JsRpc聯動Burp繞過前端加密

前言:

記錄一次前端加密繞過之旅。

0x01 案情分析:

開局一個登錄頁面,發(fā)現表單中的密碼進行了加密處理,首先要找到加密函數位置,定位相關js代碼邏輯,常用的兩種方式就是全局搜索關鍵字或看流量堆棧,個人習慣第一種:

這里要注意函數作用域的問題,一般情況下我們需要在相應的位置打上斷點,等到觸發(fā)端點時,才可以使用控制臺調用該函數:

為了方便,這個時候我們可以將這個函數設置成全局函數,這樣不在debug的時候,我們也可以正常調用:

window.encryptMD5=this.common.encryptMD5

這里其實我們已經知道加密方法:md5(base64),不過本次主要是想通過rpc來解決前端加密的問題

0x02 jsrpc注入:

項目地址:https://github.com/jxhczhl/JsRpc

a)將resouces\JsEnv_Dev.js的代碼粘貼到控制臺執(zhí)行
b)啟動項目在本地進行監(jiān)聽

c)注入環(huán)境后連接通信:

var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=qiantai&name=aaa");

這里的group和name都可以隨便填,記住group和name的值

d)瀏覽器預先注冊js方法:

// 注冊一個方法 第一個參數encryptMD5為方法名,
// 第二個參數為函數,resolve里面的值是想要的值(發(fā)送到服務器的)
demo.regAction("encryptMD5", function (resolve, param) {
    var strParam = String(param);
    var res = encryptMD5(strParam);
    resolve(res);
})

e)訪問接口,獲得js端的返回值:

http://127.0.0.1:12080/go?group=qiantai&name=aaa&action=encryptMD5&param=123456

0x03 聯動autoDecoder:

簡單流程圖:

代碼如下:

import requests
import json
from flask import Flask,Response,request
from urllib.parse import quote

app = Flask(__name__)  
url = "http://localhost:12080/go"
@app.route('/encode',methods=["POST"])  
def encrypt():  
    param = request.form.get('dataBody')  # 獲取  post 參數  
    param_headers = request.form.get('dataHeaders')  # 獲取  post 參數  
    param_requestorresponse = request.form.get('requestorresponse')  # 獲取  post 參數  
    data = {
        "group": "qiantai",
        "name": "aaa",
        "action": "encryptMD5",
        "param": param
    }
    res = requests.post(url, data=data) #這里換get也是可以的
    encry_param = json.loads(res.text)['data']
    print(encry_param)
    if param_requestorresponse == "request":  
        return param_headers + "\r\n\r\n\r\n\r\n" + encry_param  
    return encry_param



if __name__ == '__main__':  
    app.debug = True # 設置調試模式,生產模式的時候要關掉debug  
    app.run(host="0.0.0.0",port="8888")

抓包測試下是否調試成功,抓包后選擇加密部分右鍵點擊插件Encode即可加密

0x04 聯動mitmproxy:

使用autoDecoder具備一定的局限性,需要自己選擇數據比較麻煩,這時我們考慮使用mitmproxy來開一個上游代理,然后我們就可以自定義經過的請求包。

pip install mitmproxy

安裝完運行程序mitmproxy.exe,然后它會在%USERPROFILE%\.mitmproxy生成證書文件,雙擊mitmproxy-ca-cert.p12安裝證書,默認即可。

接著編寫pthon腳本:

import json
import requests
from mitmproxy import ctx

def get_rpc(param):
    url = "http://127.0.0.1:12080/go"
    data = {
        "group": "qiantai",
        "name": "aaa",
        "action": "encryptMD5",
        "param": param
    }
    result = requests.post(url, data=data)
    return result.json()['data']


class Modify:
    def request(self, flow):
        if flow.request.url.startswith("https://xxx.xxx.cn"):
            if flow.request.method == "POST" and flow.request.headers.get("Content-Type") == "application/json":
                try:
                    json_data = json.loads(flow.request.content.decode())
                except json.JSONDecodeError:
                    print("Failed to parse request body as JSON.")
                    return
                if 'password' in json_data:
                    raw_value = json_data['password']
                    json_data['password'] = get_rpc(raw_value)
                    # 更新請求體和Content-Length頭
                    flow.request.content = json.dumps(json_data).encode()
                    del flow.request.headers["Content-Length"]
                    flow.request.headers["Content-Length"] = str(len(flow.request.content))
                    print(f"Modified JSON key 'password': {raw_value} -> {get_rpc(raw_value)}")


addons = [ Modify() ]

之后運行mitmproxy(注意的是存在三個程序,我們運行的mitmproxy是其中的一個它的優(yōu)點就是控制臺輸出信息較為明朗,但是如果存在bug的情況下建議調試使用mitmdump)

mitmproxy.exe -p 8081 -s .\mitmproxy_rpc.py

然后設置Burp的上游代理:

最后我們用burp發(fā)包,bp上的值沒有變是正常的,因為請求經過mitmproxy才會被修改

參考文章:

奇安信攻防社區(qū)-某眾測前端解密學習記錄
【js逆向實戰(zhàn)】RPC+mitm - 先知社區(qū)

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。
禁止轉載,如需轉載請通過簡信或評論聯系作者。

相關閱讀更多精彩內容

友情鏈接更多精彩內容