某网站cookie加密黑盒调用与算法还原

最新推荐文章于 2024-05-27 23:23:04 发布
最新推荐文章于 2024-05-27 23:23:04 发布
阅读量614 收藏 1
点赞数
文章标签: 算法 js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq409732112/article/details/121026911
版权

目标网址
‘aHR0cHM6Ly93d3cueW91emhpY2FpLmNvbS9udjEvMDEwMTAxMDAwMTAxMDEwMS5odG1s’

分析

打开控制台抓包,第一次状态码203,会生成cookie,第二次访问会带上该cookie
在这里插入图片描述
在这里插入图片描述

知道了是cookie加密,使用hook定位到加密位置

Object.defineProperty(document, "cookie", {
    get: function(val){
        return val;
    },
    set: function(val){
        debugger;
        return val;
    }
})

定位到位置,点击上层堆栈
在这里插入图片描述

参数b就是我们想要的值
在这里插入图片描述

黑盒调用

把整个js代码复制出来,在代理器下运行,看它需要哪些环境
不了解代理器的可以看这几篇文章
https://zhuanlan.zhihu.com/p/30299114
https://www.cnblogs.com/tugenhua0707/p/10291909.html#_labe0
https://zhuanlan.zhihu.com/p/60791215
proxy代理器我放到最后面
然后加句打印b的值
在这里插入图片描述
在这里插入图片描述

因为js代码是动态加载的,需要把每一次返回的js代码进行替换执行拿到b的值
把补的环境单独拿出来
直接上代码

import requests
import execjs

class spider:
    def __init__(self):
        self.session = requests.Session()
        self.headers = {
            'Connection': 'keep-alive',
            'Pragma': 'no-cache',
            'Cache-Control': 'no-cache',
            'sec-ch-ua': '"Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"',
            'sec-ch-ua-mobile': '?0',
            'sec-ch-ua-platform': '"Windows"',
            'Upgrade-Insecure-Requests': '1',
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36',
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
            'Sec-Fetch-Site': 'none',
            'Sec-Fetch-Mode': 'navigate',
            'Sec-Fetch-User': '?1',
            'Sec-Fetch-Dest': 'document',
            'Accept-Language': 'zh-CN,zh;q=0.9',
        }
        # js环境
        self.js_env = """
            var CryptoJS = require("crypto-js");
            let navigator = {
                userAgent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36",
                platform: "Win32",
                appCodeName: "Mozilla",
                language: "zh-CN",
                webdriver: false,
                cookieEnabled: true,
                appVersion: "5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36",
            };
            Object.defineProperties(navigator,{
                [Symbol.toStringTag]: {
                    value:"Navigator"
                }
            })
            location = {
                pathname: 'www.youzhicai.com',
                href: 'https://www.youzhicai.com/nv1/0101010001010101.html',
                host: 'www.youzhicai.com',
                reload: function (){},
            }
            document = {}
            window = {
                navigator: navigator,
                location: location,
                document: document,
            };
        """
        # 调用cookie
        self.get_cookie = """
            function getcookie(){
                return b
            }
        """

    def run(self):
        response = self.session.get('https://www.youzhicai.com/nv1/0101010001010101.html', headers=self.headers)
        js_code = response.text.replace("<script>", "").replace("</script>", "")
        # 拼接js代码执行
        all_code = self.js_env + js_code + self.get_cookie
        context = execjs.compile(all_code)
        # 执行函数
        cookie = context.call("getcookie")
        print("第一次的cookie:", cookie)
        # 添加cookie
        requests.utils.add_dict_to_cookiejar(self.session.cookies, {"spvrscode": cookie})
        response = self.session.get('https://www.youzhicai.com/nv1/0101010001010101.html', headers=self.headers)
        print(response.text)

if __name__ == '__main__':
    spider = spider()
    spider.run()

成功拿到页面
在这里插入图片描述

proxy代理器

let rawindexof = String.prototype.indexOf
String.prototype.indexOf = function (str) {
    var res = rawindexof.call(this, str)
    console.log(`[String] "${this}" is indexof "${str}", res is ${res}`)
    return res
}

let mynavigator = {
    userAgent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36",
    platform: "Win32",
    appCodeName: "Mozilla",
    language: "zh-CN",
    webdriver: false,
    cookieEnabled: true,
    appVersion: "5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36",
};
Object.defineProperties(mynavigator, {
    [Symbol.toStringTag]: {
        value: "Navigator"
    }
})

let myhistory = {

};
let myscreen = {
    height: 768,
    width: 1366,
    colorDepth: 24,

};
let mylocation = {
    pathname: 'www.youzhicai.com',
    href: 'https://www.youzhicai.com/nv1/0101010001010101.html',
    host: 'www.youzhicai.com',
};
let Document = function Document(){}
let HTMLDocument = function HTMLDocument(){}
Object.setPrototypeOf(HTMLDocument, Document.prototype)
Object.defineProperties(HTMLDocument.prototype, {
    [Symbol.toStringTag]: {
        value: "HTMLDocument"
    }
})
let mydocument = {
    createElement: function (){
        return {};
    },
    getElementsByTagName: function (str){
        console.log(str)
        if(str == "meta"){
            let metaRes = []
            metaRes["meta-pro"] = {
                "content": {
                    "length": 6
                }
            }
            return metaRes
        }
    },


};
// 为document指向原型
Object.setPrototypeOf(mydocument, HTMLDocument.prototype)
let Image = function (){}

let mywindow = {
    XMLHttpRequest: function () {},
    sessionStorage: {},
    localStorage: {},
    navigator: mynavigator,
    scrollTo: function (){},
    addEventListener: function () {},
    attachEvent: function () {},
    screen: myscreen,
    location: mylocation,
    chrome: {},
    document: mydocument,
    history: myhistory
};
Object.defineProperties(global, {
    [Symbol.toStringTag]: {
        value: "Window"
    }
})
let rawstringify = JSON.stringify;
JSON.stringify = function (Object) {
    if ((Object?.value ?? Object) === global) {
        return "global"
    } else {
        return rawstringify(Object)
    }
}


function getMethodHandler(WatchName) {
    let methodhandler = {
        apply(target, thisArg, argArray) {
            let result = Reflect.apply(target, thisArg, argArray)
            console.log(`[${WatchName}] apply function name is [${target.name}], argArray is [${argArray}], result is [${result}].`)
            return result
        },
        construct(target, argArray, newTarget) {
            var result = Reflect.construct(target, argArray, newTarget)
            console.log(`[${WatchName}] construct function name is [${target.name}], argArray is [${argArray}], result is [${result}].`)
            return result;
        }
    }
    return methodhandler
}

function getObjhandler(WatchName) {
    let handler = {
        get(target, propKey, receiver) {
            let result = Reflect.get(target, propKey, receiver)
            if (result instanceof Object) {
                if (typeof result === "function") {
                    console.log(`[${WatchName}] getting propKey is [${propKey}] , it is function`)
                    //return new Proxy(result,getMethodHandler(WatchName))
                } else {
                    console.log(`[${WatchName}] getting propKey is [${propKey}], result is [${result}]`);
                }
                return new Proxy(result, getObjhandler(`${WatchName}.${propKey}`))
            }
            console.log(`[${WatchName}] getting propKey is [${propKey?.description ?? propKey}], result is [${result}]`);
            return result;
        },
        set(target, propKey, value, receiver) {
            if (value instanceof Object) {
                console.log(`[${WatchName}] setting propKey is [${propKey}], value is [${value}]`);
            } else {
                console.log(`[${WatchName}] setting propKey is [${propKey}], value is [${value}]`);
            }
            return Reflect.set(target, propKey, value, receiver);
        },
        has(target, propKey) {
            var result = Reflect.has(target, propKey);
            console.log(`[${WatchName}] has propKey [${propKey}], result is [${result}]`)
            return result;
        },
        deleteProperty(target, propKey) {
            var result = Reflect.deleteProperty(target, propKey);
            console.log(`[${WatchName}] delete propKey [${propKey}], result is [${result}]`)
            return result;
        },
        getOwnPropertyDescriptor(target, propKey) {
            var result = Reflect.getOwnPropertyDescriptor(target, propKey);
            console.log(`[${WatchName}] getOwnPropertyDescriptor  propKey [${propKey}] result is [${result}]`)
            return result;
        },
        defineProperty(target, propKey, attributes) {
            var result = Reflect.defineProperty(target, propKey, attributes);
            console.log(`[${WatchName}] defineProperty propKey [${propKey}] attributes is [${attributes}], result is [${result}]`)
            return result
        },
        getPrototypeOf(target) {
            var result = Reflect.getPrototypeOf(target)
            console.log(`[${WatchName}] getPrototypeOf result is [${result}]`)
            return result;
        },
        setPrototypeOf(target, proto) {
            console.log(`[${WatchName}] setPrototypeOf proto is [${proto}]`)
            return Reflect.setPrototypeOf(target, proto);
        },
        preventExtensions(target) {
            console.log(`[${WatchName}] preventExtensions`)
            return Reflect.preventExtensions(target);
        },
        isExtensible(target) {
            var result = Reflect.isExtensible(target)
            console.log(`[${WatchName}] isExtensible, result is [${result}]`)
            return result;
        },
        ownKeys(target) {
            var result = Reflect.ownKeys(target)
            console.log(`[${WatchName}] invoke ownkeys, result is [${result}]`)
            return result
        },
        apply(target, thisArg, argArray) {
            let result = Reflect.apply(target, thisArg, argArray)
            console.log(`[${WatchName}] apply function name is [${target.name}], argArray is [${argArray}], result is [${result}].`)
            return result
        },
        construct(target, argArray, newTarget) {
            var result = Reflect.construct(target, argArray, newTarget)
            console.log(`[${WatchName}] construct function name is [${target.name}], argArray is [${argArray}], result is [${result}].`)
            return result;
        }
    }
    return handler;
}

const navigator = new Proxy(Object.create(mynavigator), getObjhandler("navigator"));
const history = new Proxy(Object.create(myhistory), getObjhandler("history"))
const screen = new Proxy(Object.create(myscreen), getObjhandler("screen"));
const location = new Proxy(mylocation, getObjhandler("location"));
const document = new Proxy(mydocument, getObjhandler("document"));
const window = new Proxy(Object.assign(global, mywindow), getObjhandler("window"));

//checkproxy()
module.exports = {
    window,
    navigator,
    screen,
    location,
    Image,
    document,
    history,
    Document
}

在运行的ja文件前面添加导入

let {
    window,
    navigator,
    location,
    screen,
    Image,
    document,
    history,
    Document
} = require('Proxy.js');

算法还原

分析把这段代码拿出来,一点点还原
在这里插入图片描述
在这里插入图片描述

可以在上面找到它的密钥和需要加密的字符串
在这里插入图片描述

结果是一样的
在这里插入图片描述

可以看到这是一个DES加密算法
在这里插入图片描述

流程是第一次请求拿到js代码,从中拿到密钥和需要加密的字符串,再有python加密进行请求

代码

from pyDes import des, ECB, PAD_PKCS5
import binascii
import requests
import re

class spider:
    def __init__(self):
        self.session = requests.Session()
        self.headers = {
            'Connection': 'keep-alive',
            'Pragma': 'no-cache',
            'Cache-Control': 'no-cache',
            'sec-ch-ua': '"Chromium";v="94", "Google Chrome";v="94", ";Not A Brand";v="99"',
            'sec-ch-ua-mobile': '?0',
            'sec-ch-ua-platform': '"Windows"',
            'Upgrade-Insecure-Requests': '1',
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36',
            'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
            'Sec-Fetch-Site': 'none',
            'Sec-Fetch-Mode': 'navigate',
            'Sec-Fetch-User': '?1',
            'Sec-Fetch-Dest': 'document',
            'Accept-Language': 'zh-CN,zh;q=0.9',
        }

    def des_encrypt(self, KEY, s):
        """
        DES 加密
        :param s: 原始字符串
        :return: 加密后字符串,16进制
        """
        secret_key = KEY  # 密码
        iv = secret_key  # 偏移
        # secret_key:加密密钥,CBC:加密模式,iv:偏移, padmode:填充
        des_obj = des(secret_key, ECB, iv, pad=None, padmode=PAD_PKCS5)
        # 返回为字节
        secret_bytes = des_obj.encrypt(s, padmode=PAD_PKCS5)
        # 返回为16进制
        return binascii.b2a_hex(secret_bytes)

    def run(self):
        response = self.session.get('https://www.youzhicai.com/nv1/0101010001010101.html', headers=self.headers)
        a = re.findall(";var a= '(.*?)';", response.text)[0]
        b = re.findall(";var b = '(.*?)';", response.text)[0]
        print(a)
        print(b)
        cookie = self.des_encrypt(a, b).decode()
        print("第一次的cookie:", cookie)
        # 添加cookie
        requests.utils.add_dict_to_cookiejar(self.session.cookies, {"spvrscode": cookie})
        response = self.session.get('https://www.youzhicai.com/nv1/0101010001010101.html', headers=self.headers)
        print(response.text)

if __name__ == '__main__':
    spider = spider()
    spider.run()

请求成功
在这里插入图片描述

公过水蚊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss攻击之伪造cookie
Pythonicc的博客
01-23 10万+
xss攻击之伪造cookie靶场地址:XSS盲打利用XSS公开平台生成漏洞利用代码UML 图表 靶场地址: http://59.63.200.79:8004/Feedback.asp XSS盲打 见框就插,输入进行测试 (若有长度限制则在input框中修改最大长度),点击【提交留言】按钮: 随后自动跳转到查看留言界面: 很明显插入的js代码可直接执行,分别执行了这三段代码 尝试刷新后仍然可执...
【从盒到灰盒】调用函数接口测试
Hello,World.
01-12 1776
假定有这样的一个游戏,它有一个战斗系统。在战斗计算中,武将属性影响其所关联对象(如宠物或部队)的战斗能力。即:宠物战斗属性=f(武将属性)武将属性不单是裸值(基础值),还受道具、技能、装备、buff等各种因素影响。 测试宠物战斗属性时,要对武将属性进行功能覆盖;若采用盒测试则需要覆盖到道具、技能、装备、buff等模块;假若某个模块还在分支甚至尚未开发,测试工作量就更难展开了。
Frida hook/invoke iOS以及内存搜刮和调用
热门推荐
大数据安全技术学习
07-27 2万+
终于学到了Frida的部分,在本篇中我们将从objection这款自动化hook框架的源码出发,学习使用Frida内置的ApiResolver搜刮器来枚举内存中的所有符号,包括所有类/所有方法/所有重载,再对其进行hook后输出参数调用栈返回值,并且对参数与返回值进行修改,以实现修改函数逻辑的目的。
盒框架的原理与实现
最新发布
m0_69135863的博客
05-27 883
首先,定义一个简单的配置文件定义一个接口Greeter盒框架通过封装复杂的逻辑和实现细节,通过配置和接口提供功能,使得开发人员可以轻松使用。虽然盒框架在易用性和封装性上有明显优势,但在灵活性和调试方面可能会存在一些挑战。理解和正确使用盒框架,可以帮助开发人员提高开发效率和代码质量。
靶机渗透练习62-Coffee Addicts
hirak0的博客
04-20 3845
靶机描述 靶机地址:https://www.vulnhub.com/entry/coffee-addicts-1,699/ Description Our coffee shop has been hacked!! can you fix the damage and find who did it? This works better with VirtualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:19
android盒子调用,[原创]Android群控调用 - Sekiro食用手册
weixin_39834090的博客
05-27 542
0x0 前言之前尝试用过virjar大佬的hermesagent, 后来大佬又迭代出新的基于长链接的Sekiro, 一直想看都被耽搁了, 今天正好抽空尝试一下, 顺便写篇笔记, 有错误的地方大佬们请指正哈0x1 Sekiro介绍SEKIRO 是一个android下的API服务暴露框架,可以用在app逆向、app数据抓取、android群控等场景和其他群控框架相比的特点如下:对网络环境要求低,s...
【FPGA-DSP】第六期:Black Box调用流程
weixin_44810982的博客
04-14 1402
System Generator是一个Xilinx公司的工具,用于设计数字信号处理系统。Black Box是System Generator中的一个block,可以将其他HDL文件以盒的形式封装到System Generator设计中,在仿真时使用Simulink+Vivado Simulator(或ModelSim)协同仿真的方法,在Simulink环境中完成设计的仿真测试,即使用verilog代码进行编写,并在system generator中完成调用。参考:[],[下面开始实际操作演示~
tp5框架使用cookie加密算法实现登录功能示例
12-20
在TP5框架中,使用Cookie加密算法来实现登录功能是一个重要的安全措施,因为Cookie通常用于存储用户信息,如登录状态,而这些信息如果未加密,容易被恶意用户获取,造成数据泄露。以下是对该实现过程的详细解释: 1...
阿里系cookie加密(acw-sc-v2)算法 ZIP包案例为雪球Cookie加密
10-09
总的来说,阿里系的ACW-SC-V2加密算法为雪球等应用提供了强大的用户数据保护,而提供的代码示例则为我们揭示了加密与解密过程的一个大致框架,对于理解现代Web应用中的数据安全具有重要意义。在实际工作中,我们需要...
阿里系cookie加密(acw-sc-v2)算法
08-17
3. **解密**:使用对称加密算法(如AES)解密加密数据,恢复原始cookie值。 4. **数据后处理**:解除预处理步骤,将解密后的数据转换回其原始形式。 在实际应用中,`acw-sc-v2`算法可能会有更复杂的实现,包括使用...
php实现cookie加密的方法
01-21
 * 解密已经加密了的cookie  *  * @param string $encryptedText  * @return string  */  private static function _decrypt($encryptedText)  {  $key = Config::get(‘secret_key’);  $cryptText
JavaScript基础: 浅聊 Object.defineProperty
u011863822的博客
05-27 670
本篇注意聊以了一下Object.defineProperty的应用以及使用细节,而聊了configurable,以及enumerable还有writable,来操作属性可以修改以及修改属性值,和枚举。当然也是用实例演示。
app安全之安卓native层安全分析(五):unidbg调用
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-26 607
SO逆向入门实战教程五:qxs_白龙~的博客-CSDN博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。本篇和上一篇感觉的挺简单的,所以没有啥总结的。
XSS (跨站脚本攻击) 分析与实战
未完成的歌~的博客
01-14 5467
文章目录一、漏洞原理1、XSS简介:2、XSS原理解析:3、XSS的分类:3.1、反射型XSS3.2、存储型XSS3.3、DOM型XSS二、靶场实战XSS实现盗取管理员Cookie并登录: 一、漏洞原理 1、XSS简介: XSS全称:Cross Site Scripting,即跨站脚本攻击,为了不和“层叠样式表”(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS是最常见的 Web 应用程序安全漏洞之一,这类漏洞能够使攻击者嵌入恶意脚本代码(一般是JS代
web安全学习笔记(八) XSS之cookie劫持
qycc3391的博客
03-06 1587
上一文中提到XSS的分类,本文将演示如何通过XSS进行cookie劫持,并且伪装登录。 再cookie劫持中,有三种身份,分别是服务器,普通用户以及攻击者。这里使用本机和两台台虚拟机完成这项工作。基本思路如图所示: 首先,攻击者发现某个网站存在XSS漏洞,于是编写恶意代码。当用户访问带有恶意代码的网站时,会将通过恶意代码,将cookie发送给攻击者。当攻击者获取cookie后,便可以使用cook...
说说劫持 Cookie 的原理
weixin_34329187的博客
04-06 604
完成具体功能的恶意脚本(javaScript、Flash 等)称为 XSS Payload。客会通过这些脚本,来控制用户的浏览器。劫持 Cookie 就是一种 XSS Payload。 Cookie 中,一般加密存放着当前用户的登陆凭证。如果 Cookie 被劫持,那么客就可以不使用密码,直接登陆到用户的账号中。 1 窃取 Cookie 首先先在存在 XSS 漏洞的网站,加载一段远程脚本,形...
Javascript Hook 钩子 定位cookie、window生成调用
qq_41236493的博客
06-08 6755
下载Chrome插件 下载谷歌插件:Tampermonkey油猴插件 使用方法 1、点击油猴,打开控制面板 2、点击加号,添加脚本 3、添加脚本内容,下面有代码。 4、打开需要调试页面,按F12,刷新即可。 打开油猴管理面板.png 点击加号,添加脚本.png 脚本.png 获取window对象 // ==UserScript== // @name ...
XSS的高级利用:盗取用户Cookie
Zeker62的博客
08-13 1170
XSS不仅仅弹出一个alert就行了,更多的是和其他玩意组合 高级的利用有: 盗取用户Cookie 修改网页内容 网站挂马 利用网站重定向 XSS蠕虫 XSS会话劫持 XSS会话劫持和Cookie有关 Cookie简介: Cookie是一种能够让网站服务器把少量文本数据存储到客户端的硬盘或者内存中,或者是从客户端的硬盘或者内存读取数据的一种技术 因为HTTP协议是无状态的,Web服务器没办法区分请求是否来源于同一个浏览器,因此,web服务器需要额外的数据去维持会话,而Cookie正是这种维持会话的数
"深入理解和应用Cookie与Session机制技术
本文讨论了在Web应用程序中常用的会话(Session)跟踪技术,即Cookie和Session机制。会话跟踪是用来跟踪用户整个会话的重要技术,可以通过记录用户身份来确保用户的请求操作属于同一个会话。本文首先介绍了Cookie和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值