你真的会Webpack加密算法逆向吗?

admin 2024年7月8日07:40:42评论13 views字数 812阅读2分42秒阅读模式

              ———————重  要  声  明——————

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。

前言

关于HVV的时间,最近网上众说纷纭,有说从6月初开始,现在7月初了;也有说从6月中旬开始的,现在7月初了;也说6月底或者7月1号开始的,现在马上都7月7号;唉!各位大佬们,别猜了,"现在好不容易有了清闲时间,你们非说HVV时间,HVV加不加班我们能不知道吗?"(正常玩梗,不针对任何人!

你真的会Webpack加密算法逆向吗?

Webpack的功能

你真的会Webpack加密算法逆向吗?

在渗透测试中,webpack文件泄露也同样影响着网站的安全性。

webpack常见漏洞主要如下:

  1. 文件包含漏洞:Webpack的动态导入功能可能会导致远程代码执行漏洞,攻击者可以在URL中注入恶意代码。

  2. 路径穿越漏洞Webpack默认使用相对路径引入文件,若不检查文件路径,可能导致路径穿越漏洞

  3. 密码泄露漏洞:在Webpack配置文件中,可以存储敏感信息,若不妥善保管可能导致密码泄露。

测试网站抓包

有点跑题了,回到正文,在某次渗透测试中,发现网站对数据包进行了加密处理

你真的会Webpack加密算法逆向吗?

找到加密位置

通过调试,找到加解密位置

你真的会Webpack加密算法逆向吗?

发现是通过调用o函数中的加解密函数进行加密和解密,向上查找o出现的位置

你真的会Webpack加密算法逆向吗?

尝试解密

你真的会Webpack加密算法逆向吗?

按常规操作,先找找t是什么函数,得到如下函数

你真的会Webpack加密算法逆向吗?

这其实就是通过webpack加载器,加载了t(“xxx”)中的值,使用了webpack加载器的函数会有以下特征:

1.如上图中的t(“xxx”)调用取值

2.如以下格式函数

你真的会Webpack加密算法逆向吗?

3.通过浏览器插件判断

你真的会Webpack加密算法逆向吗?

接着就是扣取webpack加载器代码了

你真的会Webpack加密算法逆向吗?

最终格式如下

你真的会Webpack加密算法逆向吗?

你真的会Webpack加密算法逆向吗?

运行后便可得到加载器对应的模块,之后就是跟补普通js代码一样,缺什么模块补什么模块即可

你真的会Webpack加密算法逆向吗?

最后结合python编写自动化加解密脚本,下班下班

你真的会Webpack加密算法逆向吗?

你真的会Webpack加密算法逆向吗?

点击上方  关注我们

原文始发于微信公众号(Attacker安全):你真的会Webpack加密算法逆向吗?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日07:40:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   你真的会Webpack加密算法逆向吗?https://cn-sec.com/archives/2928722.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息