+AES密钥加密明文的密文----通过Internet发给---->接收方 5.接收方用RSA私钥解密加密的密钥,之后再用解密后的AES密钥解密数据密文,得到明文。 ## 【接收方使用得到的解密后AES密钥对token进行加密,返回到客户端】 RSA 加密算法是一种非对称加密算法。R.
没有绝对安全的系统:写在AES 256破解之后
weixin_34255793的博客
07-25 1083
NULL 在理论上,理论和实践是一致的。在实践中,呵呵。 ——(应该是)爱因斯坦(说的)   (INFO:本文中不会出现公式,请放心阅读)   AES 256被破解了? 对于TLNR(Too Long, Not Read)的读者来说,先把答案放在这:是的,但也不尽然。   事件回顾如下:前几日在互联网上转发的一条题为“AES 256加密被破 一套1500元设备5分钟内搞定”的新闻引起了各界的关注。...
【密码学】RSA破解的部分方法(PYTHON实现)
Mr_Fmnwon的博客
12-13 6129
源自于密码学的一次大作业~
RSA+AES混合加密-JavaWeb
风清云淡
05-24 7221
一、前言 RSAAES加密的详细介绍这里就不写了,网上很多博客,这里就只是简单说明一下: AES:属于对称加密,通过一个公共的秘钥,实现加密解密; RSA:非对称加密,需要生成一个公钥、一个私钥,这两个秘钥使用时,一个用来加密时,那么就需要另一个秘钥进行解密,公钥一般提供给客户端。 二、整体构思 RSA+AES的混合加密时,AES用于给传输的数据加密,然后通过RSAAES的秘钥加密,所以接收到数据后,就需要先解密得到AES的秘钥,然后通过AES秘钥再去解密得到数据。 下面简单说下demo中加密解密的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值