Burpsuite加解密插件Galaxy使用第三课教程

已于 2024-09-10 11:28:16 修改
阅读量1k 收藏 29
点赞数 14
文章标签: javascript java web安全 安全
于 2024-09-08 21:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014531320/article/details/142033465
版权

Burpsuite加解密插件Galaxy使用第三课

目录

Burpsuite加解密插件Galaxy使用第三课

001 环境判断

002 获取加解密算法

003 查看相关报文

004 加解密本地化

005 继续测试发现请求头问题

006 解决请求头问题

007 尝试明文下的测试

参考

Galaxy学习系列

附件

XX站点针对aes_cbc加解密利用,使用burpsuite:Galaxy3.1.0插件

感谢博主网址支持: vue_demo,(对应的地址还请不要扫描爆破,仅做js逆向学习使用)

源码及github在:GitHub - 0ctDay/encrypt-decrypt-vuls: 加解密逻辑漏洞靶场

001 环境判断

对应的验证码前端验证不影响正常破解

重新输入密码并提交,未提示验证码错误,判断对应的验证码无失效次数

002 获取加解密算法

js逆向,浏览器按F12,搜索加解密关键字,如:decrypt

查询到A处数据

进行相关调试,发现就是对应的加解密算法

获取对应的加解密算法,本次使用aes_cbc逻辑

// aes_cbc加解密算法
var f = a.a.enc.Utf8.parse("1234567891234567")
  , h = a.a.enc.Utf8.parse("1234567891234567");
  function l(t) {
  var e = a.a.AES.encrypt(t, f, {
      iv: h,
      mode: a.a.mode.CBC,
      padding: a.a.pad.Pkcs7
  });
  return e.toString()
  }
  function d(t) {
  var e = a.a.AES.decrypt(t, f, {
      iv: h,
      mode: a.a.mode.CBC,
      padding: a.a.pad.Pkcs7
  });
  return e.toString(a.a.enc.Utf8)
  }
// 生成随机32位字符数据,对应请求头中的RequestId数据
function p() {
  var t = "0123456789abcdef"
    , e = Array.from({
      length: 32
  }, (function() {
      return t.substr(Math.floor(16 * Math.random()), 1)
  }
  ));
  return e[14] = "4",
  e[19] = t.substr(3 & e[19] | 8, 1),
  e[8] = e[13] = e[18] = e[23],
  e.join("")
}

003 查看相关报文

抓包发现请求和响应全局加密

004 加解密本地化

尝试使用对应的加解密代码和请求响应数据,尝试进行加解密逆向,发现对正文加解密成功

本次使用vscode+nodejs1.18+crypto-js组件(npm install crypto-js)

005 继续测试发现请求头问题

重发对应的请求,返回报错信息,发现服务器有对请求头中数据进行校验(校验签名),本次项目使用的是请求头中RequestId+timestamp+sign的认证,对应的签名一次有效

继续搜索关键字,打断点调试,可以看到相关信息签名sign主要涉及:data + requestId + timestamp

var e = sessionStorage.getItem("user")
    , r = Date.parse(new Date)
    , n = JSON.stringify(v(t.data))
    , i = p()
    , s = a.a.MD5(n + i + r);
t.headers["timestamp"] = r,
    t.headers["requestId"] = i,
    t.headers["sign"] = s,
    t.data = l(n);

006 解决请求头问题

可以利用Galaxy中FactorUtil类下randomString方法生成一个32位随机的requestId,获取当前时间戳timestamp,然后再用MD5加密算法加密(data + requestId + timestamp)生成sign(需要做hex处理,否则前端显示乱码,服务器返回签名问题),在HTTP请求从burp发送到server的时候修改这3个请求头即可。

生成32位的随机requestId:

查看源码发现FactorUtil类下randomString方法可生成随机数

String requestId = FactorUtil.randomString(32);

生成当前时间戳(可百度java获取当前系统时间查找到):

String timestamp = String.valueOf(System.currentTimeMillis());

生成签名(3.1.0版本需要转格式):

String sign = ByteUtil.toHexString(HashUtil.calc((datas+requestId+timestamp).getBytes(),"MD5"));  // 新版插件已更新对应的加解密算法

更新数据到请求头中

    // 获取请求头数据
    Headers headers = request.getHeaders();
    // 获取被解密的原始数据并转为String类型
    String datas = new String(data);
    // 生成随机32位数据
    String requestId = FactorUtil.randomString(32);
    // 获取当前系统时间戳
    String timestamp = String.valueOf(System.currentTimeMillis());
    byte[] SignData = (datas + requestId + timestamp).getBytes();
    // 使用HashUtil类中md5方法生成签名信息
    String sign = ByteUtil.toHexString(HashUtil.calc(SignData, "MD5"));
    // 更新请求头信息
    headers.put("requestId",requestId);  
    headers.put("timestamp",timestamp);  
    headers.put("sign",sign);
    // 记录相关信息到插件输出日志中
    log.info("\r\nrequestId: "+requestId+"\ttimestamp: "+timestamp+"\tsign: "+sign);

007 尝试明文下的测试

配置相关代码(对应代码参考本文末尾附件处)后,运行插件

使用对应的脚本尝试解密,发现解密成功

明文下尝试repeater也是可以的

对应的日志信息可以在如下位置找到

1.保存的日志位置

2.运行时的日志

参考

参考链接:(Galaxy2.2.8) [工具推荐]前端加解密之Burp插件Galaxy-CSDN博客

感谢博主网址支持: vue_demo,(对应的地址还请不要扫描爆破,仅做js逆向学习使用)

源码及github在: GitHub - 0ctDay/encrypt-decrypt-vuls: 加解密逻辑漏洞靶场

Galaxy学习系列

Burpsuite加解密插件Galaxy使用第一课教程-CSDN博客

Burpsuite加解密插件Galaxy使用第二课教程-CSDN博客

Burpsuite加解密插件Galaxy使用第三课教程-CSDN博客

附件

import org.m2sec.core.utils.*;
import org.m2sec.core.models.*;
import java.util.HashMap;
import java.util.Map;
import org.slf4j.Logger;

/**
 * 内置模版,需要自定义代码文件时查看该文档:https://github.com/outlaws-bai/Galaxy/blob/main/docs/Custom.md
 * 按 Ctrl(command) + ` 可查看内置函数
 */
public class Aescbc_vue {
    private Logger log;
    private static final String ALGORITHM = "AES/CBC/PKCS5Padding";
    private static final byte[] secret = "****56789****567".getBytes();
    private static final byte[] iv = "****56789****567".getBytes();
    private static final Map<String, Object> paramMap = new HashMap<>(Map.of("iv", iv));
    private static final String jsonKey = "data";
    public Aescbc_vue(Logger log) {
        this.log = log;
    }

    /**
     * HTTP请求从客户端到达Burp时被调用。在此处完成请求解密的代码就可以在Burp中看到明文的请求报文。
     *
     * @param request Request 请求对象
     * @return 经过处理后的request对象,返回null代表从当前节点开始流量不再需要处理
     */
    public Request hookRequestToBurp(Request request) {
        // 获取需要解密的数据
        byte[] encryptedData = getData(request.getContent());
        // 调用函数解密
        byte[] data = decrypt(encryptedData);
        // 更新body为已加密的数据
        request.setContent(data);
        return request;
    }

    /**
     * HTTP请求从Burp将要发送到Server时被调用。在此处完成请求加密的代码就可以将加密后的请求报文发送到Server。
     *
     * @param request Request 请求对象
     * @return 经过处理后的request对象,返回null代表从当前节点开始流量不再需要处理
     */
    public Request hookRequestToServer(Request request) {
        // 获取被解密的数据
        byte[] data = request.getContent();
        // 调用函数加密回去
        byte[] encryptedData = encrypt(data);
        // 将已加密的数据转换为Server可识别的格式
        byte[] body = toData(encryptedData);
        // 更新body
        request.setContent(body);

        // 获取请求头数据
        Headers headers = request.getHeaders();
        // 获取被解密的原始数据并转为String类型
        String datas = new String(data);
        // 生成随机32位数据
        String requestId = FactorUtil.randomString(32);
        // 获取当前系统时间戳
        String timestamp = String.valueOf(System.currentTimeMillis());
        byte[] SignData = (datas + requestId + timestamp).getBytes();
        // 使用HashUtil类中md5方法生成签名信息
        String sign = ByteUtil.toHexString(HashUtil.calc(SignData, "MD5"));
        // 更新请求头信息
        headers.put("requestId", requestId);
        headers.put("timestamp", timestamp);
        headers.put("sign", sign);
        // 记录相关信息到插件输出日志中
        log.info("\r\nrequestId: " + requestId + "\ttimestamp: " + timestamp + "\tsign: " + sign);
        return request;
    }

    /**
     * HTTP请求从Server到达Burp时被调用。在此处完成响应解密的代码就可以在Burp中看到明文的响应报文。
     *
     * @param response Response 响应对象
     * @return 经过处理后的response对象,返回null代表从当前节点开始流量不再需要处理
     */
    public Response hookResponseToBurp(Response response) {
        // 获取需要解密的数据
        byte[] encryptedData = getData(response.getContent());
        // 调用函数解密
        byte[] data = decrypt(encryptedData);
        // 更新body
        response.setContent(data);
        return response;
    }

    /**
     * HTTP请求从Burp将要发送到Client时被调用。在此处完成响应加密的代码就可以将加密后的响应报文返回给Client。
     *
     * @param response Response 响应对象
     * @return 经过处理后的response对象,返回null代表从当前节点开始流量不再需要处理
     */
    public Response hookResponseToClient(Response response) {
        // 获取被解密的数据
        byte[] data = response.getContent();
        // 调用函数加密回去
        byte[] encryptedData = encrypt(data);
        // 更新body
        // 将已加密的数据转换为Server可识别的格式
        byte[] body = toData(encryptedData);
        // 更新body
        response.setContent(body);
        return response;
    }

    public byte[] decrypt(byte[] content) {
        return CryptoUtil.aesDecrypt(ALGORITHM, content, secret, paramMap);
    }

    public byte[] encrypt(byte[] content) {
        return CryptoUtil.aesEncrypt(ALGORITHM, content, secret, paramMap);
    }

    public byte[] getData(byte[] content) {
        return CodeUtil.b64decode(new String(content));
    }

    public byte[] toData(byte[] content) {
        return CodeUtil.b64encodeToString(content).getBytes();
    }
}
我是CG
关注
【App安全测试】2023最新-BurpSuite加解密数据插件-Brida(0.6)详细部署过程
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-02 1867
网上对Brida进行部署和讲解的文章很少,而且大部分都是2020年或者2021的,年代久远,讲解的也不够细致,现在看着古老的文章来部署多多少少都会踩各种坑,比如我,我就踩了7个;本文我就总结出了7个问题和7个解决办法。但是假如你跟着我的步骤来,是肯定不会有坑的。本文举例和截图所用的电脑环境是MacBook Pro Intel Core i7,文末的视频讲解我用的是MacBook Pro M2。可以分开来看。
Burpsuite加解密插件Galaxy使用第二课教程
u014531320的专栏
09-08 846
保存相关代码到本地,尝试本地运行对应的代码,js本地运行需要使用nodejs(本次使用nodejs1.18),且需要安装相关加解密库(crypto-js)hook Script,本次选择Descbc模式,如果相关项目是其他的请求格式,如全局加密,就需要修改整体代码了,本次直接使用默认代码就可以了。默认端口为8000,如果和自己的其他软件使用的端口有冲突,可以修改此处的端口。05 选择对应的链接,点击payload就是对应的请求数据,目前为加密数据。进入到资源界面,在xhr断点中点击+号设置刚刚的数据断点。
Burpsuite加解密插件Galaxy使用第一课教程
u014531320的专栏
09-08 930
首先idea会依据gradle配置信息下载对应的包,然后删除默认src中的test模块,对应的测试模块暂时用不到,接着修改build.gradle下的shadowjar中// archiveClassifier.set('without-jython')这行,取消注释,最后进入到gradle下的Galaxy-Tasks-shadow-shadowJar,双击运行对应的脚本。目前其它插件的做法是在用户选择好页面配置后,用被加密的数据调用对应的解密函数完成解密,这样只能满足既定请求。无弹窗vbs脚本如下。
新版Burpsuite加解密插件开发基础
u014531320的专栏
08-12 832
如果修改对应的请求数据,则会改变burpsuite-proxy-history对应的原始请求数据,一般不需要在这边对请求数据进行修改,但是可以在handleRequestReceived做一些初始化操作,如获取key数据,获取请求的ID值等操作,Proxy_Req_In。目前项目测试中总会遇到很多的加解密相关的请求和响应,由于早期的加解密插件不太好用,且目前加解密请求响应越来越普遍,因此就尝试自己写一个简单的burp加解密插件
【App渗透】BurpSuite插件-Brida 2024最新自动加解密Custom plugins演示
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
07-16 2104
之前有写过如何安装brida的文章和视频讲解,大家感兴趣的可以看看之前的内容,分别是①BurpSuite插件Brida的安装②Brida js-hook脚本的简单配置和debug调试。我的B站主页今天就是介绍下Brida的核心功能——自动加解密;如何在反编译之后hook加密和解密函数,自动加解密暴破密码。
BurpSuite使用插件HaE-2.6.1.jar
05-01
BurpSuite使用插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
burpsuite JS加密插件jsEncrypter.0.3.2
01-25
BurpSuite JS加密插件jsEncrypter 0.3.2:前端安全测试利器》 在网络安全领域,BurpSuite是一款广泛使用的网络应用程序安全测试工具,它为渗透测试人员提供了全面的功能,包括扫描、抓包、代理、篡改请求等。而...
Burpsuite插件之logger++使用方法1
08-03
用户需要确保Burpsuite支持加载第三方插件,并按照官方或开发者提供的指南正确配置。 ### Logger++使用方法 #### 正常启动代理 使用Logger++时,用户只需像平时一样开启Burpsuite代理,无需进行特殊设置,Logger++...
Burpsuite插件之BurpKit使用方法1
08-04
BurpSuite插件之BurpKit使用方法详解》 在网络安全评估领域,BurpSuite是一款备受推崇的工具,尤其在Web应用安全测试中扮演着重要角色。而BurpKit,作为BurpSuite的一个插件,进一步提升了其功能性和灵活性,使得...
js中【Worker】相关知识点详细解读
2301_79858914的博客
09-11 854
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
JavaScript】LeetCode:707设计链表
weixin_45980065的博客
09-14 466
【代码】【JavaScript】LeetCode:707设计链表。
记录开发一个英语听力训练网站
最新发布
业余程序员Blue的博客
09-14 429
目前只导入了雅思历年真题的听力音频,作为我日常练习英语听力的素材足够了。网站的主要功能其实就是英语句子精听,核心目的就是反复听每一句话,直到听懂为止,我觉得听力训练也没有太多技巧可言,就是老老实实地坚持去听,所谓网上经常说的“磨耳朵”吧。基于此,听力页面主要功能有:播放/暂停、上一句/下一句、播放次数选择、播放倍速选择、字体大小选择、是否显示原文、是否显示译文、是否自动播放下一句。而这些功能,基本上都是页面js操作。
echarts.js+china.js实现中国地图各省数据案例
qq_58258855的博客
09-11 441
实现中国地图各省数据案例
JS笔记
2201_76100326的博客
09-11 873
javascript中的对象分为3种:自定义对象,内置对象,浏览器对象 JavaScript 中的所有事物都是对象:字符串、数字、数组、日期,等等。在 JavaScript 中,对象是拥有属性和方法的数据。属性是与对象相关的值。方法是能够在对象上执行的动作。.关键词()
JavaScript基础
zhangh040629的博客
09-10 1294
//** 控制浏览器弹出一个警告框* alert()*/alert;/** 让计算机在页面中输出一个内容*/write;/** 向控制台输出一个内容*/log;</</</</
jEasyUI 创建带复选框的树形菜单
wjs2024的博客
09-10 360
jEasyUI 是一个基于 jQuery 的框架,它为用户提供了一套完整的用户界面组件,包括菜单、窗口、表格等。在本文中,我们将重点介绍如何使用 jEasyUI 创建一个带复选框的树形菜单。
vue3中动态引入本地图片的两种方法
haodanzj的博客
09-11 254
动态在本地引入图片
JS的输出语句
J3259392566的博客
09-13 203
js中严格区分大小写。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值