关于前端js解密和利用的姿势

最新推荐文章于 2024-04-09 12:42:23 发布
最新推荐文章于 2024-04-09 12:42:23 发布
阅读量584 收藏 10
点赞数 9
文章标签: 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45677784/article/details/135698035
版权
本文介绍了在JavaScript项目中遇到登录密码加密时,如何通过F12开发者工具定位加密函数,使用断点调试、jsEncrypter工具以及PhantomJS进行简化,最终通过爆破技术破解加密字符串的方法。
摘要由CSDN通过智能技术生成

前言:

        本篇主要讲的是关于js的基础逆向解密和利用的技巧,在日常做项目时,我们会遇到登录处账号或密码被加密的情况,那有没有什么短平快的办法来解决这个问题呢?

寻找加密函数

1、当登录时遇到密码被加密传输可以尝试逆推出js加密过程加以利用

2、打开f12搜索password关键字,如果运气好的话,能直接定位到,如果定位到也没关系

3、尝试搜索login,仔细翻阅后如果还是没找到,可以接着向下看

4、接着搜索路径,定位到加密函数

/SysLoginManage/Login

断点调试

打上断点后再次登录后会在断点处暂停,点击步进,进入函数

从 jsencrypt 方法上来看,首先会调用 des 方法之后将返回值给到 stringToHex 进行二次编码,之后再将值返回给

des函数

之后将返回值给到stringToHex

之后再将加密之后的值返回给 pas 变量

工具简化利用流程

jsEncrypter https://github.com/c0ny1/jsEncrypter

phantomjs https://phantomjs.org/download.html

mac直接安装

brew install phantomjs

一般情况下只需要修改两个地方

1、将加密函数文件下载下来,并导入

2、修改函数调用

修改 phantomjs_server.js 文件
1、导入js文件

2、修改函数调用

在调试阶段可以看到加密password密码用的函数为 jsencrypt这个函数

将这个函数调用复制进去再修改一下

将jsEncrypter.0.3.2.jar导入burp

启用服务

phantomjs phantomjs_server.js

建立连接,测试成功

对加密字符串进行爆破

1、将数据包发送到intruder模块中,标记完变量后选择调用burp扩展

2、之后点击start进行爆破,可以看到密码都进行了加密

1ighttack
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
burp插件--爆破前端加密(jsEncrypter、BurpCrypto)
94小菜
01-10 9114
目录简介靶场搭建JS加密还原BurpCryptojsEncrypter 简介 背景: 有时候用户名密码都是加密的,如果只是md5加密或者hash,burp的Intruder模块自带加密爆破功能,但是如果是自定义的加密方式,或者多层md5此时就没法直接爆破了,就需要寻找加密算法然后用到插件爆破 插件介绍: jsEncrypter:此插件使用phantomjs启动前端加密函数对数据进行加密,phantomjs会返回加密结果传给burp。因此此插件需要启动phantomjs开启服务,burp去读取结果。 Bur
前端加密/解密方式
zhianwang的博客
02-21 5772
敏感数据加密与解密:通常在前后端之间数据传输经常会涉及到一些敏感数据、cookie携带的token加密等问题
信息泄露漏洞的JS整改方案
最新发布
ertertgfhhn的博客
04-09 352
针对线上生产环境中的JS代码,我们介绍了去除注释、变量更名和代码混淆等多种整改方法。在选择合适的方法时,需要权衡安全性与可维护性之间的关系,并根据实际需求做出决策。在开发环境中保留注释可以提高代码的可读性和维护性,但在生产环境中应尽量去除注释以减少信息泄露的风险。通过以上整改方法,我们可以有效地提升系统的安全性,防范JS信息泄露漏洞的风险。
前端解密算法汇总
Yushia的博客
07-20 2535
日常开发中,无论你是使用什么语言,都应该遇到过使用加解密的使用场景,比如接口数据需要加密传给前端保证数据传输的安全;HTTPS使用证书的方式首先进行非对称加密,将客户端的私匙传递给服务端,然后双方后面的通信都使用该私匙进行对称加密传输;使用MD5进行文件一致性校验,等等很多的场景都使用到了加解密技术。 很多时候我们对于什么时候要使用什么样的加解密方式是很懵的。因为可用的加解密方案实在是太多,大家对加解密技术的类型可能不是很清楚,今天这篇文章就来梳理一下目前主流的加解密技术...
常见的js加密/js解密方法
mxd01848的博客
03-23 1644
当今互联网世界中,数据安全是至关重要的。在前端开发中,加密和解密技术是一种常见的数据安全措施,其中 JavaScript 是最常用的语言之一。在本文中,我们将介绍几种最常用的 JavaScript 加密和解密方法。MD5 是一种常见的哈希函数,可以将任意长度的数据加密为一个固定长度的哈希值。本文介绍了 JavaScript 中最常用的加密和解密方法,包括 Base64 加密/解密、MD5 加密和 AES 加密/解密。AES 是一种常用的对称加密算法,可以将数据加密为一个密文,只有拥有相应密钥的人才能解密
js一招破解所有网页的加密源代码的方法
热门推荐
饭特稀 的专栏
05-03 1万+
 现在很流行源代码加密,无论出于作者想保护自己的资源,还是放马者为了不让别人发现网页有马等等,都对源代码加密。 想破解它很简单,一招就搞定了,是不是用点心动了呢?是的就快跟我来吧!comeon gogogo! 1/首先我们来看看一个网页的源代码,为了不浪费大家的时间,我在免费空间随便上传个网页(已经加密的)大家来看看,为了便以大家看到结果,我做很简单(真的很简单咯)我门来看看他的源代码,方法有很多
aes 前端加密 后端c# 解密
12-22
aes 前端js加密 后端c# 解密源代码
AES实现前端JS和后端java加密解密
10-18
前台页面通过引入提供的两个js,实现AES加密解密。后端java代码通过压缩包里的博客信息配置AESUtil.java公共类。
RSA实现JS前端加密与PHP后端解密功能示例
10-16
主要介绍了RSA实现JS前端加密与PHP后端解密功能,结合实例形式分析了rsa前端js加密与后端php解密相关操作技巧,需要的朋友可以参考下
JavaScript实现的前端AES加密解密功能【基于CryptoJS
10-18
主要介绍了JavaScript实现的前端AES加密解密功能,涉及javascript基于CryptoJS插件进行AES加密解密操作相关实现技巧,需要的朋友可以参考下
前端加密解密工具Cryptojs
06-25
前端解密解密工具Cryptojs提供了前端加密解密的工作;包括常用的MD5、BASE64、SHA1、AES等加密解密方法。方便无法访问Github的同学下载。附Github地址:https://github.com/brix/crypto-js
burpsuite JS加密插件jsEncrypter.0.3.2
01-25
burpJS加密插件,适用于前端JS加密站点的安全测试
前端进行加密和解密
zjq_1234的博客
04-27 1307
背景:当页面需要输入正则来设置校验规则时,需要对数据进行加密和解密。 正则:'[\\s\\S]{4,}' 加密: encodeURI('[\\s\\S]{4,}') encodeURIComponent('[\\s\\S]{4,}') 解密: decodeURI(encodeURI('[\\s\\S]{4,}')) decodeURIComponent(encodeURIComponent('[\\s\\S]{4,}')) 总结一下: 1.encodeURI(),和encodeURI.
SpringBoot 快速实现 api 接口加解密
lujiawei00的专栏
10-19 1888
该项目使用RSA加密方式对API接口返回的数据加密,让API数据更加安全。别人无法对提供的数据进行破解。Spring Boot接口加密,可以对返回值、参数值通过注解的方式自动加解密。首先我们当然是了解RSA加密RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。
Javascript 加密解密方法
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
03-28 2138
Javascript 和 我之前发的 python加密 以及 go加密 解密不一样 不需要导那么多的库 只需要安装几个库 其中需要了解最多的 crypto-js 具体就不多介绍了直接上官网https://www.npmjs.com/package/crypto-js 安装 npm install crypto-js --save-dev npm install md5 --save-dev 一些...
前端如何加密数据--五种方式(base64加密、md5加密、sha1加密、字符串方法加密、AES加密)
weixin_45096939的博客
02-17 4496
4.字符串的编码和解码(JS函数的escape()和unescape())--对于汉字,数字不适用。字符串转换为base64:str64 = window.btoa(str)base64转换为字符串:str=window.atob(str64)1.base64加密。
前端加密,后端解密的过程及代码(密码明文传输解决,不是太保险。key在前端有显示)
weixin_44538241的博客
08-05 9671
解决明文传输,AES前端加密后端解密
BrupSuite插件jsEncrypter使用方法
qq_25768397的博客
08-20 1744
1、使用phpstudy搭建环境,使用burpsuite抓包发现登陆密码加密
jsEncrypter--一次js前端加密的暴力破解
n0d_xy的博客
04-28 1849
疑似存在用户名枚举,但网站用户名使用前端js加密,然后再传输。枚举payload遇到加密问题。 一番针扎后以后遇到这种事只需第9、第7、第10步骤即可 1、下载 jsEncrypter: https://github.com/c0ny1/jsEncrypter phantomJS :http://phantomjs.org/download.html 2、使用idea导入jsEncry...
后端java加密与前端js解密
06-03
Java后端加密与前端Javascript解密的实现方式有很多,这里我提供一种常用的方式: 1. 后端Java加密 Java提供了很多加密算法,常见的有DES、AES、RSA等。以AES算法为例,在Java中可以使用javax.crypto包进行加密操作,示例代码如下: ```java import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec; import java.util.Base64; public class AESEncryptor { public static String encrypt(String data, String key) throws Exception { SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(), "AES"); Cipher cipher = Cipher.getInstance("AES"); cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec); byte[] encryptedBytes = cipher.doFinal(data.getBytes()); return Base64.getEncoder().encodeToString(encryptedBytes); } } ``` 2. 前端Javascript解密前端使用Javascript解密,也可以使用同样的AES算法,示例代码如下: ```javascript function decrypt(data, key) { var secretKeySpec = new CryptoJS.lib.WordArray.init(key, 0, 16); var decrypted = CryptoJS.AES.decrypt(data, secretKeySpec, { mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7 }); return decrypted.toString(CryptoJS.enc.Utf8); } ``` 需要注意的是,在前端解密时需要引入CryptoJS库,可以使用CDN或者本地引入的方式。同时,在使用AES算法时,需要使用相同的密钥进行加密和解密操作。 以上是一种常用的后端Java加密与前端Javascript解密的实现方式,希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值