核心内容摘要
nodejs旅行社信息导游管理系统
CTF Crypto模块系列分享四哈希与AES入门搞定对称加密与哈希验证题上期我们吃透了异或加密的两大高频场景今天咱们就如约进入Crypto的另一大核心板块——哈希与对称加密基础。
哈希和对称加密是CTF Crypto中“实用性极强”的两类题型既常作为独立签到/基础题也常嵌套在复杂加密流程中比如哈希验证异或、AES加密Base64编码。
很多新手觉得这类题难其实只要抓住核心哈希题侧重“查询与碰撞”对称加密题侧重“密钥与模式”避开复杂数学原理新手也能轻松上手稳步拿下这类基础进阶分
先明确本期核心目标新手必掌握今天我们不搞高深理论聚焦“比赛落地”新手学会这4点就能应对80%的哈希与对称加密基础题掌握哈希核心考点理解哈希特性搞定MD5/SHA系列的哈希查询与简单碰撞吃透AES对称加密掌握AES核心参数、加密模式用工具/脚本完成解密识别题型特征快速区分哈希题与对称加密题匹配对应破解方法应对嵌套题型哈希编码、AES异或的组合拆解思路。
提示本期重点聚焦“基础题型”高阶哈希碰撞、AES复杂模式暂不涉及先帮大家筑牢基础再逐步进阶
哈希函数基础CTF高频考点全拆解首先明确核心定义哈希函数是“单向加密工具”能将任意长度的明文转化为固定长度的哈希值一串十六进制字符串核心特点是“明文→哈希值易哈希值→明文难”这也是CTF哈希题的出题核心。
核心特性解题关键单向性无法通过哈希值反向推导明文除非暴力破解/彩虹表查询固定长度无论明文多长哈希值长度固定MD5是32位SHA-1是40位SHA-256是64位唯一性理想状态不同明文对应不同哈希值若不同明文对应同一哈希值即为“哈希碰撞”CTF高频考点。
CTF高频哈希算法重点记这3个高频题型与破解方法实战重点CTF中哈希题主要有3类按“出现频率从高到低”拆解新手优先掌握前两类题型1哈希值还原最基础签到题主力题目给出哈希值要求还原对应的明文通常是简单字符串、数字组合核心用“彩虹表查询”。
特征识别题目给出32位/40位/64位十六进制字符串提示“MD5/SHA”“还原明文”“哈希解密”工具破解首选① 推荐工具CTF在线工具集哈希查询、MD5在线解密、彩虹表查询网站② 操作步骤粘贴哈希值→选择对应算法MD5/SHA-1等→点击查询→获取明文若查询不到大概率是复杂明文或带盐值。
题型2哈希碰撞进阶基础题要求构造两个不同的明文使其哈希值相同即碰撞CTF中多为MD5碰撞无需手动计算用工具/脚本快速构造。
特征识别题目提示“哈希碰撞”“MD5碰撞”“构造两个不同明文”工具破解① 推荐工具CTF在线工具集MD5碰撞构造、HashClash本地工具② 操作步骤选择MD5算法→点击“生成碰撞”→工具自动生成两个不同明文验证两者哈希值相同即可。
题型3盐值哈希进阶题盐值salt是额外添加的字符串加密逻辑为“明文盐值”一起哈希比如MD5(flag
破解核心是“找到盐值”。
特征识别题目给出哈希值提示“盐值”“salt”或查询不到简单明文破解思路若提示盐值长度/内容直接拼接明文盐值哈希验证若无提示用Python脚本遍历常见盐值
abc等。
Python脚本哈希计算与盐值遍历适合验证哈希值、遍历盐值场景脚本带注释新手可直接复制import hashlib def calculate_hash(plaintext, algorithmmd
: 计算明文的哈希值支持md
sha
sha256 plaintext_bytes plaintext.encode(utf-
if algorithm md5: return hashlib.md5(plaintext_bytes).hexdigest() elif algorithm sha1: return hashlib.sha1(plaintext_bytes).hexdigest() elif algorithm sha256: return hashlib.sha256(plaintext_bytes).hexdigest() else: return 不支持该哈希算法 def find_salt_hash(target_hash, common_salts[123, abc, ctf, flag]): 遍历常见盐值查找匹配的明文盐值组合假设明文是flag{}格式 # 遍历简单明文可扩展 for plaintext in [flag{123}, flag{abc}, flag{ctf}, flag{xor}, flag{aes}]: for salt in common_salts: # 两种常见拼接方式明文盐值、盐值明文 hash1 calculate_hash(plaintext salt) hash2 calculate_hash(salt plaintext) if hash1 target_hash or hash2 target_hash: return f匹配成功明文{plaintext}盐值{salt}拼接方式{明文盐值 if hash1target_hash else 盐值明文} return 未找到匹配的盐值组合 # 测试案例 if __name__ __main__: # 测试哈希计算 print(calculate_hash(flag{md5_test}, md
) # 输出对应MD5哈希值 # 测试盐值查找目标哈希是flag{123}123的MD5 target_hash calculate_hash(flag{123}
print(find_salt_hash(target_hash))
对称加密基础AES加密解密实战对称加密的核心是“加密和解密用同一密钥”CTF中最常考AESDES因安全性低现已少见基础题聚焦“ECB模式”无需偏移量和“CBC模式”需偏移量IV今天重点讲解基础用法。
AES核心参数解题必记AES加密解密需匹配3个核心参数参数不匹配会导致解密失败这是新手最容易踩坑的点密钥key加密和解密的核心CTF中多为16位、24位、32位字符串对应AES-
AES-
AES-256加密模式基础题常考ECB无偏移量最简单、CBC需偏移量IV16位字符串填充方式常用PKCS7Padding默认无需手动设置工具/脚本会自动处理。
特征识别快速定题型题目明确提示“AES”“对称加密”“密钥”“IV”偏移量密文多为Base64编码字符串便于传输或十六进制字符串题目会给出密钥或提示密钥长度16位等部分题目会给出IVCBC模式。
工具破解新手首选快速高效优先用在线工具无需编写复杂脚本匹配参数即可解密推荐工具CTF在线工具集AES加密解密、CryptoTool操作步骤ECB模式最基础① 粘贴密文若为Base64先解码为十六进制或直接选择Base64格式② 输入密钥确保长度符合要求16/24/32位③ 选择加密模式ECB、填充方式PKCS7Padding④ 点击解密获取明文Flag。
CBC模式操作在上述步骤基础上添加IV16位字符串其余参数不变即可解密。
Python脚本AES解密进阶必备需安装pycryptodome库pip install pycryptodome脚本适配ECB和CBC两种模式新手可直接修改参数from Crypto.Cipher import AES from Crypto.Util.Padding import unpad import base64 def aes_decrypt(ciphertext, key, ivNone, modeAES.MODE_ECB): AES解密函数支持ECB和CBC模式 # 密钥编码为字节流确保长度符合要求16/24/32位 key_bytes key.encode(utf-
# 初始化AES解密器 cipher AES.new(key_bytes, mode, iviv.encode(utf-
if iv else None) # 密文处理Base64解码→字节流 ciphertext_bytes base
b64decode(ciphertext) # 解密去填充还原明文 plaintext_bytes unpad(cipher.decrypt(ciphertext_bytes), AES.block_size) return plaintext_bytes.decode(utf-
# 测试案例ECB模式 if __name__ __main__: ciphertext 待解密的Base64密文 # 替换为实际密文 key 16位密钥abcdefghijklmn # 替换为实际密钥16/24/32位 # ECB模式解密无IV plaintext_ecb aes_decrypt(ciphertext, key) print(fAES-ECB解密结果{plaintext_ecb}) # 若为CBC模式添加IV参数 # iv 16位偏移量iv # plaintext_cbc aes_decrypt(ciphertext, key, iv, modeAES.MODE_CBC) # print(fAES-CBC解密结果{plaintext_cbc})
实战小任务哈希AES嵌套题接近比赛真题比赛中哈希和AES常与编码、异或嵌套我们用一道真题简化版练习完整流程串联前几期知识点题目解码以下内容得到Flag提示先AES解密再MD5验证最后异或固定密钥AES参数密钥“ctf_aes_key_1234”16位模式ECB密文Base64“xYjF4aGpKZ2tSbWt6VlZNaGt0VlZKaGt6VlZGd2JtRnRaU0JwY25RdWJHOWpZVzVrY3lJNklqQT0”MD5验证AES解密后得到明文A明文A的MD5哈希值为“e10adc3949ba59abbe56e057f20f883e”异或明文A与密钥“m”异或得到最终Flag。
解题步骤新手跟着做第一步AES解密——用工具/脚本输入密钥和密文选择ECB模式解密得到明文A“123456”第二步MD5验证——计算“123456”的MD5哈希值结果为“e10adc3949ba59abbe56e057f20f883e”匹配提示第三步异或解密——明文A“123456”与密钥“m”ASCII码109异或得到最终Flag“flag{aes_md5_xor_123}”。
嵌套题核心按提示顺序拆解先解密内层加密AES再完成验证哈希最后破解外层加密异或每一步验证结果正确性。
新手避坑哈希与AES最容易踩的6个坑坑1哈希算法混淆——把32位哈希值当作SHA-140位查询先根据长度判断算法再查询坑2AES密钥长度错误——用15位密钥解密AES-128需补齐16位或确认题目密钥长度否则解密失败坑3CBC模式遗漏IV——忽略偏移量IV直接用ECB模式解密导致结果乱码坑4密文格式错误——把AES的Base64密文当十六进制解密需先完成Base64解码坑5盐值拼接顺序错误——混淆“明文盐值”和“盐值明文”两种顺序都需验证坑6脚本库安装错误——安装pycryptodome时输错命令正确命令pip install pycryptodome避免安装失败。
下期预告福利时间今天我们搞定了哈希与AES对称加密的基础题型还学会了应对嵌套题——这是Crypto模块的核心进阶内容掌握后就能覆盖比赛中80%的Crypto基础进阶题下期就是系列最后一期实战技巧大整合帮大家梳理Crypto通用解题框架、比赛答题策略
总结全系列高频坑点还会给出后续进阶规划为整个Crypto模块系列画上完整句号如果今天的内容对你有帮助别忘了点赞、在看转发给一起学CTF的小伙伴网安学习资源网上虽然也有很多的学习资源但基本上都残缺不全的这是我们和网安大厂360共同研发的的网安视频教程内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识而且包含了中级的各种渗透技术并且还有后期的CTF对抗、区块链安全等高阶技术。
总共200多节视频100多本网安电子书最新学习路线图和工具安装包都有不用担心学不全。
这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源