12306登录password参数加密逻辑

最新推荐文章于 2023-04-19 16:18:14 发布
最新推荐文章于 2023-04-19 16:18:14 发布
阅读量3k 收藏 3
点赞数 1
文章标签: 前端 javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43459158/article/details/122257921
版权
本文揭秘了一个网站登录密码的加密过程,通过源码分析发现encrypt_ecb函数负责加密,使用明文密码和固定值作为参数。无需环境配置,清晰注释让解析变得简单。作者分享了如何在本地环境中复现加密并验证结果。
摘要由CSDN通过智能技术生成

网站链接

aHR0cHM6Ly9reWZ3LjEyMzA2LmNuL290bi9yZXNvdXJjZXMvbG9naW4uaHRtbA==

(base64解密后可见)

网站分析

登录的表单可以看到,密码是加密的。

ps:至于上面的sessionId和sig都是阿里ffff滑块返回的,这里只分析password的加密

首先全局搜索关键词password,在可疑的位置打上断点,最终定位在这里

这个encrypt_ecb()函数应该就是加密函数,传的两个参数如下,一个是密码的明文,一个是固定值

进到函数内,根据这么详细的注释,基本可以断定,这里就是加密的逻辑了

在这里插入图片描述
如果喜欢,欢迎大佬们关注我的公众号,一起进步

js分析

把js全部复制下来放在本地,调用下,会报base64js is not defined。

这个其实就是一个base64的js文件,网站有这个js,直接也拿下来,在加密js上方导入这个js就可以了

再执行就可以得到结果了

和上面网站抓包出来的加密结果一致,只不过需要手动拼上一个@

小结

从过程上来讲,还是蛮简单的,没有环境监测,不需要补环境,也没有混淆,甚至注释都相当清晰。像这么热门又“良心”的网站,不多了

AJackpot
关注
【微服务】微服务中常用认证加密方案总结
congge
03-03 4146
常用的登录认证加密算法总结
【第四阶段 day33】微服务单点登录系统设计及实现
oriettahuiru的博客
12-01 381
文章目录0.核心知识点1.单点登录1.1 概念多点登录单点登录1.2 入门实践1.2.1 添加项目依赖1.2.2 构建项目配置文件1.2.3 添加项目启动类2.自定义登录逻辑2.1 定义安全配置类2.2 定义用户信息处理对象2.3 网关中登录路由配置2.4 自定义登录界面3.Security认证流程分析3.1 颁发登陆成功令牌-构建令牌配置对象3.2 定义认证授权核心配置3.2.1 在SecurityConfig中添加方法3.2.2 所有零件准备好以后开始拼装最后的主体部分3.2.3 配置网关认证的URL4
(js逆向)X牛数据登陆 参数加密(payload、sig、d )
MaxShuo的博客
12-10 1513
犀X数据登陆
js逆向-一个搜索网站的登陆参数加密
逆向新手的博客
08-02 688
本文仅供参考学习,如有侵权请联系本人删除!
前端登录参数加密传输
盼盼大小姐的博客
10-28 489
1、安装crypto-js npm install crypto-js 2、单独文件封装加解密方法 import CryptoJS from 'crypto-js' // 默认的 KEY 与 iv 如果没有给 const KEY = CryptoJS.enc.Utf8.parse("_aes_secret_key_"); const IV = CryptoJS.enc.Utf8.parse('_aes_secret_iv__'); /** * AES加密 :字符串 key iv 返回base64
【python爬虫逆向】球字体,登录参数加密分析
weixin_43459158的博客
11-22 400
近期不敢写大厂的逆向文了,写点简单小众的吧。
美团账号登录password参数加密逻辑
weixin_43459158的博客
12-31 3580
网站链接 aHR0cHM6Ly9wYXNzcG9ydC5tZWl0dWFuLmNvbS9hY2NvdW50L3VuaXRpdmVsb2dpbg== (base64解密后可见) 网站分析 发现登录接口有5个密文参数,其中uuid、token_id、csrf在页面源码中都是存在的,直接xpath或者正则获取到就好了。h5Fingerprint这个参数和之前一篇文章的_token加密逻辑一致。 所以最后就只剩下了密码加密参数password,先全局搜索下,发现是可以搜索到的,而且发现了一个很熟悉的关键词encr
Linux基本知识
hchaolinux的博客
11-07 3220
Linux基本知识 培训开班第一天 3 课程平台 3 学习方法: 4 二、TCP/IP协议简介 7 3.什么是IP地址 7 5.子网掩码 9 6.网关 10 三、基本环境配置 10 培训开班第二天 14 一、Linux系统简介 14 1.什么是Linux? 14 3.RedHat系列版本 14 二、安装Linux系统 14 三、命令行基本操作 16 培训开班第三天 21 一、命令行基础 21 二、...
Day054 爬虫(一)
Melody_92的博客
08-23 312
爬虫 一、爬虫的介绍 1. 什么是爬虫? 网络爬虫也叫网络蜘蛛,如果把互联网比喻成一个蜘蛛网,那么蜘蛛就是在网上爬来爬去的蜘蛛,爬虫程序通过请求url地址,根据响应的内容进行解析采集数据, 比如:如果响应内容是html,分析d...
谈谈对后台登陆页面的渗透测试
09-10 2197
前言 有些朋友在渗透时扫描到后台登陆界面,却不知道如何入手。最近刚好在某公司做安全顾问,对目标固定的系统渗透有些体会。因此这里讲一下对网站后台登陆界面的渗透思路,希望能为大家提供一些帮助。 开始 本人在进入登陆界面时,一般都是先用万能密码什么的测下输入框有没有注入(现在很少见了)。如果没有,那就先拿admin,123456什么的测试下弱口令,不求运气爆棚一下就猜到密码。主要是...
用户登录密码加密
Cxx941112的博客
02-02 6812
/** * 密码加密 * * @param pwd 原始密码 * @param salt 盐值 * @return */ public String encryptedPassword(String pwd, String salt) { String pwdSalt = new Md5Hash(pwd, salt, 3).toString(); return pwdSalt; ...
常见登录密码加密方式
赵广陆
02-16 1万+
目录1 常见的加密方式1.1.可逆加密算法1.1.1. 对称加密1.1.2. 非对称加密1.2.不可逆加密算法1.3.Base64编码2 密码加密的方式选型2.1 MD5密码加密2.2 手动加密(md5+随机字符串)2.3 . BCrypt密码加密3 jwt介绍3.1 token认证-面试3.2 什么是JWT?3.3 生成token 1 常见的加密方式 由于在学习JWT的时候会涉及使用很多加密算法, 所以在这里做下扫盲, 简单了解就可以 加密算法种类有: 1.1.可逆加密算法 解释: 加密后, 密文可以反
常见问题 三
05-21 9277
38,js报错 Uncaught ReferenceError: Base64 is not defined 2.2.6升级到2.3.0后,后台主题编辑页面 打不开 js有报错 Uncaught ReferenceError: Base64 is not defined 解决办法: 找到下面这几个文件 > /vendor/magento/module-email/view/adminhtml/ui_component/design_config_form.xml > /vendor
js出现is notdefined的原因
weixin_45766103的博客
11-18 8313
1.没声明变量 2.声明过一个变量,但是调用的时候名字写错了(相当于没有声明) 3.在函数外调用函数内的变量
浏览器报错Uncaught ReferenceError: require is not defined解决方案
最新发布
weixin_42082342的博客
04-19 5649
Uncaught ReferenceError: require is not defined
JS 图片转base64编码实现及相关问题
风水月的专栏
05-05 775
1、JS图片转base64编码实现 function convertImgToBase64(url, callback, outputFormat){ var canvas = document.createElement('CANVAS'), ctx = canvas.getContext('2d'), img = new Image; img.
js的Base64编码
热门推荐
weixin_44283589的博客
08-29 2万+
/自己编写一套Base64编码和解码算法。
IBM Security 扫描解决方案整理
ACGkaka的博客
01-19 892
目录1.SQL盲注2.已解密的登录请求解决方案(应用于Shiro):后端:1 引入RSA MAVEN 坐标2 新增/rsa/public接口,用于前端获取加密公钥3 开放/rsa/public接口的访问权限4 登陆时加密发送过来的请求参数进行解密前端:1 下载并引入jsencrypt.min.js2 在login.js中增加如下代码:3.不充分的账户封锁4.会话标识未更新5.登录错误消息凭证枚举6...
12306滑块验证登录分析
vplog的博客
12-16 1752
1.检测登录验证 请求 URL: https://kyfw.12306.cn/passport/web/checkLoginVerify 请求方法: POST 状态代码: 200 OK
Android项目中RSA加密登录密码实现详解
在客户端的代码示例中,开发者首先将登录密码(`password`)作为明文传递给`RSAUtils.encryptByPublicKey`方法,该方法接受明文和公钥(`rsastr`)作为参数。`Hex.encodeHex`函数在此处被用来对加密后的密码字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AJackpot

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值