美文网首页Web攻防
JsRpc联动Burp绕过前端加密

JsRpc联动Burp绕过前端加密

作者: book4yi | 来源:发表于2024-04-22 01:30 被阅读0次

    前言:


    记录一次前端加密绕过之旅。

    0x01 案情分析:


    开局一个登录页面,发现表单中的密码进行了加密处理,首先要找到加密函数位置,定位相关js代码逻辑,常用的两种方式就是全局搜索关键字或看流量堆栈,个人习惯第一种:

    这里要注意函数作用域的问题,一般情况下我们需要在相应的位置打上断点,等到触发端点时,才可以使用控制台调用该函数:

    为了方便,这个时候我们可以将这个函数设置成全局函数,这样不在debug的时候,我们也可以正常调用:

    window.encryptMD5=this.common.encryptMD5

    这里其实我们已经知道加密方法:md5(base64),不过本次主要是想通过rpc来解决前端加密的问题

    0x02 jsrpc注入:


    项目地址:https://github.com/jxhczhl/JsRpc

    a)将resouces\JsEnv_Dev.js的代码粘贴到控制台执行
    b)启动项目在本地进行监听

    c)注入环境后连接通信:

    var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=qiantai&name=aaa");

    这里的group和name都可以随便填,记住group和name的值

    d)浏览器预先注册js方法:

    // 注册一个方法 第一个参数encryptMD5为方法名,
    // 第二个参数为函数,resolve里面的值是想要的值(发送到服务器的)
    demo.regAction("encryptMD5", function (resolve, param) {
        var strParam = String(param);
        var res = encryptMD5(strParam);
        resolve(res);
    })
    

    e)访问接口,获得js端的返回值:

    http://127.0.0.1:12080/go?group=qiantai&name=aaa&action=encryptMD5&param=123456

    0x03 联动autoDecoder:


    简单流程图:

    代码如下:

    import requests
    import json
    from flask import Flask,Response,request
    from urllib.parse import quote
    
    app = Flask(__name__)  
    url = "http://localhost:12080/go"
    @app.route('/encode',methods=["POST"])  
    def encrypt():  
        param = request.form.get('dataBody')  # 获取  post 参数  
        param_headers = request.form.get('dataHeaders')  # 获取  post 参数  
        param_requestorresponse = request.form.get('requestorresponse')  # 获取  post 参数  
        data = {
            "group": "qiantai",
            "name": "aaa",
            "action": "encryptMD5",
            "param": param
        }
        res = requests.post(url, data=data) #这里换get也是可以的
        encry_param = json.loads(res.text)['data']
        print(encry_param)
        if param_requestorresponse == "request":  
            return param_headers + "\r\n\r\n\r\n\r\n" + encry_param  
        return encry_param
    
    
    
    if __name__ == '__main__':  
        app.debug = True # 设置调试模式,生产模式的时候要关掉debug  
        app.run(host="0.0.0.0",port="8888")
    

    抓包测试下是否调试成功,抓包后选择加密部分右键点击插件Encode即可加密

    0x04 联动mitmproxy:


    使用autoDecoder具备一定的局限性,需要自己选择数据比较麻烦,这时我们考虑使用mitmproxy来开一个上游代理,然后我们就可以自定义经过的请求包。

    pip install mitmproxy
    

    安装完运行程序mitmproxy.exe,然后它会在%USERPROFILE%\.mitmproxy生成证书文件,双击mitmproxy-ca-cert.p12安装证书,默认即可。

    接着编写pthon脚本:

    import json
    import requests
    from mitmproxy import ctx
    
    def get_rpc(param):
        url = "http://127.0.0.1:12080/go"
        data = {
            "group": "qiantai",
            "name": "aaa",
            "action": "encryptMD5",
            "param": param
        }
        result = requests.post(url, data=data)
        return result.json()['data']
    
    
    class Modify:
        def request(self, flow):
            if flow.request.url.startswith("https://xxx.xxx.cn"):
                if flow.request.method == "POST" and flow.request.headers.get("Content-Type") == "application/json":
                    try:
                        json_data = json.loads(flow.request.content.decode())
                    except json.JSONDecodeError:
                        print("Failed to parse request body as JSON.")
                        return
                    if 'password' in json_data:
                        raw_value = json_data['password']
                        json_data['password'] = get_rpc(raw_value)
                        # 更新请求体和Content-Length头
                        flow.request.content = json.dumps(json_data).encode()
                        del flow.request.headers["Content-Length"]
                        flow.request.headers["Content-Length"] = str(len(flow.request.content))
                        print(f"Modified JSON key 'password': {raw_value} -> {get_rpc(raw_value)}")
    
    
    addons = [ Modify() ]
    

    之后运行mitmproxy(注意的是存在三个程序,我们运行的mitmproxy是其中的一个它的优点就是控制台输出信息较为明朗,但是如果存在bug的情况下建议调试使用mitmdump)

    mitmproxy.exe -p 8081 -s .\mitmproxy_rpc.py
    

    然后设置Burp的上游代理:

    最后我们用burp发包,bp上的值没有变是正常的,因为请求经过mitmproxy才会被修改

    参考文章:


    奇安信攻防社区-某众测前端解密学习记录
    【js逆向实战】RPC+mitm - 先知社区

    相关文章

      网友评论

        本文标题:JsRpc联动Burp绕过前端加密

        本文链接:https://www.haomeiwen.com/subject/mcqmxjtx.html