账号密码前端JS加密爆破的处理方法

admin 2022年6月7日18:47:27安全文章评论6 views579字阅读1分55秒阅读模式

1.缘由

在某src遇到一个登录时账号密码都加密的网站,但是这个网站存在默认密码,就想着找办法爆破一番。

账号密码前端JS加密爆破的处理方法


2.找加密js

一开始我是采用F12抓登录时的数据包,搜索加密js这种方法。但是,我抓到数据包之后没发现js文件。想了想,可能是本地已经有了js的缓存。换个浏览器,轻松找到加密的js文件。

账号密码前端JS加密爆破的处理方法

这个比较简单,直接整个js文件就是加密相关的。用js调式工具测试了一下,确实可行。

账号密码前端JS加密爆破的处理方法


3.测试jsEncrypter插件

准备环境

c0ny1大佬开发的burp插件,一直没有用上。

https://github.com/c0ny1/jsEncrypter

下载下来之后使用maven打包成jar,导入burp。


然后,下载phantomjs,nodejs也可以的

http://phantomjs.org/download.html

选择适合自己的版本


jsEncrypterscript文件夹下面是写好的js脚本模板

账号密码前端JS加密爆破的处理方法

账号密码前端JS加密爆破的处理方法

只需要改这两个地方就行了,引入加密的js文件,然后调用加密函数。


测试加密

运行phantomjs

账号密码前端JS加密爆破的处理方法


账号密码前端JS加密爆破的处理方法

先点击connect,再点test


运行结果

账号密码前端JS加密爆破的处理方法

账号密码前端JS加密爆破的处理方法


4.账号密码爆破

前面的不多说了,在Intruder导入padload之后

账号密码前端JS加密爆破的处理方法

选择添加burp插件加密,jsencrypter加密


账号密码前端JS加密爆破的处理方法

已经开始爆破

虽然爆破不成功,但是方法是可行的。


原文始发于微信公众号(白帽兔):账号密码前端JS加密爆破的处理方法

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月7日18:47:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  账号密码前端JS加密爆破的处理方法 http://cn-sec.com/archives/1093817.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: