朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全“设为星标”,否则可能就看不到了啦
原文链接:
https://forum.butian.net/share/2889
某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验,希望对大家有所帮助。
0x00 前言
相信不少朋友挖掘src时或金融项目中,遇到数据包加密的目标直接放弃,其实不然,随着时代变迁,此类项目只会越来越多,掌握破解之法才是关键。
0X01 分析前端加密函数
1-1找到加密解密函数位置
开启f12,控制台中找到对应加解密Js位置
打上断点,开始调试
找到相关函数,点击步入
找到关键解密函数
r = JSON.parse(Object(u["a"])(e, window.cxcrmAesKey));
0x02 jsrpc注入
项目地址:https://github.com/jxhczhl/JsRpc
2-1
控制台中注入此项目中resouces/JsEnv_Dev.js
启动项目
// 注入环境后连接通信
var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=zzz&name=hlg");
group与name自行修改
测试是否通信成功
2-2 注入环境变量 (此动作要在页面调试中追踪到相关函数才能执行,不然会报错)
加密:window.enc = Object(u["b"])
解密:window.dec = Object(u["a"])
2-3 多参数调用
demo.regAction("dec", function (resolve,param) {
//这里还是param参数 param里面的key 是先这里写,但到时候传接口就必须对应的上
res=dec(param,window.cxcrmAesKey)
resolve(res);
})
demo.regAction("enc", function (resolve,param) {
//这里还是param参数 param里面的key 是先这里写,但到时候传接口就必须对应的上
res=enc(param,window.cxcrmAesKey)
resolve(res);
})
0x03 联动autoDecoder
jsrpc设置好后,就可以联动f神写的autoDecoder了,先上一张原理图
f神在项目中也提供了flasktest.py,这里要修改一下结合jsrpc提供的接口,代码如下(与前文设置参数要对应)
import requests
import json
from urllib.parse import quote
app = Flask(__name__)
url = "http://localhost:12080/go"
@app.route('/encode',methods=["POST"])
def encrypt():
param = request.form.get('dataBody') # 获取 post 参数
#print(json.dumps(param))
param_headers = request.form.get('dataHeaders') # 获取 post 参数
param_requestorresponse = request.form.get('requestorresponse') # 获取 post 参数
data = {
"group": "zz",
"name": "gg",
"action": "enc",
"param": json.dumps(param)
}
res = requests.post(url, data=data) #这里换get也是可以的
encry_param = json.loads(res.text)['data']
print(encry_param)
if param_requestorresponse == "request":
return param_headers + "rnrnrnrn" + encry_param
return encry_param
@app.route('/decode',methods=["POST"])
def decrypt():
param = request.form.get('dataBody') # 获取 post 参数
param_headers = request.form.get('dataHeaders') # 获取 post 参数
param_requestorresponse = request.form.get('requestorresponse') # 获取 post 参数
print(param)
data = {
"group": "zz",
"name": "gg",
"action": "dec",
"param": param
}
res = requests.post(url, data=data) #这里换get也是可以的
decrypt_param = json.loads(res.text)['data']
print(decrypt_param)
if param_requestorresponse == "request":
return param_headers + "rnrnrnrn" + decrypt_param
else:
return decrypt_param
if __name__ == '__main__':
app.debug = True # 设置调试模式,生产模式的时候要关掉debug
app.run(host="0.0.0.0",port="8888")
抓包测试下是否调试成功
调试成功后在burp里插件里选项改为接口加解密
抓包后选择加密部分右键点击插件Decode-即可解密
0X04 总结
后续调试出明文后,也是成功挖掘出高危漏洞
既然已经联动burp后续可以联动Mitmproxy,xray,sqlmap等,解决了加密问题后思路就跟常规渗透一样了
参考:
jxhczhl/JsRpc: 远程调用(rpc)浏览器方法,免去抠代码补环境 (github.com)
https://mp.weixin.qq.com/s/mcvAeEEyvjmV4E4xoaHVUQ
https://github.com/f0ng/autoDecoder
原文始发于微信公众号(亿人安全):Src挖掘-某众测前端解密学习记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论