- 1随着科技的飞速发展,人工智能已经渗透到各行各业。其中,电话机器人已经成为了销售行业的重要助力。
- 2【设计模式】策略模式
- 3一篇文章学会 MySQL UNION
- 4刷题神器怎么导入java,怎么导题库_有没有比较好的可以自己导入题库进行模拟考试练习的软件_淘题吧...
- 5exceljs库实现excel表样式定制化
- 6最新开源ai智能写作机器人系统源码 电脑版+手机版+搭建教程
- 7Hadoop大数据概论
- 8利用单片机余晖依次显示,同时显示 数码管的数字
- 9小程序 背景图片样式 阴影 子元素上下左右居中 上下居中 左右居中_小程序卡片阴影一般值是多少
- 10Python中startswith()和endswith()方法_startwith endwith用法python
第4天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值
赞
踩
意义:
了解加密编码进制在安全测试中的作用
掌握常见的加密解密编码解码进制互转的影响
#知识点:
存储密码加密-Web&数据库&系统
传输数据编码-各类组合传输参数值
代码特性加密-JS&PHP&NET&JAVA
数据显示编码-字符串数据显示编码
#详细点
密码存储加密:
MD5 SHA1 NTLM AES DES RC4
MD5值是32或16位由数字0-9和字母a-f组成的字符串,字母大小写不影响
(散列函数,单向性,破解方法:从算法入手,逆向;枚举、碰撞)
SHA1密文特征和MD5差不多,位数40
NTLM是Windows的哈希密码,标准通讯安全协议
AES、DES、RC4是对称性加密算法,引入密钥,密文特征与Base64相似
受到加密模式、填充、数据块、密码、偏移量、输出(base64)、字符集的各种因素的影响
应用场景:各类应用密文,自定义算法,代码分析,CTF比赛等
传输数据密码:
BASE64 URL HEX ASCII
BASE64输出与输入长度成正比例
URL编码由数字0-9和字母a-f组成的字符串,大小写敏感,通常以%数字字母间隔
HEX编码计算机中数据的一种表示方法,将数据进行十六进制转换,由数字0-9,字母A-F组成
ASCII编码是将128个字符进行进制数来表示,常见ASCII码表大小规则0-9<A-Z<a-z
举例:
个人博客-URL编码
国外WEB-BASE64编码
搜狐视频-BASE64编码
应用场景:参数传递(如注入影响),后期WAF绕过干扰写法应用(对后门进行加密,使得检测不出来),视频地址还原等
代码加密:(防止代码被二次开发,版权问题)
JS前端代码加密:
JS颜文字 jother JSFUCK
JS颜文字特征:一堆颜文字构成的js代码,在F12中可直接解密执行
jother特征:只用!+( ){ } [ ]这八个字符对任意字符串编码,可在F12直接解密执行
JSFUCK:与jother很像,只是少了{ }
后端代码加密:
PHP .NET JAVA
PHP:乱码,头部有信息
网站解密,直接上传文件,可以检测出加密方式(如zend|54,在文件代码头部应该也能看见)
.NET:DLL封装代码文件(eg网站程序代码)
工具dnSpy,ILSpy,用于直接打开dll文件分析,反编译
aspx文件是可以直接打开的网站程序代码
JAVA:JAR&CLASS文件
举例:Zend ILSpy IDEA
应用场景:版权代码加密,开发特性(代码审计),CTF比赛
数据库密文加密:
MYSQL MSSQL等
cmd5.com网站也支持解密数据库密文(例mysql5类型)
数据显示编码:
UTF-8(国际) GBK2312(中文)等
用浏览器设置编码(IE里面有??),notepad++
识别算法编码类型:
看位数
看密文特征(数字、字母、大小写、符号)
看当前密文存在的地方(Web、数据库、操作系统等应用)
演示案例
WEB-ZZCMS-密文-MD5
搭建网站,注册用户,密码存储在数据库中以密文形式,MD5密文形式
WEB-DISCUZ -密文-MD5&salt
Cmd5 - MD5 Online ,MD5 Decryption, MD5 Hash Decoder MD5查询网站,功能强大
要是查不到,那么有可能不是单纯的MD5加密,可能多了盐值
查询时先填写md5值,然后冒号(搜索高级运算符),然后盐值
系统-Windows-密文-NTLM&HASH
mimikatz
使用md5加密
系统-Windows-密文-NTLM&HASH
SQL注入网站,看见URL存在很像BASE64密文,以==结尾,但是解不出来
扫一下网站,发现list.zip文件,解压缩是PHP文件,里面有解密过程代码,搜一下里面的函数作用,是什么加密算法(AES),然后知道了参数值,对应为分组模式(CBC),密码、填充值、偏移量等数据。注意多次BASE64解码
综合-参数-密文传输-AES&BASE64
代码-解密-解密反编译-Zend&Dll&Jar
CTF赛题-buuoj-single-JS 颜文字
下载图片attachment.jpg
xshell连接了个有很多工具的机子,可视化
foremost attachment.jpg发现这个图片包装了2个文件
从output文件夹里看到,zip文件,解压是txt文件,notepad++打开乱码,用记事本打开,然后在线解密就行
CTF赛题-xuenixiang-JsFUCK-JSFUCK
参考文章:
30余种加密编码类型的密文特征分析
CTF密码学常见加密解密总结
CTF密码学常见加密解密总结_wydfxjmgvswodododod-CSDN博客
CTF中常见密码题解密网站总结
