传输格式
传输数据(编码/加密)
- 常见方式:MD5(摘要)、Base64(编码)、自定义加密算法。
- 影响:渗透测试时必须按照目标使用的编码/加密方式统一发送/还原数据;识别并实现相同加解密逻辑是必要前置步骤。
密码存储
- 示例场景:ZBlog、Discuz 等网站;Windows / Linux 系统;MSSQL / MySQL 数据库中密码存储方式各异。
- 影响:渗透测试需能够识别存储算法(明文 / MD5 / MD5+盐 / bcrypt / PBKDF2 等),并尽可能实现解密或离线暴力破解以验证影响范围。
代码混淆与保护
- 形式:PHP/JS 混淆加密、DLL/JAR 代码保护(加壳、混淆、加密执行)。
- 影响:增加代码审计与逆向难度,需使用反混淆、脱壳、动态调试等技术提取实际逻辑与敏感信息。
待学习内容(建议)
- 加密算法识别与破解:了解常见摘要/对称/非对称算法(MD5/ SHA 系列 / AES / RSA / HMAC),掌握在线/本地还原或暴力破解流程。
- 自定义算法识别与逆向:学会通过静态分析(反编译)与动态调试定位自定义加密逻辑并复现解密流程。
- 协议与编码实现:掌握 multipart、WebSocket 帧结构、二进制协议解析与重放技巧。
- 工具链:熟练使用 Burp/Reqable/Fiddler/wireshark、脚本语言(Python/Node)实现自动化编码/加密/签名复现。
参考链接