在做web渗透测试的时候,兄弟们往往会遇到数据包加密的情况,使我们无法对数据包进行修改,这个时候就需要对web网站进行JS逆向了,要找出网站的加解密算法,后续再配合脚本对数据进行加解密,方便我们做测试。但如果只是用脚本完成对加解密算法的还原,对我们做测试还是很不方便的,我们需要做到让BurpSuite跟脚本结合起来,实现对数据包自动化加解密。
1、对测试系统BP抓包
以某登录系统为例
输入账号密码,通过BurpSuite中的数据包发现对密码进行了加密处理
2、尝试其他方法对加密内容解密
看着像URL+Base64编码的组合,将加密数据拿到BurpSuite的Decode模块尝试解码
URL部分为乱码,猜测为中文,再拿到URL在线解码上进行解码,base64编码部分单独解码也未能解码
3、python脚本+autoDecode插件进行解密
进行JS逆向,通过搜索数据包中的j_password关键字,找到加密位置
再通过调试找到加密的函数,这是通过AES对数据进行加密,然后拼接了中文的URL编码
分析好代码逻辑,写好加解密脚本,配合autoDecoder便可实现对数据包中的加密数据进行自动化解密
配置autoDecodee
可以来到接口(写的脚本文件)解密,这里我以python脚本进行调试
代码调试完成后,在测试的时候,在拦截请求、HTTP history 和Repeater查看请求和响应时就可以自动化将数据解密
从图中看到Password加密数据已经解出来了!!!
#autoDecode插件可在BP下载安装
原文始发于微信公众号(Attacker安全):逆向解密--“神器”插件推荐
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论