JsRpc联动Burp绕过前端加密
前言:
记录一次前端加密绕过之旅。
0x01 案情分析:
开局一个登录页面,发现表单中的密码进行了加密处理,首先要找到加密函数位置,定位相关js代码逻辑,常用的两种方式就是全局搜索关键字或看流量堆栈,个人习惯第一种:
这里要注意函数作用域的问题,一般情况下我们需要在相应的位置打上断点,等到触发端点时,才可以使用控制台调用该函数:
为了方便,这个时候我们可以将这个函数设置成全局函数,这样不在debug的时候,我们也可以正常调用:
window.encryptMD5=this.common.encryptMD5
这里其实我们已经知道加密方法:md5(base64),不过本次主要是想通过rpc来解决前端加密的问题
0x02 jsrpc注入:
项目地址:https://github.com/jxhczhl/JsRpc
a)将resouces\JsEnv_Dev.js的代码粘贴到控制台执行
b)启动项目在本地进行监听
c)注入环境后连接通信:
var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=qiantai&name=aaa");
这里的group和name都可以随便填,记住group和name的值
d)浏览器预先注册js方法:
// 注册一个方法 第一个参数encryptMD5为方法名,
// 第二个参数为函数,resolve里面的值是想要的值(发送到服务器的)
demo.regAction("encryptMD5", function (resolve, param) {
var strParam = String(param);
var res = encryptMD5(strParam);
resolve(res);
})
e)访问接口,获得js端的返回值:
http://127.0.0.1:12080/go?group=qiantai&name=aaa&action=encryptMD5¶m=123456
0x03 联动autoDecoder:
简单流程图:
代码如下:
import requests
import json
from flask import Flask,Response,request
from urllib.parse import quote
app = Flask(__name__)
url = "http://localhost:12080/go"
@app.route('/encode',methods=["POST"])
def encrypt():
param = request.form.get('dataBody') # 获取 post 参数
param_headers = request.form.get('dataHeaders') # 获取 post 参数
param_requestorresponse = request.form.get('requestorresponse') # 获取 post 参数
data = {
"group": "qiantai",
"name": "aaa",
"action": "encryptMD5",
"param": param
}
res = requests.post(url, data=data) #这里换get也是可以的
encry_param = json.loads(res.text)['data']
print(encry_param)
if param_requestorresponse == "request":
return param_headers + "\r\n\r\n\r\n\r\n" + encry_param
return encry_param
if __name__ == '__main__':
app.debug = True # 设置调试模式,生产模式的时候要关掉debug
app.run(host="0.0.0.0",port="8888")
抓包测试下是否调试成功,抓包后选择加密部分右键点击插件Encode即可加密
0x04 联动mitmproxy:
使用autoDecoder具备一定的局限性,需要自己选择数据比较麻烦,这时我们考虑使用mitmproxy来开一个上游代理,然后我们就可以自定义经过的请求包。
pip install mitmproxy
安装完运行程序mitmproxy.exe,然后它会在%USERPROFILE%\.mitmproxy生成证书文件,双击mitmproxy-ca-cert.p12安装证书,默认即可。
接着编写pthon脚本:
import json
import requests
from mitmproxy import ctx
def get_rpc(param):
url = "http://127.0.0.1:12080/go"
data = {
"group": "qiantai",
"name": "aaa",
"action": "encryptMD5",
"param": param
}
result = requests.post(url, data=data)
return result.json()['data']
class Modify:
def request(self, flow):
if flow.request.url.startswith("https://xxx.xxx.cn"):
if flow.request.method == "POST" and flow.request.headers.get("Content-Type") == "application/json":
try:
json_data = json.loads(flow.request.content.decode())
except json.JSONDecodeError:
print("Failed to parse request body as JSON.")
return
if 'password' in json_data:
raw_value = json_data['password']
json_data['password'] = get_rpc(raw_value)
# 更新请求体和Content-Length头
flow.request.content = json.dumps(json_data).encode()
del flow.request.headers["Content-Length"]
flow.request.headers["Content-Length"] = str(len(flow.request.content))
print(f"Modified JSON key 'password': {raw_value} -> {get_rpc(raw_value)}")
addons = [ Modify() ]
之后运行mitmproxy(注意的是存在三个程序,我们运行的mitmproxy是其中的一个它的优点就是控制台输出信息较为明朗,但是如果存在bug的情况下建议调试使用mitmdump)
mitmproxy.exe -p 8081 -s .\mitmproxy_rpc.py
然后设置Burp的上游代理:
最后我们用burp发包,bp上的值没有变是正常的,因为请求经过mitmproxy才会被修改
