前言
在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备。
常见加密编码等算法解析
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等
加密演示:
1、MD5(不可逆)
16位和32位,加密密文字符串由A-Z,0-9随机分配,70%~80%~90%网站管理员或用户密码加采取MD5加密。(不可逆)
可以通过枚举方法破解(也就是对比)
2、sha
由A-Z,0-9随机组合,SHA1,SHA256,SHA384,SHA512长度固定。(不可逆)
3、进制
16进制加密
4、时间戳
网站或者服务器脚本语言里经常会使用,会在数据库里用户登录和注销,注册里会使用
5、url
访问网站的时候,网站的地址信息
浏览器只做一次加密,在渗透绕过的时候可能会使用二次,三次加密方式
6、base64加密
大小写随机组合,在字符串后面经常出现一个或两个等号
明文越长,密文越长
常见应用:代码、密码、参数
浏览器只做一次加密,在渗透绕过的时候可能会使用二次,三次加密方式
7、unescape
%u+4位数字,每一个对应两个字符,主要应用WEB应用上
8、aes加密
是一种安全的加密方式,涉及到密码,偏移量,数据块,填充,在加密时候涉及到4种随机性。解密难度大。用base64解密出来是乱码,有很大可能是AES加密。有时候/出现在字符串里面。比较注重安全和大型网站、安全比赛
注:必须有密码和偏移量,否则无法进行解密
9、DES
类似于BASE64,有时候+会出现字符串里
小结:
常用的在线工具:
涉及在线工具
时间戳(Unix timestamp)转换工具 - 在线工具
http://tool.chacuo.net/cryptaes