我有一个本机程序,它接受在命令行传递的密码。该密码显示在服务器日志中,因此我想通过在放入命令行之前对其进行加密来对其进行模糊处理。然后我会在程序中解密它并像以前一样使用它。我的想法是使用powershell创建一个带密码的SecureString,然后使用ConvertFrom-SecureString使其成为可打印的文本字符串。然后,该字符串在命令行上传递给本机c ++程序。从那里,我将其解码回二进制格式,然后将其解密回原始纯文本密码。容易吗?
从简短的文档中,我认为ConvertFrom-SecureString执行Base64编码以使二进制SecureString输入可打印文本。任何人都可以确认吗? 我使用ATL :: Base64Decode()恢复二进制字节。当比较来自orignal和解码的前20个字节时,此出现。
之后我尝试解密SecureString字节。同样,一些文档似乎暗示SecureString加密是使用机器密钥(或用户会话密钥)完成的。基于此,我尝试使用DPAPI CryptUnprotectData方法进行解密。在这里,虽然我用"(0x8007000d)得到了一个失败的故障,数据无效"。这听起来有效吗?如果有的话,我知道我在哪里?
继承人解密方法......
// Decrypts an encoded and encrypted string with DPAPI and Machine Key, returns the decrypted string
static HRESULT Decrypt(CStringW wsEncryptedBase64, OUT CStringW& wsPlainText)
{
HRESULT hr = S_OK;
DATA_BLOB dbIn = { 0 };
DATA_BLOB dbOut = { 0 };
const wchar_t *pos = wsEncryptedBase64.GetBuffer(wsEncryptedBase64.GetLength());
dbIn.cbData = wsEncryptedBase64.GetLength() / 2;
dbIn.pbData = (byte*)malloc(dbIn.cbData * sizeof(byte));
int num = 0;
for (size_t i = 0; i < dbIn.cbData; i += 1)
{
swscanf_s(pos, L"%2hhx", &num);
dbIn.pbData[i] = num;
pos += sizeof(wchar_t);
}
if (::CryptUnprotectData(&dbIn, NULL, NULL, NULL, NULL,
CRYPTPROTECT_UI_FORBIDDEN, &dbOut))
{
wsPlainText = CStringW(reinterpret_cast< wchar_t const* >(dbOut.pbData), dbOut.cbData / 2);
}
else
{
hr = HRESULT_FROM_WIN32(::GetLastError());
if (hr == S_OK)
{
hr = SEC_E_DECRYPT_FAILURE;
}
}
return hr;
}
答案 0 :(得分:1)
从我看到dotPeek中的二进制文件,ConvertFrom-String使用SecureStringToCoTaskMemUnicode将安全字符串有效负载转换为字节数组。该字节数组以十六进制形式返回,例如byte.ToString("x2)。
这假设您正在使用DPAPI,而不是在ConvertFrom-SecureString上使用Key或SecureKey参数。
所以在你的C ++程序中不要使用Base64Decode,只需将每两个字符解析为十六进制字节。然后在生成的字节数组上调用CryptUnprotectData(填充到DATA_BLOB中)。