分析网站登录处的加密算法

地球胖头鱼 2020-12-26
Web安全 发布于 2020-12-26 15:07:30 阅读 106 评论 0

在某次渗透过程中,碰到了一个登录的网站。于是随便输了admin/123456进行登录尝试,准备burp抓包,进行爆破。

抓包分析

发现 password 字段进行了加密,粗略一看很像是MD5加密。但是仔细对比,发现123456的MD5值为:

e10adc3949ba59abbe56e057f20f883e

而不是包中的值:

 9f27a19583a386e11dd6b7bb141161fd

所以,就需要分析js代码,判断出该字段的加密方式。

右键检测,切换到 Network 选项,点击登录,抓到一个数据包。没错,就是我们进行登录的数据包。记住密码的字符:password

切换到 Source 选项卡,ctrl+shirt+F 调出全局搜索,搜索 password 字段,如图,找到23个文件中含有该字段。

图片

根据经验,或者一个一个点击文件查看密码登陆处的代码是否在该文件。最终,在 login.vue 文件中找到了密码加密的代码。通过读该 js 代码我们可以知道。password等于MD5(password),而 password又等于encrypt(“我们输入的密码”,”8Vh1Py0Eg8Ks8Ji7”)。所以,其实最终 password 是由两层加密算出来的。第一层先有encrypt()函数加密,然后再将加密后的字符串进行MD5加密,得到最终的password。

我们需要知道 encrypt() 函数是如何进行加密的。我们在这行打断点,重新登录查看。

一步一步单步调试(F11),跟踪代码。最终,在utils.js文件中找到了encrypt()函数。通过读js代码我们知道,encrypt()函数其实就是实现了AES加密。encrypt()函数需要给定两个参数,一个是需要加密的字符word,一个是key值 8Vh1Py0Eg8Ks8Ji7。通过读代码我们知道该AES的加密模式为ECB,而ECB模式是不需要偏移向量的。

我们通过把utils.js里面的aes加密代码拷贝出来,修改之后如下:

// import CryptoJS from 'crypto-js'    这是vue.js里面的写法
var CryptoJS = require("crypto-js");   //node.js里面导入模块

//AES加密
function encrypt(word, keyStr){ 
    keyStr = keyStr ? keyStr : '0102030405060708';
    var key  = CryptoJS.enc.Utf8.parse(keyStr);
    var srcs = CryptoJS.enc.Utf8.parse(word);
    var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
    return encrypted.toString();
  }
//AES解密
function decrypt(word, keyStr){  
    keyStr = keyStr ? keyStr : 'df0f07a7fec84424';
    var key  = CryptoJS.enc.Utf8.parse(keyStr);
    var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
    return CryptoJS.enc.Utf8.stringify(decrypt).toString();
  }
var word="123456";
var key="8Vh1Py0Eg8Ks8Ji7";

data_encode=encrypt(word,key)   //加密后的字符串
console.log(data_encode);    //打印出加密后的字符串
// console.log(decrypt(encrypt(word,key),key))   //打印出解密后的字符
console.log(CryptoJS.MD5(data_encode).toString());

运行结果如下,也就是在该环境下,字符串 123456 的AES加密之后的字符为:

oPZUqC7YO5ysz0mXq1suDw==

其md5值为:

9f27a19583a386e11dd6b7bb141161fd

这也与我们burp抓包的值一致。

图片

图片

代码实现

我们需要通过python调用该nodejs文件来进行爆破,通过execjs库。最终代码如下

AES.js

var CryptoJS = require("crypto-js");   //node.js里面导入模块
//AES加密
function encrypt(word, keyStr){ 
    keyStr = keyStr ? keyStr : '0102030405060708';
    var key  = CryptoJS.enc.Utf8.parse(keyStr);
    var srcs = CryptoJS.enc.Utf8.parse(word);
    var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
    return encrypted.toString();
  }
//AES解密
function decrypt(word, keyStr){  
    keyStr = keyStr ? keyStr : 'df0f07a7fec84424';
    var key  = CryptoJS.enc.Utf8.parse(keyStr);
    var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
    return CryptoJS.enc.Utf8.stringify(decrypt).toString();
  }

1.py

import execjs
import hashlib

f=open("AES.js",encoding="utf-8")
com=execjs.compile(f.read())
encry=com.call("encrypt","123456","8Vh1Py0Eg8Ks8Ji7")  #aes加密后的字符
md5=hashlib.md5(encry.encode("utf-8")).hexdigest()         #对其进行md5加密
print(md5)

运行结果如下。写爆破脚本的时候,我们只需要将其中的字符用字典代理即可。

图片

注意

一般情况,我们是抓不到网站的vue.js文件的,因为正常的网站会在上线前将vue.js编译成js文件,所以我们只能访问到javascript文件。

而本网站中,我们抓到了vue.js文件是因为网站没有将vue.js文件编译打包,导致我们可以直接查看到vue.js文件内容。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章177
  • 作者收获粉丝6
  • 作者收到点赞0
  • 所有文章被收藏了1
  • 博客总访问量排行第2
  • 博客总访问量2.8 万(每日更新)
查看所有博文