分析网站登录处的加密算法(一)

  • A+
所属分类:安全文章

在某次渗透过程中,碰到了一个登录的网站。于是随便输了个 admin/123456进行登录尝试,准备burp抓包,进行爆破。

   抓包分析  

发现 password 字段进行了加密,粗略一看很像是MD5加密。但是仔细对比,发现123456的MD5值为:

e10adc3949ba59abbe56e057f20f883e

而不是包中的值:

 9f27a19583a386e11dd6b7bb141161fd

所以,就需要分析js代码,判断出该字段的加密方式。

右键检测,切换到 Network 选项,点击登录,抓到一个数据包。没错,就是我们进行登录的数据包。记住密码的字符:password

切换到 Source 选项卡,ctrl+shirt+F 调出全局搜索,搜索 password 字段,如图,找到23个文件中含有该字段。


根据经验,或者一个一个点击文件查看密码登陆处的代码是否在该文件。最终,在 login.vue 文件中找到了密码加密的代码。通过读该 js 代码我们可以知道。password等于MD5(password),而 password又等于encrypt("我们输入的密码","8Vh1Py0Eg8Ks8Ji7")。所以,其实最终 password 是由两层加密算出来的。第一层先有encrypt()函数加密,然后再将加密后的字符串进行MD5加密,得到最终的password。

我们需要知道 encrypt() 函数是如何进行加密的。我们在这行打断点,重新登录查看。

一步一步单步调试(F11),跟踪代码。最终,在utils.js文件中找到了encrypt()函数。通过读js代码我们知道,encrypt()函数其实就是实现了AES加密。encrypt()函数需要给定两个参数,一个是需要加密的字符word,一个是key值 8Vh1Py0Eg8Ks8Ji7。通过读代码我们知道该AES的加密模式为ECB,而ECB模式是不需要偏移向量的。

我们通过把utils.js里面的aes加密代码拷贝出来,修改之后如下:

// import CryptoJS from 'crypto-js'    这是vue.js里面的写法var CryptoJS = require("crypto-js");   //node.js里面导入模块
//AES加密function encrypt(word, keyStr){ keyStr = keyStr ? keyStr : '0102030405060708'; var key = CryptoJS.enc.Utf8.parse(keyStr); var srcs = CryptoJS.enc.Utf8.parse(word); var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7}); return encrypted.toString(); }//AES解密function decrypt(word, keyStr){ keyStr = keyStr ? keyStr : 'df0f07a7fec84424'; var key = CryptoJS.enc.Utf8.parse(keyStr); var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7}); return CryptoJS.enc.Utf8.stringify(decrypt).toString(); }var word="123456";var key="8Vh1Py0Eg8Ks8Ji7";
data_encode=encrypt(word,key) //加密后的字符串console.log(data_encode); //打印出加密后的字符串// console.log(decrypt(encrypt(word,key),key)) //打印出解密后的字符console.log(CryptoJS.MD5(data_encode).toString());

运行结果如下,也就是在该环境下,字符串 123456 的AES加密之后的字符为:

oPZUqC7YO5ysz0mXq1suDw==

其md5值为:

9f27a19583a386e11dd6b7bb141161fd

这也与我们burp抓包的值一致。

   代码实现  

我们需要通过python调用该nodejs文件来进行爆破,通过execjs库。最终代码如下

AES.js

var CryptoJS = require("crypto-js");   //node.js里面导入模块//AES加密function encrypt(word, keyStr){     keyStr = keyStr ? keyStr : '0102030405060708';    var key  = CryptoJS.enc.Utf8.parse(keyStr);    var srcs = CryptoJS.enc.Utf8.parse(word);    var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});    return encrypted.toString();  }//AES解密function decrypt(word, keyStr){      keyStr = keyStr ? keyStr : 'df0f07a7fec84424';    var key  = CryptoJS.enc.Utf8.parse(keyStr);    var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});    return CryptoJS.enc.Utf8.stringify(decrypt).toString();  }

1.py

import execjsimport hashlib
f=open("AES.js",encoding="utf-8")com=execjs.compile(f.read())encry=com.call("encrypt","123456","8Vh1Py0Eg8Ks8Ji7") #aes加密后的字符md5=hashlib.md5(encry.encode("utf-8")).hexdigest() #对其进行md5加密print(md5)

运行结果如下。写爆破脚本的时候,我们只需要将其中的字符用字典代理即可。

  注意  

一般情况,我们是抓不到网站的vue.js文件的,因为正常的网站会在上线前将vue.js编译成js文件,所以我们只能访问到javascript文件。

而本网站中,我们抓到了vue.js文件是因为网站没有将vue.js文件编译打包,导致我们可以直接查看到vue.js文件内容。


本文始发于微信公众号(谢公子学安全):分析网站登录处的加密算法(一)

发表评论