zoukankan      html  css  js  c++  java
  • 关于加密与解密的问题。

    有人提问:大佬们知道这个是什么加密吗? 大致情况就是,在常规web渗透测试过程中,通过御剑扫描网址URL,得到如图所示的加密信息。

    m98ce6slpidjnhia1g0e      20

    zx7a8sdf4g56asdzx7a8sdf4gfqwer1dhfg56asdfqwer   46

    发现第一行密文是20位   第二行密文是46位          作为菜鸟的我只知道MD5加密16位32位,这完全超出了我的知识范围。第一反应就是,来一波信息收集  

    问问题的人也没有把情况交代清楚,这完全就是索取。【这什么加密?直接抛出问题就完事了。】1.他做了什么实验聊聊几句话,做的每一步操作都屏蔽了。2.这个加密是扫描到了COOKIE产生的,还是SQL注入从数据库里面提出来的账号密码也没说。

    索取就索取吧,谁叫我是个好人呢?总结出思路以后,自己沉淀用于以后职业发展!

    当然,作为回报我也不会把整个过程详细的告诉他,肯定也是就问题而回答【这是XXX加密的变种,回答的字肯定要比他问的问题更短才行

    使用百度关键词     45位 20位 密文   得到参考资料:https://bbs.csdn.net/topics/310225958       得到一些借鉴,发现此密文的结果范围是0-9a-z的数字字母组合。

    搜索信息的思路变成:从密文结果去猜测用的什么东西加密的     手动实验了一下,发现密文不是常见类似的加密手段       参考网址:http://tool.oschina.net/encrypt

    以上属于开玩笑,但也在点醒各位,必须要沉淀自己的每一个实验过程,你给别人这样分享就会成就自己,别人看你这么分享他也给你这么分享,这叫双倍学习。学习除了高效以外,还有一个再翻翻的效率就是,我学这个的时候把整个上下文分享给你,你学那个的时候把整个上下文分享给我。这就省去了很多重要知识从哪里来的寻找时间了。

    我只能重现整个实验先看看什么情况,因为怕漏掉什么信息。

    首先是安装御剑          参考网址:https://www.52pojie.cn/                   站内搜索    御剑        得到下载地址:https://pan.baidu.com/s/1i3fx1ZJ?errno=0&errmsg=Auth%20Login%20Sucess&&bduss=&ssnerror=0&traceid=

    大致操作如图地方:线程调太大可能把服务器扫崩溃。扫出后台一个个进也没发现他说的那个密文。

    只发现URL:http://www.bjpzs.com/bdunion.txt    中的MD5加密,解密以后是一个页面

    他说了一半藏了一半,最后才说字典不强大。意思是DIR.txt文件没包含到扫描点,那两密文不在这个范围内。哦豁,感情投入这么多时间,他在故意试探我。

    给我说一大堆,隐私,不要违法,这尼玛才是御剑啊,就说这些鬼东西,啥意思。我第一感觉就是他学了一个工具感觉上天了,在警告别人。跟黑页似的,您的网站有漏洞

    by 沙雕。冒火,这不就是没见过世面吗?忍不住开喷了。老子只想找到你说的两密文,你跟我扯犊子,隐私?我看过的,比这些更严重的都有。我只想拿到这两密文做引子,把

    优质的加解密领域的开源教学给它引出来。仅此而已,要那几十个账号密码拿去暗网挂0.0000001个bit币?怕严重打击他的自尊,终于没有骂他愚蠢的井底之蛙,不懂得低调,拿个御剑扫出的结果去警告别人说隐私。我要是拿个metasploit得到远程代码执行漏洞,怎么办?按照严重程度判我死罪?

    最后他如实交代,说出了他的发现过程,其本质就是在DIR.txt,加一个路径文件扫描得到这个文本文件。双击浏览,发现他自己说的密文。

    这种情况在密码学里面叫作唯密文攻击,意思就是说,只拿到一个密文,其他什么都不清楚。复现过程以后,也没有得到任何提示。【仅与文本文件强相关】

    从上一个MD5加密来看,哈希是用来确认完整性的,不清楚哪个沙雕直接用来加密URL。

    关于加解密知识的上下文,国内大学开的课那完全不堪入目【明白的才能看得明白,不明白的一样不明白】,请问这是上课吗?这完全就是打哑语。什么叫课程,课程是让不明白的人学了以后明白了,才叫课程。不然要你教个雕。 暂不推荐视频课程。edx平台应该有,我没找过。感兴趣的自己找找看。

    推荐书籍:《图解加密技术》作者,结城浩。该作者的数学与计算机系列书籍非常棒。

    过了所有的公开的加密算法发现,不存在以上密文特征,这两串密文属于自己写的算法生成的密文。   使用测试工具:https://www.jb51.net/softs/247466.html

    我怎么生成类似的密文?推荐书籍:《python密码学编程》https://www.jb51.net/books/585337.html

  • 相关阅读:
    使用Redux管理你的React应用(转载)
    基于webpack使用ES6新特性(转载)
    在SublimeText上搭建ReactJS开发环境(转载)
    Javascript 严格模式详解
    HTML5探秘:用requestAnimationFrame优化Web动画
    requestAnimationFrame,Web中写动画的另一种选择
    Gulp自动添加版本号(转载)
    一小时包教会 —— webpack 入门指南
    React 入门实例教程(转载)
    走向视网膜(Retina)的Web时代
  • 原文地址:https://www.cnblogs.com/sec875/p/10834817.html
Copyright © 2011-2022 走看看