在某次项目中准备对登陆页面进行爆破,发现请求包做了加密处理,无法使用常规方式进行爆破,随后还原了加密逻辑,编写脚本实现账户爆破。
现在越来越多的站点对数据传输做了加密处理,让攻击者无法轻易的抓包重放,可以在一定程度上起到安全作用,对特殊敏感字段进行加密处理,例如password等,使常用工具无法轻易暴力破解及自动化。
知识点:还原RSA加密实现自动化爆破
漏洞URL
https://dev.test.com/login
漏洞描述
经测试发现“明镜Lab”系统存在弱口令漏洞。
通过爆破得到弱口令账户,导致系统数据泄露。
逻辑梳理
对登陆页面输入admin/123456进行抓包,发现数据包为加密状态,只有一个xdata字段。
数据包无法重放,无法实现调用我们的字典完成暴力破解
查看前端js代码发现为rsa加密,并找到加密方式
点击登陆后会先调用/getkey接口获取需要用到的公钥
其中PK值为RSA公钥,RD值为此密钥对的ID,使用于后端服务器匹配对应的私钥进行解密。
什么是rsa加密
RSA加密算法是一种 非对称加密算法 ,RSA加密使用了"一对"密钥.分别是公钥和私钥,这个公钥和私钥其实就是一组数字!其二进制位长度可以是1024位或者2048位.长度越长其加密强度越大,目前为止公之于众的能破解的最大长度为768位密钥,只要高于768位,相对就比较安全.所以目前为止,这种加密算法一直被广泛使用。
关键JS代码
doLogin: function()
{
speedy.getJSON('/xxx.shtml',function(res){
var data={
username: $('#username').val().trim(),
password: $('#password').val().trim(),
authCode: $('#authCode').val().trim(),
randNonce: res.RD
};
if(data.username=='')
return speedy.alert('请输入用户名');
if(data.password=='')
return speedy.alert('请输入登录密码');
if(data.authCode=='')return speedy.alert('请输入验证码');
var encrypt = new JSEncrypt();
encrypt.setPublicKey(res.PK);
var encData=encrypt.encrypt(speedy.toJSON(data));
加密逻辑
1、访问加密接口,获取RD值和RSA公钥
2、拼接原始报文
{"username":test1,"password":"123456","authCode":"hw9b","randNonce":RD}
3、将报文使用公钥加密后发送到服务端,报文发送一次后使RD值失效
漏洞利用
RSA加密 Python代码
def encrpt(message, public_key):
rsakey = RSA.importKey(public_key)
cipher = Cipher_pksc1_v1_5.new(rsakey)
cipher_text = base64.b64encode(cipher.encrypt(message.encode()))
return cipher_text.decode()
爆破逻辑
1. 访问加密接口,接收返回值,获取RD值
2. 访问验证码接口,获取验证码报文,使用api接口进行识别
3. 调用字典,拼接原始报文,username,password,RD值,验证码
4. 定义公钥,使用公钥加密报文
5. 发送数据包,根据响应值判断结果
最后获得一个普通用户弱口令账号,拿了点数据分…