- 前言
- 报文数据加密
- 实战
- 找js
- 找变化
- 加密
- 总结
前言
渗透测试,总是能遇到请求包或者响应包数据加密,每次遇到这种情况,都感觉很麻烦,网上一搜就是js逆向,一看就是半天,难顶,主要是可能还看不会,对于一些会代码的师傅可能还好一点,就是有点费事,但对于一些不太会代码的师傅,真的是无从下手。由于最近总是能遇到加密,每次都要来一遍,我也有点顶不住,甚至还有的加密很复杂,还找不到头绪,感觉效率有点低,于是总结了一下,想到一个不错的方法,不会代码感觉应该也可以搞,且看我骚
报文数据加密
开始恶心,下面是一个发送短信验证码接口,前端输入手机号码和验证码,发送短信,但万万想不到加密了
由于没想到会写这篇文章,所以忘了截响应包加密了,问题不大,可以少恶心一下了
实战
找js
进入浏览器F12,打开恶心的源头,于是发包,在开发者工具网络找到那包,看发起程序
从Promise.then(异步)开始,往下以此找发起请求起点对应的js
根据该请求后面带的数值说明他还没有加密,可以在次打断点,如果此处判断不出来,可以最下面一个js文件打断点,可以确保数据没加密
找变化
打完断点后,就开始发送请求
我还记得当时学软件,老师总是让写接口,不要全写一块,成浆糊,而且按常理我觉得前端开发肯定会吧加密写成一个函数接口,找变化也就是找那个函数接口,其他的可以F10跳过了
这里不难发现断点从return那到},就执行了个e.apply(),所以你懂的
加密
好了,大致也结束了,可以换自定义数据尝试了,由于里面e.apply()可能是跑起来运行的数据e咱们也不知道是什么,但是可以把断点卡到return那,然后进入控制台
bizType是程序添加的字段,captchaCode是验证码,codeKey是获取验证码返回的密钥,phone应该不用说了,加密前后arguments变化的只是data,所以可以用别的变量把data接住,从而方便多次替换加密
最后执行e.apply()
最后拿着加密的内容发包尝试
总结
一共三步,找js,找变化,最后加密,最主要的还是找变化,找到那步剩下的就好办了,参数可能有出入,随时变化下即可,下来是响应包加密,这个比请求包好整,直接根据接口进行xhr提取断点,然后找变化,最后解密,响应包要展示给用户所以肯定是有解密的。
