申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把 明暗安全
设为星标,否则可能就看不到啦!
1.漏洞背景
继续接上次,我们已经可以成功调用加密函数获得w的值,虽然已经成功调用,但是传入参数也是有加密的,所以今天我们继续深入分析。
逆向1地址:
参数e中的pow_msg和pow_sign逆向
发现有两个参数,我们先看第一个参数e
发现有两个参数pow_msg和pow_sign我们不能进行构造,需要继续分析。其余参数中setLeft为滑动的距离,userresponse由计算得到,剩下的参数都可固定。
在i的上一个栈中我们发现了关键字pow_msg,对应文中的编码为"u0070u006fu0077u005fu006du0073u0067"
我们进行全局搜索,发现只有三个结果,并且两个都在同一个方法中,在函数入口下断点,然后重新获取验证码进入断点。
该方法中的参数比较多,我们逐个分析。
其中 e 为 'a1f54fb19958473f9688109fe44eb414' ,进行全局搜索这个参数。
在load返回包中发现了该值,为lot_number,并且也发现了pow_detail值,正好为加密函数参数的n,s,r,i值
就剩下t = '24f56dc13c40dc4a02fd0318567caef5'值我们继续搜索。结果一看就明白了,为captcha_id
分析完参数了我们回到加密函数。将方法进行导出。定义名字为window.qingtong_s
成功在本地执行,并且得到这两个参数。
参数t的构成
在控制台中打印t参数发现有一大坨东西,根据经验来看,肯定不是全都用上的。
我们回到上一篇文章的导出方法中,将该参数传入空值,发现提示options未定义
再查看加密函数中的t的引用,发现只有一个options,所以我们只需要构造该值即可。
在控制台中输出t["options"],发现箭头指向的值我们已经全部解决了。只需要简单构造即可。
附上我构造的代码仅供参考。
最后滑块的识别和验证的发包就不过多叙述了,识别直接用开源的即可。
附上我的成功调用截图。
有兴趣的小伙伴可以一起加群交流啊,关注公众号回复加群即可,一起探讨逆向在渗透中的应用。
-
往期精彩推荐
工具 | burp被动扫描xss神器
工具 | 无回显变可回显rce
❤️爱心三连击
1.本文已收录在明暗官方网站:http://www.php1nf0.top/
原文始发于微信公众号(明暗安全):实战 | 一文教你如何逆向(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论