2024年最新渗透测试过程中的JS调试_cryptojs(4),30岁转行程序员

于 2024-05-08 16:44:06 发布
阅读量620 收藏 16
点赞数 6
分类专栏: 程序员 文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76224223/article/details/138577870
版权

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

windows、node.js

node.js下载地址如下:

https://nodejs.org/dist/v16.2.0/node-v16.2.0-x64.msi

双击运行,全部next直至安装结束。

打开CMD并输入node,出现交互界面及安装成功。

正式开搞:

打开F12,并切换到Network选项下。输入账户密码,并点击登录,观察数据包。

发现密码字段为password。切换到Source选项卡,ctrl+shift+F 调出全局搜索框,全局搜索 password 字段。

发现在password字段在login_captcha.js文件中通过aesEncrypt函数进行加密。全局搜索aesEncryp。

发现aesEncryp函数的定义同样在login_captcha.js中,打开login_captcha.js

在本地新建一个js文档,并将加密方式复制出来保存。并在函数后添加console.log调用aesEncryp函数并输出加密结果。

console.log(aesEncrypt('admin')); 

在cmd中使用node去执行该js文件。

执行发现报错了,是CryptoJS没有找到,返回浏览器中,全局搜索CryptoJS。

发现在core-min.js中定义了CryptoJS。打开core-min.js,并将CryptoJS定义的内容复制到本地js文档中。

保存并执行该js脚本。

执行后发现又一次报错,是CryptoJS下的parse。继续全局搜到parse。

发现在aes.js下发现了parse的定义。将aes.js下的内容复制到js脚本中。

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

6a57acb)**

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

fram_
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试过程JS调试
Javachichi的博客
04-25 283
渗透测试过程经常会遇到无验证码或者验证码失效的情况,一但发现这种情况,肯定得进行账户密码的爆破,但抓包后发现,账户密码加密了.....此时的你,是不是已经准备好了放弃?遇到这种情况不要慌,F12翻翻加密方式,往往会有意外惊喜。今天在测试过程就发现了网站使用的AES加密,并且在js代码已经直接给出了加密key和加密矢量,通过这些。我们就能自己写个js小脚本,去将自己的弱口令字典转换为加密后的值,然后在进行爆破。
vue 使用crypto.js解密后,用JSON.parse转义报错非空白格解决办法
weixin_44056717的博客
10-18 391
那时因为crypto自己加了一些未可见的字符,所以用正常的JSON.parse(xxxx)会报错。用JSON.parse转义crypto解密后的json字符串会发生错误。
借助 cryptojs实现 AES 加解密
乐辞的博客
04-19 1762
const CryptoJS = require("crypto-js"); // CBC const key = CryptoJS.enc.Utf8.parse("qsc6d2ir3asvhfer"); // CBC使用16位加密 const iv = CryptoJS.enc.Utf8.parse("okmcs9v4a2sd2g1e"); /** * 解密方法 * @param {*} word * @returns */ function Decrypt(word) { let decr
JavaScript基础02
qq_45174221的博客
04-16 225
对象由花括号分隔。在括号内部,对象的属性以名称和值对的形式 (name : value) 来定义。属性由逗号person有三个属性:firstname、lastname 以及 idJavaScript 变量均为对象。当您声明一个变量时,就创建了一个新的对象。
渗透测试--信息收集
2301_76346422的博客
04-13 151
Javascript也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS寻找更多的URL地址,在JS代码逻辑(加密算法,APIkey配置,验证逻辑等)进行后期安全测试。前提:Web应用可以采用后端或前端语言开发
25零基础想转行软件测试能不能成功?.pdf
11-29
软件测试是一个广泛的职业领域,对于25零基础想转行软件测试的人来说,成功的可能性是存在的,但是需要付出努力和汗水。以下是软件测试转行指南的相关知识点: 软件测试的定义和重要性 软件测试是一个检查软件...
25零基础想转行软件测试能不能成功?(1).pdf
12-02
软件测试是一个广阔的职业领域,对于25且零基础的人来说,转行软件测试是否能够成功?这篇文章将对软件测试的职业发展进行剖析,帮助您更好地理解软件测试的职业前景。 一、软件测试的职业发展前景 软件测试是一...
2022转行软件测试写给像我一样迷茫的人符面试题.doc
11-04
"2022转行软件测试写给像我一样迷茫的人符面试题" 软件测试是一种非常有前途的职业,尤其是在国内还处在发展阶段的软件测试行业。软件测试工程师的工资水平在不同的城市和企业有所不同,但总体来说,在北京、...
如果程序员转行去做销售
03-23
在我上一篇随笔,发表了一些感慨,放着好好的程序员不做,转行做了销售,没想到,有好几个朋友给我留言,讨论怎么转行做销售。这里还是谈谈我自己的想法,也想向一些做的比较成功的前辈讨教一些经验。  我觉得...
JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目
zrx9988的博客
07-03 789
JS也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,.Net等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS寻找更多的URL地址,在JS代码逻辑(加密算法,APIKEY配置,验证逻辑等)进行后期安全测试;前提:WEB应用可以采用后端或前端语言开发
cryptoJs加密解密工具
07-20
cryptoJs加密解密工具,并集成EncryptAes、DecryptAes两个方法,require(util.js)即可用。参数以json方式传递
cryptojs des php,CryptoJS实现DES加密,解密在线调试软件|数据加密标准(DES)在线计算器_三贝计算网_23bei.com...
weixin_39588265的博客
03-11 185
输入密钥(Secret Passphrase) 、偏移量(IV,ECB模式不用输入IV)、加密模式(Mode)、填充(Padding)、密文形式等已知变量,点击计算按钮,可快速求 出加密结果或解密明文。本软件由CryptoJS 开发,支持加密密钥(Secret Passphrase))和偏移量(IV)自动生成,生成加密密钥的长度固定为56位(7字符),偏移量长度是64位(8字符)。随机生成的密钥和...
渗透测试过程JS调试(一)
小司机的奥拓
11-22 977
很多方面的知识我也是自己有接触到才去学习,可能对于一些大佬来说,这些都是很基础,勿喷。作为字符去查询的时候,建议不要全部字符去查询,因为有时候他可能会把对应的字符串分开放,或者做拼接。以下的一个案例是我在测试一个后台管理系统时遇到的问题,本来在登录页面通过js已经发现了接口和字段,但是请求的时候发现不是未授权漏洞,但是字段只有新密码和用户名,那么这个大概率是存在漏洞的。对于搜索,可以把js和html页面都代理从burp出去,然后使用burp自带的搜索,可能会比较方便。很不幸,还是这个混淆过的看不懂的js
18、JS渗透(三)
剑指苍天
02-28 937
js项目分析: ​ 1、为了查找参数 ​ 2、为了查找动态加载的隐藏内容 js加密:通过js加密给服务器的是限制机器人,通过js加密给客户端的是防盗保护。前者分析是把参数加密然后用机器人发送达到伪装的目的,后者通过解密客户端发来的js代码,获取资源来达到解密目的。实质是一个加密来伪装自己和一个破解密码的不同原理。 js动态加载:有些内容不是加密,但是需要javascript代码通过用户操作,通过二次的交互加载出来的,这种情况如果是在初始页面的基础上交互的话,网页源码是不会变化的,机器人爬取的时候就不会得
渗透测试之[加密算法]
m0_67742636的博客
11-29 1033
渗透测试之密码
2024网络安全山东省赛-SMB信息收集解析(职组)_使用访问工具对服务器服务访问,将服务器管理员桌面的文本文档里的内容作为 flag
最新发布
2401_84252281的博客
04-26 628
任务环境说明:服务器场景:Server1。
Chrome调试面板详情
qq_45173315的博客
12-10 727
爬虫最基础前言关于Chrome调试面板的一些详情常用面板Network面板设置断点逐步调试作用域调用堆栈 前言 刚刚入门爬虫,记录一些自己的思路,以便日后参考,再者就是有幸能给诸君一点点帮助 所用网站链接链接: 百度翻译. 关于Chrome调试面板的一些详情 常用面板 定位小箭头按钮(左边第一个): 选Elements面板,并启动该按钮,可以在页面定位相应元素的源代码位置,或者选择源代码位置可定位到页面相应的元素。 手机-PC视图切换按钮(左边第二个): 启动该按钮,网页可以在pc网址网页和
js前端使用AES加解密及在线解密工具验证
梦想成为全栈的切图仔
01-11 5601
js 使用AES加解密 在项目安装 crypto.js。 npm install crypto-js 在项目新建文件夹 utils 新建工具类文件 引入crypto-js文件 import CryptoJS from 'crypto-js' 初始化16位密钥 及 16位iv(密钥偏移量) 解密方法 export const Decrypt = (word) => { let encryptedHexStr = CryptoJS.enc.Hex.parse(word);
程序员转行怎么办 35以后
04-01
如果您是一名程序员且35以上,并且正在考虑转行,以下是一些建议: 1. 了解自己的兴趣和技能:转行的第一步是了解自己的兴趣和技能。这将有助于您确定哪些领域是最适合您的。您可以尝试做一些志愿者工作或参加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值