这张图整理的太der了 没啥思路 仅作入门吧 这些密码题 简单的谁都会 难的我做不出
参考21-23第四天笔记、23第七天笔记
一、传输加密
1、漏洞探针是啥?
安全测试时需对传输数据进行正确编码(如URL编码、Base64),否则修改数据(如SQL注入、XSS payload)提交后,服务器可能因解码失败而忽略测试。
2、系统存储:
Windows用NTLM哈希(SAM文件或Active Directory),Linux用/etc/shadow(SHA-512等哈希)。影响提权
3、做法:
观察回显数据格式,是xml还是json还是text,以此格式发送
4、常见编码类型:
URL编码、Base64、Hex、Unicode等(原文提到的ASC、时间戳属于基础编码)。
sqlmap的--tamper参数自动处理编码
识别流程:
1、观察密文长度(MD5=32, SHA-1=40, SHA-256=64)。
2、检查字符集(Base64哈希含+/=,Hex仅0-9a-f)。
3、结合上下文(如Web登录页源码可能暴露算法)。
分析存储位置:
1、数据库字段 → 可能为哈希或对称加密
2、配置文件 → 可能含密钥/盐值
3、操作系统文件 → 系统级哈希(如Linux shadow)
二、数据传输格式
常见格式:
常规:username=admin&passwd=123(application/x-www-form-urlencoded)。
JSON:结构化键值对(如{"user":"admin","pass":"123"})。
XML:标签化数据(如<user>admin</user>)。
三、代码混淆与逆向保护
混淆技术:
源码混淆:PHP/JS文件加密(如Zend Guard)、JSFuck(仅用[]()+!编码)。
二进制保护:EXE加壳(如UPX)、Java JAR加密(Virbox Protector)、APK加固(360加固)。
影响:增加代码审计和逆向难度,需额外步骤解密(如CTF常见)。
补充点:
1.常见加密编码进制等算法解析
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等
2.常见加密编码形式算法解析
直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等
3.常见解密解码方式(针对)
枚举,自走义逆向算法,可逆向
4.常见加密解码算法的特性
长度位数,字符规律,代码分析,搜索获取等
拓展补充参考资料:
http://too1.chacuo.net/cryptaes
https://utf-8.jp/public/aaencode.html
小结
密码学 密码的 此地不宜久留 要尽快赶路了 明天看看流量
且视他人之疑目如盏盏鬼火,大胆地去走你的夜路。
Comments NOTHING