首頁 > 軟體

滲透測試過程中的JS偵錯

2021-05-23 09:00:39

前言

在滲透測試過程中經常會遇到無驗證碼或者驗證碼失效的情況,一但發現這種情況,肯定得進行賬戶密碼的爆破,但抓包後發現,賬戶密碼加密了.....此時的你,是不是已經準備好了放棄?

遇到這種情況不要慌,F12翻翻加密方式,往往會有意外驚喜。

今天在測試過程中就發現了網站使用的AES加密,並且在js程式碼中已經直接給出了加密key和加密向量,通過這些。我們就能自己寫個js小指令碼,去將自己的弱口令字典轉換為加密後的值,然後在進行爆破。

環境準備

windows、node.js

node.js下載地址如下:

https://nodejs.org/dist/v16.2.0/node-v16.2.0-x64.msi雙擊運行,全部next直至安裝結束。

開啟CMD並輸入node,出現互動介面及安裝成功。

正式開搞:

開啟F12,並切換到Network選項下。輸入賬戶密碼,並點選登入,觀察資料包。

發現密碼欄位為password。切換到Source選項卡,ctrl+shift+F 調出全局搜尋框,全局搜尋 password 欄位。

發現在password欄位在login_captcha.js檔案中通過aesEncrypt函數進行加密。全局搜尋aesEncryp。

發現aesEncryp函數的定義同樣在login_captcha.js中,開啟login_captcha.js

在本地新建一個js文件,並將加密方式複製出來儲存。並在函數後新增console.log呼叫aesEncryp函數並輸出加密結果。

console.log(aesEncrypt('admin'));

在cmd中使用node去執行該js檔案。

執行發現報錯了,是CryptoJS沒有找到,返回瀏覽器中,全局搜尋CryptoJS。

發現在core-min.js中定義了CryptoJS。開啟core-min.js,並將CryptoJS定義的內容複製到本地js文件中。

儲存並執行該js指令碼。

執行後發現又一次報錯,是CryptoJS下的parse。繼續全局搜到parse。

發現在aes.js下發現了parse的定義。將aes.js下的內容複製到js指令碼中。

儲存並執行該js指令碼。成功將admin在本地加密。

到這裡就差最後一部,迴圈執行,因為這裡只做簡單的講解,本次迴圈使用一個數組去代理弱口令字典。

var passwords = ['admin', 'admin1', 'admin2', 'admin3'];for (let password of passwords) {console.log(aesEncrypt(password)); }

儲存並執行該js指令碼。

發現成功將陣列中4個值進行了加密並輸出。之後便可使用加密後的值對密碼

進行爆破。

小結

每個登入進行的加密都各不相同。如果出現報錯不能判斷是缺失哪個檔案的話,可以在js中下斷點,然後跟蹤js執行過程,去判斷缺失的內容在哪個js檔案中。

如果覺得本文對你有所幫助,麻煩點個贊在走哦。感謝大家支援。

A good beginning makes a good ending.


相關文章

  • 滲透測試過程中的JS偵錯 滲透測試過程中的JS偵錯

    在本地新建一个js文档,并将加密方式复制出来保存。并在函数后添加console.log调用aesEncryp函数并输出加密结果。console.log(aesEncrypt('admin')); 在cmd中使用node去执行该js文件。执行发现报错了,是CryptoJ

    2021-05-23 09:00:39

  • 寶馬X5評測解析 寶馬X5評測解析

    全景天窗、防晒玻璃、丝绒地板垫、带驾驶员记忆的电动座椅、运动座椅、前热舒适套件、自动防炫目外后视镜、氛围灯、自适应大灯、LED雾灯、远光灯辅助、主动保护辅助、驾驶辅助、主动保护辅助、正面碰撞警告、HiFi 高

    2021-05-23 09:00:26

  • 華為P50 pro配置曝光,網友:iPhone12「不香了」 華為P50 pro配置曝光,網友:iPhone12「不香了」

    原本以为华为空出来的市场会被小米、OV占据,然而让人没想到的是,苹果却成了最大的赢家。据悉,<em>iPhone</em>12系列上市后,苹果连续两个季度的营收超过了1000亿美元,在国内的销量更是多了几倍。不得不说,<em>iPhone</em>12

    2021-05-23 09:00:12

  • 此刻最強「滑蓋直板掌機」GPD WIN 3,讓遊戲豐富您的生活 此刻最強「滑蓋直板掌機」GPD WIN 3,讓遊戲豐富您的生活

    从配置上来看GPD WIN3搭载的是11代Tiger Lake-U系列处理器,采用PC级涡轮风扇双热管散热。图形性能完全由CPU上的核心显卡提供。核心显卡为<em>Intel</em> 12代 Iris Xe Graphics,能够透过Tiger Lake U系列得到充分发挥,

    2021-05-23 08:30:28

  • CHIA如何開更多的圖奇亞幣選擇什麼硬碟好 CHIA如何開更多的圖奇亞幣選擇什麼硬碟好

    Chia币,硬盘挖矿,最近非常火,这使得全网大容量<em>SSD</em>、HDD都被矿工们扫光了。很多玩家想玩硬盘挖矿,而苦于买不到大容量<em>SSD</em>、HDD。所以,我们今天来介绍下,低配电脑如何配置Chia绘图,进行挖矿。阿斯加特大容量

    2021-05-23 07:30:28

  • 又一頭部企業進軍汽車圈!造車蘋果式VS安卓式,誰會勝出? 又一頭部企業進軍汽車圈!造車蘋果式VS安卓式,誰會勝出?

    造车苹果式VS<em>安卓</em>式,谁会胜出? 近年来,越来越多的科技巨头杀入汽车领域。在智能化、数字化的趋势之下,智能电动车的赛道不断迎来新玩家。前有创维,后有美的,家电行业的头部企业也开始逐步进军汽车圈。 美的

    2021-05-23 05:30:19

IT145.com E-mail:sddin#qq.com