在某次渗透过程中,碰到了一个登录的网站。于是随便输了个 admin/123456进行登录尝试,准备burp抓包,进行爆破。
抓包分析
发现 password 字段进行了加密,粗略一看很像是MD5加密。但是仔细对比,发现123456的MD5值为:
e10adc3949ba59abbe56e057f20f883e
而不是包中的值:
9f27a19583a386e11dd6b7bb141161fd
所以,就需要分析js代码,判断出该字段的加密方式。
右键检测,切换到 Network 选项,点击登录,抓到一个数据包。没错,就是我们进行登录的数据包。记住密码的字符:password
切换到 Source 选项卡,ctrl+shirt+F 调出全局搜索,搜索 password 字段,如图,找到23个文件中含有该字段。
根据经验,或者一个一个点击文件查看密码登陆处的代码是否在该文件。最终,在 login.vue 文件中找到了密码加密的代码。通过读该 js 代码我们可以知道。password等于MD5(password),而 password又等于encrypt("我们输入的密码","8Vh1Py0Eg8Ks8Ji7")。所以,其实最终 password 是由两层加密算出来的。第一层先有encrypt()函数加密,然后再将加密后的字符串进行MD5加密,得到最终的password。
我们需要知道 encrypt() 函数是如何进行加密的。我们在这行打断点,重新登录查看。
一步一步单步调试(F11),跟踪代码。最终,在utils.js文件中找到了encrypt()函数。通过读js代码我们知道,encrypt()函数其实就是实现了AES加密。encrypt()函数需要给定两个参数,一个是需要加密的字符word,一个是key值 8Vh1Py0Eg8Ks8Ji7。通过读代码我们知道该AES的加密模式为ECB,而ECB模式是不需要偏移向量的。
我们通过把utils.js里面的aes加密代码拷贝出来,修改之后如下:
// import CryptoJS from 'crypto-js' 这是vue.js里面的写法var CryptoJS = require("crypto-js"); //node.js里面导入模块//AES加密function encrypt(word, keyStr){keyStr = keyStr ? keyStr : '0102030405060708';var key = CryptoJS.enc.Utf8.parse(keyStr);var srcs = CryptoJS.enc.Utf8.parse(word);var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});return encrypted.toString();}//AES解密function decrypt(word, keyStr){keyStr = keyStr ? keyStr : 'df0f07a7fec84424';var key = CryptoJS.enc.Utf8.parse(keyStr);var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});return CryptoJS.enc.Utf8.stringify(decrypt).toString();}var word="123456";var key="8Vh1Py0Eg8Ks8Ji7";data_encode=encrypt(word,key) //加密后的字符串console.log(data_encode); //打印出加密后的字符串// console.log(decrypt(encrypt(word,key),key)) //打印出解密后的字符console.log(CryptoJS.MD5(data_encode).toString());
运行结果如下,也就是在该环境下,字符串 123456 的AES加密之后的字符为:
oPZUqC7YO5ysz0mXq1suDw==
其md5值为:
9f27a19583a386e11dd6b7bb141161fd
这也与我们burp抓包的值一致。
代码实现
我们需要通过python调用该nodejs文件来进行爆破,通过execjs库。最终代码如下
AES.js
var CryptoJS = require("crypto-js"); //node.js里面导入模块//AES加密function encrypt(word, keyStr){keyStr = keyStr ? keyStr : '0102030405060708';var key = CryptoJS.enc.Utf8.parse(keyStr);var srcs = CryptoJS.enc.Utf8.parse(word);var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});return encrypted.toString();}//AES解密function decrypt(word, keyStr){keyStr = keyStr ? keyStr : 'df0f07a7fec84424';var key = CryptoJS.enc.Utf8.parse(keyStr);var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});return CryptoJS.enc.Utf8.stringify(decrypt).toString();}
1.py
import execjsimport hashlibf=open("AES.js",encoding="utf-8")com=execjs.compile(f.read())encry=com.call("encrypt","123456","8Vh1Py0Eg8Ks8Ji7") #aes加密后的字符md5=hashlib.md5(encry.encode("utf-8")).hexdigest() #对其进行md5加密print(md5)
运行结果如下。写爆破脚本的时候,我们只需要将其中的字符用字典代理即可。
注意
一般情况,我们是抓不到网站的vue.js文件的,因为正常的网站会在上线前将vue.js编译成js文件,所以我们只能访问到javascript文件。
而本网站中,我们抓到了vue.js文件是因为网站没有将vue.js文件编译打包,导致我们可以直接查看到vue.js文件内容。
本文始发于微信公众号(谢公子学安全):分析网站登录处的加密算法(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论