【web逆向】全报文加密流量的去加密测试方案

news2024/12/25 0:09:55

aHR0cHM6Ly90ZGx6LmNjYi5jb20vIy9sb2dpbg 国密混合

WEB JS逆向篇

先看报文:请求和响应都是全加密,这种情况就不像参数加密可以方便全文搜索定位加密代码,但因为前端必须解密响应的密文,因此万能的方法就是搜索拦截器,从第一行下断点分析,以找到加密的位置。

在这里插入图片描述

通常vue前端会使用axios配置拦截器,如下图,在搜索到的api.js的134、187行下断点,然后任意请求即可。

在这里插入图片描述

实际操作的时候断点建议打在第一个箭头函数和第二个箭头函数的第一行,避免因参数差异越过需要分析的逻辑。

在这里插入图片描述

做一下简单审计和判断,由于参数保存在config里,所以重点关注对config操作的代码,步入173行的函数进一步分析。

在这里插入图片描述

84、93行和96行看到加密方法了,分别是在post和get情况下对参数加密处理的逻辑。调试时由于是post方法,故步入84行函数调用。
在这里插入图片描述

步入该方法才实际调用加密函数本身,对应的猜测29行是解密函数,顺便下个断点。
在这里插入图片描述

该金融公司用的名为microAppSafety的js文件是个加解密库,且做了如上形式的混淆(本例涉及国密,该公司其它站点下使用类似文件名的js加解密库或均采用了国密)
混淆严重影响了源码的分析和阅读,但由于目的不是了解其加密逻辑的具体实现,到此该节就结束了,刚才解密的断点待服务器响应后也会停住,同理分析即可。
后记:该站点实际于测试环境进行,与生产环境的代码略有不同(源码形式不同,非代码实现不同),起初分析的时候由于种种原因都没有找到加密的函数,但在生产环境下找到,反推测试环境:找到的加密函数的关键字"encryptData"在测试环境中同文件里搜索并下断点,才得以成功完成测试环境的分析。

加密/验签策略定位技巧总结

前端加解密通常涉及两个开源库:CryptoJS和JSEncrypt,两个库的代码分别形如:

//CryptoJS
var wordArray = CryptoJS.enc.Utf8.parse('𤭢');
var utf8  = CryptoJS.enc.Utf8.stringify(wordArray);

//JSEncrypt
var crypt = new JSEncrypt();
crypt.setKey(__YOUR_OPENSSL_PRIVATE_OR_PUBLIC_KEY__); 
var text = 'test';
var enc = crypt.encrypt(text);

单个参数加密

全局搜索加密的参数名,并跟踪从取值到请求过程值的变化(处理)
加密位置常见于:

  1. 赋值处(从组件取值时)
var pwd = $('#pwd').val();
var pwd = encrypt(pwd);
  1. 拦截器处理当中和ajax之前;
    在这里插入图片描述

全报文加密

  1. 全局搜索interceptors.request.use并对其下断点单步分析
  2. 调用栈分析
    无法确认哪一帧调用的加密时,从较早的帧开始分析传入的参数是明文还是密文,并在数据为密文的第一帧的上一帧下断点,基本就可以分析处加密的位置了。
    2.1. 从“网络“(浏览器开发者工具栏)中定位某个全报文加密的XHR请求(图示使用firefox,chrome中在启动器一栏中查看调用栈)
    在这里插入图片描述

2.2. 对全报文加密的请求设置XHR断点,查看调用栈

加密形式判断

  1. 数字信封:随机数生成对称密钥加密数据(一次一密)-》公钥加密对称密钥-》传输:
    两个值:jsonData,key或一个值:一个公钥加密的值包含对称密钥和数据密文
  2. 单一形式的加密
    仅使用对称或非对称密码进行加密,复杂加密机制的通常会有密钥协商(交换)的过程或其他一些密钥安全的机制,如:每个请求前先请求getPubkey获取公钥(非对称)、使用两对密钥,前端硬编码用于加密的公钥A和用于解密的私钥B,后端使用私钥A解密,使用公钥B加密,(非对称,因此前端如果发现PRIVATE_KEY和PUBLIC_KEY实际是两对密钥)等;简单加密机制通常可以直接在js中找到硬编码的key(对称,利用burp插件就可以直接完成自动化加解密)
    2.1. 对称加密:aes/des/3des/国密(如常见sm4)-》传输
    全部参数名:仅对某个值加密或全报文
    2.2. 非对称密钥:RSA/国密(常见sm2)-》传输
    全部参数名:仅对某个值加密或全报文

签名机制分析定位

全局搜索保存签名的字段(通常包含sign)

  1. url参数签名+签名参数如:
parm=1&sign=md5(parm=1)
  1. 参数值签名+签名参数如:
pwd=a&name=b&sign=md5(a|b)
  1. 请求头如
    x-passwd:123
    x-timestamp:169
    x-sign:md5(123+169)

请求改造篇

基于RPC技术的自动化去加密测试。
本地替换js修改加密调用

在这里插入图片描述

在这里插入图片描述

前端拦截器里最后通过方法g()实现对参数处理的逻辑,但不是加密方法本身,其中实现了request method的判断和超时参数的添加(方法p)。
所以改造p方法来去掉加密的调用,使burp接收明文。
代码如下:

function p(e) {
    return JSON.stringify({
        data: Object(u["a"])({}, e),
        dataExpireTime: 1689999999999 

//使用一个较大的固定时间戳而非实时生成,以绕过服务器的时间戳超时校验机制
})
}

验证码获取请求(GET)
在这里插入图片描述

请求(POST)

在这里插入图片描述

GET方法和POST方法经过处理后的流量在burp里已经是明文。

编写RPC客户端通讯脚本

首先定义RPC调用的加解密对象:
在这里插入图片描述

调试过程将加密对象设置为全局对象,第二个打印的变量是加密密钥(源码硬编码值)。
Q&A:
为什么是d?
因为调试的当前页面里指向加密对象的变量是d;
为什么不定义p方法或是d.encryptData方法?
因为如果全局变量指向p方法会导致其运行加密方法时找不到某些定义在加解密库js文件中的方法而报undefined异常(破坏了作用域链的顺序);直接指向这个加密对象便于加解密时RPC使用同一个全局对象。

将RPC客户端加载到浏览器环境里,注入方法如油猴插件hook,本地覆盖到页面js和运行代码段等,建议在代码段里运行(实测注入到页面js中ws的通讯不稳定)
使用sekiro框架提供的服务端与客户端demo即可,并按实际情况修改通讯代码

//省略未变动的代码,将在参考链接中给出
var client = new SekiroClient("ws://127.0.0.1:5612/business-demo/register?group=rpc-test&clientId="+guid());

client.registerAction("enc",function(request, resolve, reject){
     resolve(secApp.encryptData(request["params"],'04337449135FE6BD62D0683CE30AEA1BD178B879A392162D9F87A2FF0EC819A…'));
})

编写中间处理脚本

编写用于处理加密调用和密文流量转发的脚本mitm.py:

#rpc加密
def encrypt(params):
   # print("request params in enc func:::{}".format(params))
   api = "http://127.0.0.1:5612/business-demo/invoke?group=rpc-test&action=enc&jsonData={}".format(params)
   res = requests.get(api).json()
   # print("res:::{}:::{}".format(str(res),str(res['data'])) ) json()转换响应为json对象便于访问data字段
    return json.dumps({'data':res['data'],'responseCode':res['responseCode'],'responseDesc':res['responseDesc']})


#修改请求
def request(flow):
   #获取请求方法,返回字符串:POST GET
   method = flow.request.method
   if method == "GET":
      #获取查询参数
      # :MultiDictView[('{"data":{},"dataExpireTime":1689999999999}', '')]:::type is::: <class 'mitmproxy.coretypes.multidict.MultiDictView'>
      # params = flow.request.query 目标对整个查询字串加密,query.get("param_name")针对参数加密的情况使用
      params = flow.request.url.split("?", 1)[1]
   elif method == "POST":
      #获取请求body
      params = flow.request.text
   else:
      params = None
   # print("request params:::{}:::type is:::{}".format(params,type(params)))
   encryptedData = encrypt(params)
   print("encData:::{}".format(encryptedData) )

   if method == "GET":
      flow.request.url = flow.request.url.split("?",1)[0]+ "?" + encryptedData
      # print("request url:::{}".format(flow.request.url))
   elif method == "POST":
      flow.request.text = encryptedData

Tips:这里可以利用burp的repeater模块进行脚本的测试,不必在浏览器里操作站点功能。

响应改造

同理对系统解密的流程分析并编写相关的脚本。
在这里插入图片描述

如果请求未通过,服务器将响应200以外的代码,此时拦截器进入reject部分,该部分的处理是没有解密过程的,响应包也可看到是明文形式的,因此编写中间脚本时需要判断返回码以决定是否进入RPC解密的调用。
一般情况使用GET方法便于浏览器API调用,但受限于URL长度,当对响应解密时,响应过长会导致GET方法无法正常请求,因此API调用改换POST方式。

#RPC解密
def decrypt(params):
   api = "http://127.0.0.1:5612/business-demo/invoke"
   jsonObj = {"group": "rpc-test",
            "action": "dec",
            "param": str(params)}
   res = requests.post(api, json=jsonObj).json()
   print("res:::{}:::".format(str(res['data'])) )
   return json.dumps(res['data'])


#修改响应
def response(flow):
   body = flow.response.content.decode('utf-8')
   print("response body:::{}".format(body))
   #判断响应是否为密文
   if flow.response.status_code == 200:
      decryptedBody = decrypt(body)
      flow.response.text = decryptedBody

重写本地JS时对方法f改造,即“直接调用解密方法“的方法。
在这里插入图片描述

function f(e) {
   return e
}

RPC client加上解密的action:

client.registerAction("dec", function(request, resolve, reject){
   resolve(secApp.decryptDataOneWay(request["param"], 'DA7668FAx7'));
});

开启RPC(先服务端、再客户端)和mitmdump
在这里插入图片描述

(图示上窗运行RPC server,下窗运行mitmdump)
在这里插入图片描述
(运行RPC client)

burp进行测试中的流量:
在这里插入图片描述

原本加密的响应数据已呈明文。

通讯图示

红色箭头发起第一个请求,RPC Server和RPC Clinet之间通过websocket通讯,mitmdump和RPC Server间通过http通讯(API),其余箭头都是代理流量转发的过程。
在这里插入图片描述

注: 可以联动自动化工具,把流量用脚本加密代理出去。

参考文档

mitmproxy
https://docs.mitmproxy.org/stable/api/mitmproxy/http.html#Request
sekiroAPI:
https://sekiro.iinti.cn/sekiro-doc/01_user_manual/3.restful_api.html#get%E5%92%8Cpost
sekiro客户端:
https://sekiro.virjar.com/sekiro-doc/assets/sekiro_web_client.js
完整通讯代码:

function guid() {
    function S4() {
        return (((1 + Math.random()) * 0x10000) | 0).toString(16).substring(1);
    }

    return (S4() + S4() + "-" + S4() + "-" + S4() + "-" + S4() + "-" + S4() + S4() + S4());
}

  var client = new SekiroClient("ws://127.0.0.1:5612/business-demo/register?group=rpc-test&clientId=" + guid());
  // var secApp = new microAppSafety;
  client.registerAction("enc", function (request, resolve, reject) {
      resolve(secApp.encryptData(request["param"],enckey));
  })

  client.registerAction("dec", function (request, resolve, reject) {
      resolve(secApp.decryptDataOneWay(request["param"],deckey));
  })
  //站点请求一次后在控制台中执行window.secApp = new microAppSafety;注册全局对象

续:脚本优化

import json
import requests
import urllib.parse

java_server = 'http://127.0.0.1:5612/business-demo/invoke'

# RPC
def rpc(action, params, group='rpc-test'):
    url = java_server
    data = {
        'group': group,
        'action': action,
        'param': params
    }
    count = 0  # 计数器
    while 1:
        count += 1
        if count > 10:
            # TODO:处理超时逻辑
            break
        res = requests.post(url, data=data).json()
        if 'data' in res:
            return res
    return ''

# 解密
def decrypt(params: str):
    res = rpc('dec', params)
    print("dec:::res:::{}:::".format(str(res)))
    return json.dumps({'data': res['data'], 'responseCode': res['responseCode'], 'responseDesc': res['responseDesc']})

# 加密
def encrypt(params: str):
    res = rpc('enc', params)
    return res['data']

# 修改请求
def request(flow):
    method = flow.request.method
    if method == "GET":
        flow.request.url = flow.request.url.split("?", 1)[0] + "?" + encrypt(urllib.parse.unquote(flow.request.url.split("?", 1)[1]))
        print('GET')
    elif method == "POST":
        flow.request.text = encrypt(flow.request.text)

# 修改响应
def response(flow):
    body = flow.response.content.decode('utf-8')
    if flow.response.status_code == 200:
        flow.response.text = decrypt(body)

埋坑(框架bug):

  1. 实际操作时会出现RPC handler undefined异常,暂未探究具体原因,个人解决方法是在中间脚本里轮询RPC,判断是否正常调用:
count = 0
while 1:
   count += 1
   res = requests.post(api, json=jsonObj).json()
   print(count)
   if 'data' in res:
      break
  1. 解密RPC的响应长这样:
    {‘clientId’: ‘5af6b925-aa77-7184-dae5-1bfe289b7b21’, ‘data’: {‘verifyCode’: ‘/9w/UUAf/9k=’, ‘verifyId’: ‘654054282479276032’}, ‘responseCode’: ‘success’, ‘responseDesc’: ‘success’, ‘status’: 0}
    这就导致起初直接拿data无法正常进入前端逻辑(序列化结果与原字串存在差异,嵌套json被提出来了),因此中间脚本返回时需要加上后面两个字段:‘responseCode’和’responseDesc’。(进分析是由于客户端处理时的偏差,没有把响应的数据正确的全部作为data属性的值,可以修改客户端代码,这里处理方法是把加解密的结果b64打包了一下)

古早文档,代码部分已全量改进,先不放了,没时间改了,马上要去看电影了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/840895.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

B站电商分析,如何发现近期热门商品及优质视频带货达人?

哔哩哔哩是我们熟知的以二次元为基调的视频内容生产平台&#xff0c;具有浓厚而专注的二次元社区氛围&#xff0c;随着b站的迅猛发展&#xff0c;b站由原先的二次元市场逐渐扩张到电子竞技、美妆、生活、纪录片等多个领域。而b站的营收主要来自平台广告变现&#xff0c;内容付费…

python爬虫2:requests库-原理

python爬虫2&#xff1a;requests库-原理 前言 ​ python实现网络爬虫非常简单&#xff0c;只需要掌握一定的基础知识和一定的库使用技巧即可。本系列目标旨在梳理相关知识点&#xff0c;方便以后复习。 目录结构 文章目录 python爬虫2&#xff1a;requests库-原理1. 概述2. re…

JSP实训项目设计报告—MVC简易购物商城

JSP实训项目设计报告—MVC简易购物商城 文章目录 JSP实训项目设计报告—MVC简易购物商城设计目的设计要求设计思路系统要求单点登录模块商品展示模块购物车展示模块 概要设计Model层View层Controller层 详细设计Model层View层登录界面系统主界面 Controller层 系统运行效果项目…

基于Orangepi 3 lts 的云台相机

利用orangepi 3 lts 和arduino nano 制作了一个云台相机&#xff0c;可用于室内监控。 硬件&#xff1a; orangepi 3 ,arduino nano ,usb相机&#xff0c;180度舵机两个 WeChat_20230806213004 软件&#xff1a; 整体采用mqtt进行消息的中转。 相机采用python 利用opencv…

PAT(Advanced Level)刷题指南 —— 第四弹

一、1104 Sum of Number Segments 1. 问题描述 2. Sample Input 4 0.1 0.2 0.3 0.43. Sample Output 5.004. 题解 思路:打表,比如4个数,第一个数出现1*(4) = 4次,第二个数出现2*(4 - 1) 

以太网协议学习笔记

以太网接口电路主要由MAC&#xff08;Media Access Control&#xff09;控制器和物理层接口PHY两大部分构成。 PHY在发送数据时&#xff0c;接收MAC发过来的数据&#xff0c;把并行的数据转化为串行流数据&#xff0c;按照物理层的编码规则把数据编码转化为模拟信号发送出去&am…

【Opencv入门到项目实战】(一):Opencv安装及图像基本操作

文章目录 0.Opencv介绍及环境配置1.图像读取1.1 彩色图像读取1.2 灰色图像读取 2.视频读取3.ROI读取3.1 图形切片处理3.2 提取颜色通道 4.图像填充5.数值运算与图像融合5.1 加法运算5.2 图像融合 6. 总结 0.Opencv介绍及环境配置 OpenCV是一个强大的计算机视觉库&#xff0c;它…

Dockerfile部署golang

使用go镜像打包&#xff0c;运行在容器内 redis和mysql用外部的 项目目录结构 w1go项目&#xff1a; Dockerfile # 这种方式是docker项目加上 本地的mysql和redis环境 # go打包的容器 FROM golang:alpine AS builder# 为我们镜像设置一些必要的环境变量 ENV GO111MODULEon …

Maven-生命周期及命令

关于本文 ✍写作原因 之前在学校学习的时候&#xff0c;编写代码使用的项目都是单体架构&#xff0c;导入开源框架依赖时只需要在pom.xml里面添加依赖&#xff0c;点一下reload按钮即可解决大部分需求&#xff1b;但是在公司使用了dubbo微服务架构之后发现只知道使用reload不足…

编织代码的魔法:掌握Python字符串常用函数的奥秘!

在Python的编程世界里&#xff0c;字符串是你与计算机对话的语言&#xff0c;掌握字符串常用函数就像拥有了一把强大的魔杖&#xff0c;可以编织出令人惊叹的代码魔法。无论你是初学者还是有经验的开发者&#xff0c;本篇博客将带你深入探索Python字符串常用函数&#xff0c;揭…

(学习笔记-进程管理)线程

在早期的操作系统都是以进程为独立运行的基本单位&#xff0c;直到后面&#xff0c;计算机科学家们提出了更小的能独立运行的基本单位&#xff1a;线程 为什么使用线程? 举个例子&#xff0c;假设要编写一个视频播放软件&#xff0c;那么软件功能的核心模块有三个&#xff1a…

机器学习笔记:李宏毅ChatGPT课程1:刨析ChatGPT

ChatGPT——Chat Generative Pre-trained Transformer 1 文字接龙 每次输出一个概率分布&#xff0c;根据概率sample一个答案 ——>因为是根据概率采样&#xff0c;所以ChatGPT每次的答案是不一样的&#xff08;把生成式学习拆分成多个分类问题&#xff09;将生成的答案加到…

【Linux】总结1-命令工具

文章目录 基础指令shell命令以及运行原理Linux权限粘滞位工具 基础指令 ls、pwd、touch、mkdir、netstat、cp、mv、cd、tar、zip、unzip、grep、pstack、ps、rm、cat、more、less、head、tail、find、ulimit -a、clear、whoami、man touch&#xff1a;创建文件&#xff0c;也包…

怎么合并多个视频?简单视频合并方法分享

合并多个视频可以将它们组合成一个更长的视频&#xff0c;这对于需要播放多个短视频的情况非常有用。此外&#xff0c;合并视频还可以使视频编辑过程更加高效&#xff0c;因为不必将多个独立的视频文件分别处理。最后&#xff0c;合并视频可以减少文件数量&#xff0c;从而使整…

移动开发最佳实践:为 Android 和 iOS 构建成功应用的策略

您可以将本文作为指南&#xff0c;确保您的应用程序符合可行的最重要标准。请注意&#xff0c;这份清单远非详尽无遗&#xff1b;您可以加以利用&#xff0c;并添加一些自己的见解。 了解您的目标受众 要制作一个成功的应用程序&#xff0c;你需要了解你是为谁制作的。从创建…

Vue2 第二十一节 Vue UI组件库

移动端常用UI组件 1. Vant https://youzan.github.io/vant 2. Cube UI https://didi.github.io/cube-ui 3. Mint UI http://mint-ui.github.io PC端常用UI组件 1. Element UI https://element.eleme.cn 2. IView UI https://www.iviewui.com 一. Element UI 的引入和使…

cordova 12 编译失败Could not find method compile() for arguments [com....]

问题&#xff1a; Could not find method compile() for arguments [com.tencent.mm.opensdk:wechat-sdk-android-with-mta:] on object of type org.gradle.api.internal.artifacts.dsl.dependencies.DefaultDependencyHandler. 问题原因&#xff1a; 在Cordova项目中&…

Qt之C++

Qt之C 类的定义 C语言的灵魂是指针 C的灵魂是类&#xff0c;类可以看出C语言结构体的升级版&#xff0c;类的成员可以是变量&#xff0c;也可是函数。 class Box { public://确定类成员的访问属性double length;//长double breadth;//宽度double heigth;//高度 };定义对象 …

mysql-数据库-创建列表

一.创建列表 1..首先&#xff0c;进入mysql数据库 -->mysql -uroot -p 2. 其次&#xff0c;mysql默认的数据库类型为mydb&#xff0c;这时候&#xff0c;就得查看现在使用的类型 mysql> select database(); 3. 如果创建的类型不同&#xff0c;则使用create database …

tensorboard无法显示数据的几个原因与解决方案【已解决】

本博客记录本人在学习tensorboard时关于浏览器无法显示数据问题的解决方案。该问题也算是折磨本人长达3个小时&#xff0c;我也相信有不少人为此感到苦恼&#xff0c;希望本文能给你提供某些帮助。 1.确保电脑与logs路径名称为英文 首先需要确保电脑名称为英文&#xff0c;否则…