WEB—加密算法

前言:在渗透测试中，常见的密码等敏感信息会采用加密处理，

其中作为安全测试人员必须要了解常见的加密方式，才能为后续的安全测试做好准备

————————————————————————————————————————————

常见加密编码等算法解析

• MD5，SHA，ASC，进制，时间戳，URL，BASE64，Unescape，AES，DES 等

MD5是最常见的加密方式，市面上绝大部分网站的管理员密码或者用户密码都是用MD5加密，分为两种16MD5和MD5。16MD5加密后的密文是16位的长度，MD5是32位长度。加密字符串一般是由数字0-9和字母a-z组成。

SHA：有SHA1、SHA256、SHA384、SHA512，明文越长，加密后的密文也就越长，加密字符串也是由数字0-9和字母a-z组成。

进制在这儿省略。

时间戳：脚本语言、数据库和一些应用，看时间是采用时间戳，与人为不一样。

URL是访问网站时网址上的一些信息，以百分号（%）开始后面加上由0-9或a-z组合成的两位字符就是URL编码。

BASE64是最常见的编码方式，明文越长，密文也会越长。由0-9&A-Z&a-z组合的字符串，经常会在字符串的后面出现一个=或者两个==或者没有。

Unescape与URL有点类似，以百分号%开始，后面接u+4个数字，每一个%u1111对应明文的两个字符，若明文字符数是双数，则以%u0000结尾，若为单数，则不为%u0000结尾。主要应用在web应用。

AES可以说是继MD5后的另一种加密方式，是一种安全的加密方式，涉及到填充，数据块，密码和偏移量四种选择。数据块选择的位数越大，加密的强度越深。偏移量是选择从某个地方开始加密，不会从期初开始。输出会进行一个BASE64转换。有时候出现“/”在密文里。

如果碰到类似于BASE64的编码转码后出现乱码，可以考虑是AES加密。对AES进行解密必须要满足四个条件：密码、偏移量、填充方式和数据块。不能缺密码和偏移量，填充方式和数据块可以逐个尝试。

DES类似于BASE64，明文越长，密文也就越长。 有时候会出现“+”在密文里。

常见加密形式算法解析

• 直接加密，带 salt，带密码，带偏移，带位数，带模式，带干扰，自定义组合等

常见解密方式

• 枚举，自定义逆向算法，可逆向

了解常规加密算法的特性

• 长度位数，字符规律，代码分析，搜索获取等

md5(md5($pass).$salt)意思是先对密码进行md5加密，加密后加盐再进行md5加密。