基础入门-算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护
基础入门-算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护传输数据-编码型&加密型等传输格式-常规&JSON&XML等密码存储-Web&系统&三方应用代码混淆-源代码加密&逆向保护加密:1.常见加密编码进制等算法解析2.常见加密编码形式算法解析3.常见解密解码方式(针对)4.常见加密解码算法的特性识别算法编码方法:拓展补充参考资料:传输数据编码:密码存储加密:代码混淆:JS前端代码加密:后端代码混淆:特定应用-数据库密文加密:数据显示编码:部分资源:1.30余种加密编码类型的密文特征分析(建议收藏)2.CTF中常见密码题解密网站总结(建议收藏)3.CTF密码学常见加密解密总结(建议收藏)
传输数据-编码型&加密型等
编码型:
比如id=1,很容易被sql注入漏洞,所以多了一步BASE64编码,将其变成了MQ==,对方的服务器会先进行解码,再继续执行,所以遇到这种,如果我们不将自己的payload先进行编码,就会失败
加密型:
比如登录传数据包的时候,里面的密码就会自动加密,这时候进行密码的爆破的话,就需要使用同样的加密算法
影响:漏洞探针(就是那个payload,需要编码或者加密后传输)
传输格式-常规&JSON&XML等
列表:
JSON键值对
XML:
所以遇到不同的传输格式,编写payload的时候就要注意格式
影响:
针对发送方--漏洞探针
针对回显方--数据分析
密码存储-Web&系统&三方应用
不同的网站和不同的操作系统都会采用不同的密码加密算法
Windows:NTLM
数据库:MySQL
影响:密文解密不出来,就会影响安全的后渗透测试
代码混淆-源代码加密&逆向保护
源代码加密:
就是把源码编写完后加密,这样就算拿到了源码也无法分析
例:
-PHP&JS混淆加密
-EXE&JAR代码保护:
版权的软件保护软件
JAVA .NET 安卓 IOS都会有代码保护
影响:代码审计,逆向破解
加密:
aes des:涉及到密匙 偏移量 填充 模式等,所以破解的难度很大
如:$2y$10$OtsSmawENczg1BLcQCEn5OdLqJC9GLiDrClwEUooNnn8b609DfJc.
大部分的解密都是碰撞式解密:就是不断的穷举直到碰上
不是算法的逆向的还原解密
1.常见加密编码进制等算法解析
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等
2.常见加密编码形式算法解析
直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等
3.常见解密解码方式(针对)
枚举,自定义逆向算法,可逆向
4.常见加密解码算法的特性
长度位数,字符规律,代码分析,搜索获取等
识别算法编码方法:
1、看密文位数
2、看密文的特征(数字,字母,大小写,符号等)
3、看当前密文存在的地方(Web,数据库,操作系统等应用)
拓展补充参考资料:
传输数据编码:
BASE64:
值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号=
URL:
编码是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,通常以%数字字母间隔
HEX:
编码是计算机中数据的一种表示方法,将数据进行十六进制转换,它由0-9,A-F,组成
ASCII:
编码是将128个字符进行进制数来表示,常见ASCII码表大小规则:0~9<A~Z<a~z
-传输数据加密:同密码存储加密
-传输数据格式:常规字符串 JSON XML等
密码存储加密:
MD5
值是32或16位位由数字"0-9"和字母"a-f"所组成的字符串
SHA1
这种加密的密文特征跟MD5差不多,只不过位数是40
NTLM
这种加密是Windows的哈希密码,标准通讯安全协议
AES,DES,RC4
这些都是非对称性加密算法,引入密钥,密文特征与Base64类似
代码混淆:
JS前端代码加密:
JS颜文字
特征:
一堆颜文字构成的js代码,在F12中可直接解密执行
jother
特征:
只用! + ( ) [ ] { }这八个字符就能完成对任意字符串的编码。也可在F12中解密执行
JSFUCK
特征:
与jother很像,只是少了{ }
后端代码混淆:
PHP:
乱码,头部有信息
.NET:
DLL封装代码文件,加保护
JAVA:
JAR&CLASS文件,加保护
如:加密平台 Zend ILSpy IDEA
应用场景:版权代码加密,开发特性,CTF比赛等
特定应用-数据库密文加密:
MYSQL MSSQL Oracle Redis等
数据显示编码:
UTF-8 GBK2312等
部分资源:
http://tool.chacuo.net/cryptaes
https://utf-8.jp/public/aaencode.html
https://github.com/guyoung/CaptfEncoder
1.30余种加密编码类型的密文特征分析(建议收藏)
2.CTF中常见密码题解密网站总结(建议收藏)
https://blog.csdn.net/qq_41638851/article/details/100526839
3.CTF密码学常见加密解密总结(建议收藏)
https://blog.csdn.net/qq_40837276/article/details/83080460
标签:编码,加密,代码,解密,算法,密文,数据格式 From: https://www.cnblogs.com/Ais0329/p/17643749.html