前言
关于HVV的时间,最近网上众说纷纭,有说从6月初开始,现在7月初了;也有说从6月中旬开始的,现在7月初了;也说6月底或者7月1号开始的,现在马上都7月7号;唉!各位大佬们,别猜了,"现在好不容易有了清闲时间,你们非说HVV时间,HVV加不加班我们能不知道吗?"(正常玩梗,不针对任何人!)
Webpack的功能
在渗透测试中,webpack文件泄露也同样影响着网站的安全性。
webpack常见漏洞主要如下:
测试网站抓包
有点跑题了,回到正文,在某次渗透测试中,发现网站对数据包进行了加密处理
找到加密位置
通过调试,找到加解密位置
发现是通过调用o函数中的加解密函数进行加密和解密,向上查找o出现的位置
尝试解密
按常规操作,先找找t是什么函数,得到如下函数
这其实就是通过webpack加载器,加载了t(“xxx”)中的值,使用了webpack加载器的函数会有以下特征:
1. 如上图中的t(“xxx”)调用取值
2. 如以下格式函数
3. 通过浏览器插件判断
接着就是扣取webpack加载器代码了
最终格式如下
运行后便可得到加载器对应的模块,之后就是跟补普通js代码一样,缺什么模块补什么模块即可
最后结合python编写自动化加解密脚本,下班下班
原文始发于微信公众号(迪哥讲事):Webpack加密算法逆向
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论