Что такое Base64 Look-alike?

Question

Я новичок в методах декодирования и только что узнал о base64, sha-1, md5 и некоторых других.

Я пытался выяснить, что на самом деле содержат черви orkut.

В последние дни меня атаковали многие спамеры и хакеры orkut, и в URL-адресах, которые они нам отправили, есть сходство.

Я не знаю, какую информацию он содержит, но мне нужно выяснить это.

Проблема заключается в следующих текстах:

Foo+bZGMiDsstRKVgpjhlfxMVpM= 
lmKpr4+L6caaXii9iokloJ1A4xQ= 

Кодирование выше, как представляется, base64, но это не так, потому что всякий раз, когда я пытаюсь его расшифровать с помощью онлайн-декодеры base64, я получаю сырой выход и это Безразлично 't декодировать точно.

Возможно, какой-то другой код был смешан с базой64.

Может ли кто-нибудь помочь мне его расшифровать?

Answer 1

Ха-ха, если бы все было так просто, это не стоило взломать! Вы должны попробовать намного сложнее, чем просто декодировать его один раз.

Answer 2

Они могут быть просто хэшами.

Если они являются хешами, их «реверсирование» алгоритмически невозможно, если исходный контент превышает размер certian, потому что после определенного размера данных источника хеширование становится функцией сжатия с потерями.

Answer 3

Кодирование выше, как представляется, base64, но это не так, потому что когда-нибудь я пытаюсь расшифровать его с помощью онлайн-декодеры base64 я получаю сырой выход и не декодирует точно.

Что заставляет вас думать, что декодирование неверно? Как правило, вы должны использовать base64 или hex для кодирования двоичного содержимого, чтобы его можно было переносить как текст. Вы бы не кодировали текст base64, поэтому неудивительно, что декодирование строк, которые вы предоставили выше, приводит к ASCII gobbledygook.

Answer 4

Это часть червя orkut. This page имеет некоторые детали. Обратите внимание, что упоминается переменная JSHDF["Page.signature.raw"], в которой вы находите эти строки.

Это SHA1-хэш страницы, на которой он был найден. This page показывает декодированную форму.

Answer 5

Часто Foo + все, что является результатом солевого хеша. Обычно хранить результаты хеша с солью, а соль можно хранить в ясном состоянии. Чтобы отделить соль от фактического значения хеша, обычно используется знак +.

Base64 используется, так что двоичный результат хеша может быть сохранен в тексте. Вы можете сказать, что последняя часть этих строк может быть действительной Base64, поскольку содержимое Base64 всегда будет кратно 4. Оно выводит 4 действительных символа ASCII для каждых 3 байтов ввода. Он заканчивает знаками «=».

Таким образом, для Foo+bZGMiDsstRKVgpjhlfxMVpM= это может быть результатом ввода какого-либо ввода, будь то сообщение какого-либо рода или что-то еще, и применение salt «Foo», а затем хэширование результата. Строковое значение bZGMiDsstRKVgpjhlfxMVpM=, вероятно, является двоичным результатом некоторой хэш-функции.Значение online Base64 decoder показывает, что значение в Hex вместо Base64 равно { 6D 91 8C 88 3B 2C B5 12 95 82 98 E1 95 FC 4C 56 93 }. Да, это не текст ASCII.

Base64, двоичный, шестнадцатеричный, десятичный, все способы представления значений. Подумайте о части после + как о простом числе. Вышеуказанное 136-битное число может быть результатом 128-битного хэша и 8-битного CRC, например. Кто знает? Я не знаю, почему вы получаете спам, или почему эти спам-сообщения имеют эти строки, привязанные к ним, но это может быть некоторое представление о характере структуры строк.