从前端JS逆向到发现后端越权漏洞的渗透测试之旅

已于 2024-03-09 07:33:02 修改
阅读量1.7k 收藏 18
点赞数 21
文章标签: 后端
于 2024-03-01 15:27:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43803070/article/details/136397717
版权

前言

本篇文章首发先知社区,作者为本公众号。
在这里插入图片描述

前端分析

首先搜索请求接口,未发现关键加密点

根据请求参数进行搜索

在js文件中找到aes加密key、iv

eval(function(p, a, c, k, e, r) {
    e = function(c) {
        return c.toString(36)
    }
    ;
    if ('0'.replace(0, e) == 0) {
        while (c--)
            r[e(c)] = k[c];
        k = [function(e) {
            return r[e] || e
        }
        ];
        e = function() {
            return '[0-9a-x]'
        }
        ;
        c = 1
    }
    ;while (c--)
        if (k[c])
            p = p.replace(new RegExp('\\b' + e(c) + '\\b','g'), k[c]);
    return p
}('(3($){e();2 j=$.f;$.f=3(1){5(1.0!=\'\'&&1.0!=g){2 h=9 k();2 a=9 k();5(1.contentType=="application/json"){a=1.0}l{for(2 m in 1.0){2 4=m;5(1.0[4]!=g&&1.0[4].length>460){a[4]=1.0[4]}l{h[4]=1.0[4]}}}1.0=a;1.0.keyScript=n(o(JSON.stringify(h)))}2 p=$.extend(1,{beforeSend:3(jqXHR,settings){}});i j(p)}})(jQuery);3 e(){5(6.7==g||6.7==null||6.7==\'\'){$.f({type:\'GET\',async:false,url:Globals.ctx+"/e/generate",0:{nowDate:9 Date()},q:3(0){5(0.q){6.7=0.body}}})}}3 o(b){2 c=9 JSEncrypt();c.setPublicKey(6.7);2 d=c.encryptLong(b);i d.r()}3 n(b){2 s=8.t.u.v("xxxxx");2 w=8.t.u.v(b);2 d=8.AES.c(w,s,{x:8.x.ECB,padding:8.pad.Pkcs7});i d.r()}', [], 34, 'data|opt|var|function|arrayName|if|window|publicKey|CryptoJS|new|noEncrypt|message|encrypt|encrypted|dynamicKey|ajax|undefined|isEncrypt|return|_ajax|Object|else|index|AesEncrypt|RsaEncrypt|_opt|success|toString|key|enc|Utf8|parse|srcs|mode'.split('|'), 0, {}))

继续跟进,发现了两个加密函数:RsaEncrypt、AesEncrypt

搜索这两个函数没有太多信息。我们继续阅读混淆的js代码。

('(3($){e();2 j=$.f;$.f=3(1){5(1.0!=\'\'&&1.0!=g){2 h=9 k();2 a=9 k();5(1.contentType=="application/json"){a=1.0}l{for(2 m in 1.0){2 4=m;5(1.0[4]!=g&&1.0[4].length>460){a[4]=1.0[4]}l{h[4]=1.0[4]}}}1.0=a;1.0.keyScript=n(o(JSON.stringify(h)))}2 p=$.extend(1,{beforeSend:3(jqXHR,settings){}});i j(p)}})(jQuery);3 e(){5(6.7==g||6.7==null||6.7==\'\'){$.f({type:\'GET\',async:false,url:Globals.ctx+"/e/generate",0:{nowDate:9 Date()},q:3(0){5(0.q){6.7=0.body}}})}}3 o(b){2 c=9 JSEncrypt();c.setPublicKey(6.7);2 d=c.encryptLong(b);i d.r()}3 n(b){2 s=8.t.u.v("xxxxx");2 w=8.t.u.v(b);2 d=8.AES.c(w,s,{x:8.x.ECB,padding:8.pad.Pkcs7});i d.r()}', [], 34, 'data|opt|var|function|arrayName|if|window|publicKey|CryptoJS|new|noEncrypt|message|encrypt|encrypted|dynamicKey|ajax|undefined|isEncrypt|return|_ajax|Object|else|index|AesEncrypt|RsaEncrypt|_opt|success|toString|key|enc|Utf8|parse|srcs|mode'.split('|'), 0, {}))

这里在进行RSA加密的时候,调用了JSEncrypt()类。

该js为vue的加密库。在该js文件中搜索Publickey、encode字段,发现了几个函数。

但是我们在相关函数下断点并不会经过。最后我们在JSEncrypt.prototype.encryptLong函数中下断点,跟进关键加密流程。

JSEncrypt.prototype.encryptLong = function(string) {
            var k = this.getKey();
            try {
                var ct = "";
                var bytes = new Array();
                bytes.push(0);
                var byteNo = 0;
                var len, c;
                len = string.length;
                var temp = 0;
                for (var i = 0; i < len; i++) {
                    c = string.charCodeAt(i);
                    if (c >= 0x010000 && c <= 0x10FFFF) {
                        byteNo += 4;
                    } else if (c >= 0x000800 && c <= 0x00FFFF) {
                        byteNo += 3;
                    } else if (c >= 0x000080 && c <= 0x0007FF) {
                        byteNo += 2;
                    } else {
                        byteNo += 1;
                    }
                    if ((byteNo % 117) >= 114 || (byteNo % 117) == 0) {
                        if (byteNo - temp >= 114) {
                            bytes.push(i);
                            temp = byteNo;
                        }
                    }
                }
                if (bytes.length > 1) {
                    for (var i = 0; i < bytes.length - 1; i++) {
                        var str;
                        if (i == 0) {
                            str = string.substring(0, bytes[i + 1] + 1);
                        } else {
                            str = string.substring(bytes[i] + 1, bytes[i + 1] + 1);
                        }
                        var t1 = k.encrypt(str);
                        ct += t1;
                    }
                    ;if (bytes[bytes.length - 1] != string.length - 1) {
                        var lastStr = string.substring(bytes[bytes.length - 1] + 1);
                        ct += k.encrypt(lastStr);
                    }
                    return hex2b64(ct);
                }
                var t = k.encrypt(string);
                var y = hex2b64(t);
                return y;
            } catch (ex) {
                return false;
            }
        }
        ;
        JSEncrypt.version = "3.0.0-rc.1";
        return JSEncrypt;
    }());

在这里下断点

断点跟进,可以发现先进行了RSA加密,得到十六进制进行base64编码。

继续跟进断点,发现跳转到VM虚拟机中。

两个加密函数一目了然

function RsaEncrypt(message) {
    var encrypt = new JSEncrypt();
    encrypt.setPublicKey(window.publicKey);
    var encrypted = encrypt.encryptLong(message);
    return encrypted.toString()
}
function AesEncrypt(message) {
    var key = CryptoJS.enc.Utf8.parse("xxxxx");
    var srcs = CryptoJS.enc.Utf8.parse(message);
    var encrypted = CryptoJS.AES.encrypt(srcs, key, {
        mode: CryptoJS.mode.ECB,
        padding: CryptoJS.pad.Pkcs7
    });
    return encrypted.toString()
}

核心代码为

(function($) {
    dynamicKey();
    var _ajax = $.ajax;
    $.ajax = function(opt) {
        if (opt.data != '' && opt.data != undefined) {
            var isEncrypt = new Object();
            var noEncrypt = new Object();
            if (opt.contentType == "application/json") {
                noEncrypt = opt.data
            } else {
                for (var index in opt.data) {
                    var arrayName = index;
                    if (opt.data[arrayName] != undefined && opt.data[arrayName].length > 460) {
                        noEncrypt[arrayName] = opt.data[arrayName]
                    } else {
                        isEncrypt[arrayName] = opt.data[arrayName]
                    }
                }
            }
            opt.data = noEncrypt;
            opt.data.keyScript = AesEncrypt(RsaEncrypt(JSON.stringify(isEncrypt)))
        }
        var _opt = $.extend(opt, {
            beforeSend: function(jqXHR, settings) {}
        });
        return _ajax(_opt)
    }
}
)(jQuery);

1、dynamicKey();动态生成key。

2、将keyScript赋值为aes、rsa加密的结果。

opt.data.keyScript = AesEncrypt(RsaEncrypt(JSON.stringify(isEncrypt)))

3、dynamicKey函数如下

function dynamicKey() {
    if (window.publicKey == undefined || window.publicKey == null || window.publicKey == '') {
        $.ajax({
            type: 'GET',
            async: false,
            url: Globals.ctx + "/xxx/xxxx",
            data: {
                nowDate: new Date()
            },
            success: function(data) {
                if (data.success) {
                    window.publicKey = data.body
                }
            }
        })
    }
}

一开始的key是通过动态调试获取的

但是后续渗透发现,每次获取一个key都会发起一个请求包。

致此加密方式已经分析完毕。

原始数据获取

因为是通过RSA加密,我们无法拿到私钥无法进行解密。因为我们不知道请求发送的原始数据。只能根据公钥来加密数据,因此接下来就是获取原始数据。

之前我们发现一个函数JSEncrypt.prototype.encryptLong,接受一个字符串,然后对该字符串进行加密,最后跳转到了VM虚拟机中的代码。

所以我们打印该strings,查看是否是原始数据。

在burp中使用插件,将var k=this.getKey();替换为var k = this.getKey();console.log(string);。最终的效果是可以在控制台中打印出原始数据。

数据加密

接下来就是对数据进行加密,加密逻辑很简单:获取公钥-RSA加密-AES加密。AES知道iv、加密方式、key比较简单。比较难得就是RSA加密。

首先网站使用了vue的JSEncrypt库。我们将整个JSEncrypt文件拷贝下来,使用工具对数据进行加密。

window = this;
navigator = this;
//以上两行主要是防止代码报错
(JSEncrypt文件内容)
//加密函数直接使用网站自带的,然后自己把公钥贴上去就行。也可以引用网站的公钥获取函数,自动获取公钥匙。
function RsaEncrypt(message) {
    var encrypt = new JSEncrypt();
    encrypt.setPublicKey("-----BEGIN PUBLIC KEY-----\nxxxxxx\n-----END PUBLIC KEY-----");
    var encrypted = encrypt.encryptLong(message);
    return encrypted.toString()
}

console.log(RsaEncrypt("{\"id\":\"138652\"}"))

效果如图

自动化加密

在自动化加密的时候,需要调用python与js。这里使用execjs库。最终代码如下

本文由mdnice多平台发布

暮秋初九
关注
  • 21
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
devtools安装_前端逆向工具篇devtools(一)
weixin_39946355的博客
11-29 635
各位新老朋友们,工欲善其事必先利其器想必大家都耳熟能详,能够熟练使用最好的工具定能事半功倍。从今天起,我会给大家带来可能有很多篇的工具篇,带来众多的骚操作,让你成为人群中最靓的仔!众所周知,目前最厉害的前端加密防御可能就是谷歌的recaptcha,所谓矛盾,就是要用最锋利的矛去攻最坚硬的盾,谷歌左手持盾右手持矛,一手recaptcha,一手devtools。本来devtools是为了给w...
js绕过漏洞学习
weixin_74012678的博客
07-20 880
JS绕过是指利用各种技术手段绕过网站或应用程序中使用的JavaScript代码的安全性措施。
漏洞实战】某网站 JS 文件泄露导致拿到服务器权限
瓦罗兰特顶级C位的博客
05-24 624
漏洞实战】某网站 JS 文件泄露导致拿到服务器权限
JS逆向技巧总结
最新发布
dafan0的博客
07-02 2091
总的来说,JavaScript 逆向可以分为三大部分:寻找入口、调试分析和模拟执行。下面分别进行介绍。
简易的JS逆向解码
zkaqlaoniao的博客
04-30 596
假如我们在测试过程中发现可疑函数时,可以打开调试器 ctrl shift +f全局搜索js文件中出现这函数的地方,辨别出定义这个函数的语句点击左边的“行数”进行断点调试,让网站从上向下运行到我们打了断点的地方停止运行,以便我们了解函数在我们刷新页面时运行情况;后来利用全局搜索发现这个函数是将我们输入的用户名以及加密后的密码(我们输入的)存储到这个函数中,明白这个之后,在之后需要爆破密码时,我们就可以逆向破解它的密码加密方法。1.js指的是当我们运行1.py文件时,它会先运行1.js
JS前端逆向
蚁景网安学院
12-01 1090
前言js逆向一直没有相关了解,虽然目前渗透遇见的不是很多,大多数遇见的要么不加密,要么无法实现其加密流程,不过最近看到了一个较为简单的站点正好能够逆向出来,就做了简单记录。本文旨在介绍js逆向的一些基础思路,希望能对初学js前端逆向的师傅有所帮助。JS定位在我们寻找JS源代码时,如果直接翻看全部的js文件以来寻找自己想要的一部分,无疑是复杂繁琐的,且工作量巨大,有点类似大海捞针,因此这里我们需要借...
js逆向实战
orange777
04-22 2448
前言 当我们在做渗透测试时候,有时候经常会遇到登录位置进行了加密,通过普通的md5解码等是没办法解密的,开发者为了保护传输数据不被窃取,通常会自定义一些加密算法进行加密传输,如下: 访问系统http://ycsjyh.duobashuzi.com:8889/toLogin 发现用户名和密码都进行了加密,通过普通的base64解码是无法解码的 js逆向分析 需要定位到加密函数,打断点 Crtl+Shift+F定位到加密函数encrypt 搜索CryptoJS,定位到aes.js文件(直接在本地执行encr
前端逆向】实现拦截函数功能
qq_39559879的博客
05-17 373
需求: 实现 hook 某个函数,调用该函数后可以执行自定义的 hook,无需修改原网站的 js 代码。 示例 这里实现
js切割字符串_js逆向 | eval混淆一某变IP解密逻辑分析
weixin_39713335的博客
12-03 165
文章首发 逆向旅行 公众号,有兴趣学习逆向的同学可以关注一下!一、目标网站aHR0cHM6Ly93d3cuYmFpYmlhbmlwLmNvbS9ob21lL2ZyZWUuaHRtbA==采集免费ip信息二、接口分析文章在页面未登陆状态下分析刷新页面,找到下图get请求接口,响应信息为html。在响应的html中,查找ip信息,如下图,标签<td></td>中应该是ip展示的...
jdk 8版本 逆向渗透测试搭建环境必备
05-11
逆向工程和渗透测试是IT安全领域中的两个关键概念,主要针对软件的安全分析与防护。在本场景中,"jdk 8版本 逆向渗透测试搭建环境必备"的标题和描述表明,Java Development Kit(JDK)的第8个主要版本(JDK 8u291...
老码识途 从机器码到框架的系统观逆向修炼之路.pdf
12-30
《老"码"识途:从机器码到框架的系统观逆向修炼之路》内容涉及反汇编、底层调试、链接、加载、钩子、异常处理、测试驱动开发、对象模型和机制、线程类封装、跨平台技术、插件框架、设计模式、GUI框架设计等。
老“码”识途:从机器码到框架的系统观逆向修炼之路].韩宏-pdf
09-12
老“码”识途:从机器码到框架的系统观逆向修炼之路
老“码”识途:从机器码到框架的系统观逆向修炼之路
07-22
资源名称:老“码”识途:从机器码到框架的系统观逆向修炼之路内容简介:本书以逆向反汇编为线索,自底向上,从探索者的角度,原生态地刻画了对系统机制的学习,以及相关问题的猜测、追踪和解决过程,展现了系统级...
酷狗音乐网站前端JS逆向过程
CoderYYN
05-31 5179
事件背景 前不久我写了一个按歌手爬取酷狗音乐所有歌曲的爬虫,然后在昨天2019年5月10日使用的时候出现了错误,排查问题后发现是获取歌曲相关信息的那个接口做了修改,导致我原有的爬虫失效。在测试后发现,在原有的基础上需要携带Cookie里面的kg_mid参数才能正常获取,然后我去浏览器里面查看页面刷新出来的请求,发现kg_mid参数是浏览器生成的而不是服务器返回的,所以就开始了逆向破解前端JS的过程...
别人家的前端工程师都在干啥·逆向
lefex的博客
06-17 1160
先来普及下啥是个逆向!作为前端程序员,每天吭哧吭哧写代码,最后把网站发布上线,这个过程属于「正向」开发,与之相对应的是「逆向」,逆向干的事情就是把线上的代码进行还原,也就是“没有源码”的情...
电商项目2、后端前端逆向工程生成
ljs13168734665的博客
10-19 418
3、修改后台服务配置文件:数据库url 、username、password。1、将renrenfast放到微服务项目中。2、初始化renrenfast数据库。4、启动后台rerenfast项目。选择该字符集,兼容utf-8。删除掉两个项目的.git。clone这两个项目。
js逆向解析,js爬虫 -- 助力篇
weixin_37254196的博客
01-11 1002
废话不多说,直接开干! 最近想起之前有位大佬,说请求一个js算法一直无果,找到我了! 说下结论大概逻辑: 1.请求url 2.找到请求参数 3.整合参数分析参数产生过程 1.请求url 2.找到请求参数 3.整合参数分析参数产生过程 直接上完整代码 import hashlib import time import requests ts = str(int(time.time() * 1)) #获取时间戳 # n = {"size":30,"client":ts"M"} # ts: 当前时间戳
JS逆向基础知识
山兔的博客
01-09 5766
elements是前端调式页面的,比如页面的每一个元素都是有一个元素标签的,我们修改的不是服务器,是服务器推送给我们的本地的一个文件,没有任何实际的意义。请求头当中的包都是可以自定义的,如果请求头当中包含Accept-Encoding的话,表示浏览器会对我们发送的请求进行ZIP压缩,然后发给服务器,服务器接收到这个之后,会对他进行解压,然后进行处理。在做JS逆向的时候,是要做不同的下断测试,要求大家的是每种断点都要会,JS逆向光会一种是不够的,最起码拿下一个网站要会三种技巧,都要hold住。
JS敏感信息泄露:不容忽视的WEB漏洞
weixin_50464560的博客
08-13 3841
一、前言 一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞 二、漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务器脚本语言(如ASP、PHP)以及编译型语言(如C
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值