小迪day3--加密算法
加密算法
前言:在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展
常见加密编码等算法解析
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等
MD5分为常见的MD5,以及16位MD5(其意思就是加密后的密文是一个16位的)不可逆---不能直接的逆向,网上的解密不是从密文到明文的过程,而是枚举,如123的解密,是举例:1,10,11,12,13…121,122,123来匹配常见加密形式算法解析
SHA:
安全散列算法(英语:Secure Hash Algorithm,缩写为SHA)是一个密码散列函数家族,是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的,长度固定的字符串(又称消息摘要)的算法。且若输入的消息不同,它们对应到不同字符串的机率很高。
密文为0-9,a-z的数字组合,有四种不同的加密方式对于不同的长度
进制:常规的为二进制,十进制,八进制,十六进制
时间戳:
时间戳(英文为Unix epoch, Unix time, POSIX time 或 Unix timestamp)UNIX时间戳的0按照ISO 8601规范为 :1970-01-01T00:00:00Z.一个小时表示为UNIX时间戳格式为:3600秒;一天表示为UNIX时间戳为86400秒,闰秒不计算。
一般在用户的登录时间,博客的发布等等
URL: 在WWW上,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL(Uniform Resource Locator,统一资源定位器),它是WWW的统一资源定位标志,就是指网络地址。
浏览器只会解密一次
BASE64(常用)
Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,基于64个可打印字符来表示二进制数据的方法。由于输出内容中包括两个以上“符号类”字符(+, /, =),不同的应用场景又分别研制了Base64的各种“变种”。为统一和规范化Base64的输出,Base62x被视为无符号化的改进版本。
规律---明文有多长,密文相对有多长,0-9,a-z,且区分大小写,经常在密文后面出现等号应用---对代码,密码,参数进行编码加密,常用于web
Unescape
%u加后面4位数字为一组,最后一组如果加起来是双数就是4个零,如果是单数就是两个零
AES(常用,md5的加强版)
密码学中的高级加密标准(Advanced Encryption Standard,AES),又称Rijndael加密法,在一个4×4的字节矩阵上运作,这个矩阵又称为“体(state)”,其初值就是一个明文区块(矩阵中一个元素大小就是明文区块中的一个Byte)。
举例:明文123456,密码admin,拼接后加密,偏移量不是开始到结尾,而是从一个部分进行加密
将加密的用base64解密---解密为乱码多半为aes加密---有时会出现斜杠
DES(类似于base64)
特点:明文的长度和密文成正比,有时会出现加号
网页加密,工具解密---出现乱码(why-不同平台参数不同,用同一平台)
直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等
常见解密方式(针对)
枚举,自定义逆向算法,可逆向
了解常规加密算法的特性
长度位数,字符规律,代码分析,搜索获取等
涉及资源:
http://tool.chacuo.net/cryptaes
https//ctf.bugku.com/challenges
https://www.cr173.com/soft/21692.html
https://gitee.com/ComsenzDiscuz/DiscuzX
浙公网安备 33010602011771号