H5页面漏洞挖掘之路-混淆篇

  • A+
所属分类:安全文章

这是 酒仙桥六号部队 的第 97 篇文章。

全文共计2489个字,预计阅读时长8分钟

前言

针对上次我们提交漏洞之后,我们再次查看JS代码,定位加密函数和解密函数的位置,发现已经不是赤裸裸没有任何防护,而是已经进行的了JS混淆,接下来我们针对遇到JS混淆后,我们该如何破解JS混淆后的代码进行加解密,继续进行渗透测试。笔者在这里提供一个思路和方法。


前置知识

首先我们先了解下代码混淆的具体原理是什么?其实很简单,就是去除代码中尽可能多的有意义的信息,比如注释、换行、空格、代码负号、变量重命名、属性重命名(允许的情况下)、无用代码的移除等等。因为代码是公开的,我们必须承认没有任何一种算法可以完全不被破解,所以,我们只能尽可能增加攻击者阅读代码的成本。

我将混淆类型分为两类:

变量名混淆

将变量名混淆成阅读比较难阅读的字符,增加代码阅读难度,而现在大部分厂商的混淆,都会将其混淆成16进制变量名。

效果如下:

`var test = 'helloworld';`

混淆后:

`var _0x7deb = 'helloworld';`

常量提取

将JS中的常量提取到数组中,调用的时候用数组下标的方式调用,这样的话直接读懂基本不可能了,要么反AST处理下,要么一步一步调试,工作量大增。

以上面的代码为例:

`var test = 'helloworld';`

复制代码混淆过后:

var _0x9d2b = ['helloworld'];var _0xb7de = function (_0x4c7513) {    var _0x96ade5 = _0x9d2b[_0x4c7513];    return _0x96ade5;};var test = _0xb7de(0);

常量混淆

每个文件开头会有一个很长的字符数组,然后会有一段代码对这个数组进行加工,然后还有一个函数接收一个或两个参数输出一个字符串,这个字符串更接近原始的代码。将常量进行加密处理,上面的代码中,虽然已经是混淆过后的代码了,但是helloworld字符串还是以明文的形式出现在代码中,例如将关键字进行Unicode16进制编码。如下:

`var test = 'helloworld';`

结合常量提取得到混淆结果:

  var _0x9d2b = ['x68x65x6cx6cx6f'];        var _0xb7de = function (_0x4c7513) {        _0x4c7513 = _0x4c7513 - 0x0;        var _0x96ade5 = _0x9d2b[_0x4c7513];        return _0x96ade5;    };        var test = _0xb7de('0x0');


案例

第一部分: 变量名称存储数组

这里存储了一些在函数中用到的变量和字符串。

var _0x2ec2 = [  'UGtjczc=',  'dG9TdHJpbmc=',  'ZGVjcnlwdA==',  'c3RyaW5naWZ5',  'xxxx',   'bW9kZQ==',  'Q0JD',  'cGFk'];

第二部分 数组处理函数

/** * params _0x167407: 上面的字符串数组 * params _0x353595: 计数个数 * 把前 _0x353595 +1 个元素放到数组末尾 */(function (_0x167407, _0x353595) {  var _0x52a3ae = function (_0x3fbe47) {    while (--_0x3fbe47) {      _0x167407['push'](_0x167407['shift']());    }  };  _0x52a3ae(++_0x353595);}(_0x2ec2, 312));

第三部分 数组字符串处理函数

// 这个是数组内容解码的函数, 实际上第二个参数是没有用到的var _0x523d = function (_0x4c10d0, _0x393bf7) {  _0x4c10d0 = _0x4c10d0 - 0; // 这里第一个参数是通过字符串传进来, 因此这里起到类型转换的作用  var _0x70d87b = _0x2ec2[_0x4c10d0]; // 这里 _0x70d87b 保存的是数组下标对应的值, 也就是, 解密第几个字符串  // 接下来判断有没有进行过初始化操作, 如果没有的话, 先初始化  if (_0x523d['CuFQcU'] === undefined) {    (function () {      var _0x5b57a4 = function () {        var _0x29e588;        try {          _0x29e588 = Function('return (function() ' + '{}.constructor("return this")( )' + ');') ();        } catch (_0x4956c9) {          _0x29e588 = window;        }        return _0x29e588;      };      var _0x2b121a = _0x5b57a4(); // 这里实际上返回的是 Window 对象      var _0x6c99b9 = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';      // 下面这个是判断Window有没有atob这个函数, 如果没有的话生成一个进去.      _0x2b121a['atob'] || (_0x2b121a['atob'] = function (_0x13f6f4) {        var _0x901f5e = String(_0x13f6f4) ['replace'](/=+$/, '');        for (var _0x240979 = 0, _0x43e3e8, _0x42ec25, _0x6ec31e = 0, _0x1c0a86 = ''; _0x42ec25 = _0x901f5e['charAt'](_0x6ec31e++); ~_0x42ec25 && (_0x43e3e8 = _0x240979 % 4 ? _0x43e3e8 * 64 + _0x42ec25 : _0x42ec25, _0x240979++ % 4) ? _0x1c0a86 += String['fromCharCode'](255 & _0x43e3e8 >> ( - 2 * _0x240979 & 6))  : 0) {          _0x42ec25 = _0x6c99b9['indexOf'](_0x42ec25);        }        return _0x1c0a86;      });    }());            _0x523d['ZEesoG'] = function (_0x1de802) {      var _0x216ff1 = atob(_0x1de802);      var _0x42331f = [      ];      for (var _0x3a392f = 0, _0x2319db = _0x216ff1['length']; _0x3a392f < _0x2319db; _0x3a392f++) {        _0x42331f += '%' + ('00' + _0x216ff1['charCodeAt'](_0x3a392f) ['toString'](16)) ['slice']( - 2);      }      return decodeURIComponent(_0x42331f);    };    // 到这里完成初始化操作, 置CuFQcU为true, 添加VgXLDn属性, 这个相当于是一个字典表, 如果已经解密过的东西就存进去, 下次就不用在解密了.    _0x523d['VgXLDn'] = {};    _0x523d['CuFQcU'] = !![];  }     // 后面这段是先判断之前有没有对传入的参数进行解密过, 如果解密过的话, 那么就不再解密了.  var _0x22ee7f = _0x523d['VgXLDn'][_0x4c10d0];  if (_0x22ee7f === undefined) {    _0x70d87b = _0x523d['ZEesoG'](_0x70d87b);    _0x523d['VgXLDn'][_0x4c10d0] = _0x70d87b;  } else {    _0x70d87b = _0x22ee7f;  }  return _0x70d87b;};

第四部分 加解密函数

function encrypt(_0xd0a5dd) {  var _0x2d682e = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x3'));  var _0x2d053c = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x4'));  var _0xa5c781 = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0xd0a5dd);  var _0x17d14e = CryptoJS[_0x523d('0x5')][_0x523d('0x6')](_0xa5c781, _0x2d682e, {    'iv': _0x2d053c,    'mode': CryptoJS[_0x523d('0x7')][_0x523d('0x8')],    'padding': CryptoJS[_0x523d('0x9')][_0x523d('0xa')]  });  return _0x17d14e[_0x523d('0xb')]();}function decrypt(_0x363945) {  var _0x41412c = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x3'));  var _0xf43728 = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x4'));  var _0x2f2c26 = CryptoJS[_0x523d('0x5')][_0x523d('0xc')](_0x363945, _0x41412c, {    'iv': _0xf43728,    'mode': CryptoJS[_0x523d('0x7')][_0x523d('0x8')],    'padding': CryptoJS[_0x523d('0x9')][_0x523d('0xa')]  });  return CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0xd')](_0x2f2c26) [_0x523d('0xb')]();}

当我们分析整个混淆后的代码后, 我们可以手动断点调试, 来看看具体的解密之后每参数是什么。我们首先将整个混淆后的js代码copy下来,定义main()函数,调用加密encrypt和decrypt解密这两个函数,在浏览器下调试运行。

H5页面漏洞挖掘之路-混淆篇

代码完美运行,在第三部分数组字符串处理函数的位置我们手动断点F10进行调试。

密钥key成功拿到:

H5页面漏洞挖掘之路-混淆篇

向量IV成功拿到:

H5页面漏洞挖掘之路-混淆篇

得知加密算法为AES:

H5页面漏洞挖掘之路-混淆篇

AES加密算法使用的模式:mode=CBC

H5页面漏洞挖掘之路-混淆篇

AES加密算法使用的填充方式:Pkcs7

H5页面漏洞挖掘之路-混淆篇

至此混淆后的加密算法已破解,拿到加密算法的明文,我们可以编写python加解密脚本,加解密结果一致。

H5页面漏洞挖掘之路-混淆篇

总结

JS混淆在安全对抗中必不可少,一是对保护前端页面的代码逻辑,二是对前端登陆的算法密钥和向量IV进行保护。而我们通过反混淆还原代码或者直接调用混淆后的JS代码进行调试,获取密钥和向量IV,从而达到解密密文,篡改数据包继续进行漏洞挖掘。

参考

https://www.52pojie.cn/thread-1104122-1-1.html#29856570_%E5%A3%B0%E6%98%8E


H5页面漏洞挖掘之路-混淆篇

H5页面漏洞挖掘之路-混淆篇

本文始发于微信公众号(酒仙桥六号部队):H5页面漏洞挖掘之路-混淆篇

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: