设为首页 收藏本站

QQ登录

只需一步,快速开始

切换到宽版 切换风格

电脑疯子技术论坛|电脑极客社区

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 电脑教程分享 帖子
微信扫一扫 分享朋友圈

已有 1917 人浏览分享

当爆破遇到JS加密

[复制链接]
1917 0
简述

渗透测试过程中 在遇到登陆界面的时候 第一想到的就是爆破。如果系统在传输数据时没有任何加密没有使用
验证码时 还有很大机会爆破成功呢。但是如果使用了验证码切用户名或密码被js加密时 该如何爆破呢?
通常使用的方法:
简单的验证码 可以通过python库进行识别;

加密的数据 往往会通过审计加密方法 然后进行重新计算后 再进行爆破。

个人项目经历 在某国企单位驻场渗透时 经常发现以下情况的站点:

1、 登陆界面password数据通过js加密;

2、 使用验证码 但大多数系统的验证码可以重复利用
Js加密的站点 由于不是同一个人开发的 使用常用审计加密算法的方法去爆破无疑给自己增加难度
结合上述种种原因,索性直接不管js加密算法 通过python库 利用网站js加密文件直接对密码字典
进行加密。然后通过burp爆破!

Python JS库:execjs

安装execjs
  1. pip install PyExecJS
复制代码

或者
  1. easy_install PyExecJS
复制代码

安装JS环境依赖PhantomJS
  1. brew cask install phantomjs
复制代码

66.JPG

execjs的简单使用
  1. >>> import execjs
  2. >>> execjs.eval("'red yellow blue'.split(' ')")
  3. ['red', 'yellow', 'blue']
  4. >>> ctx = execjs.compile("""
  5. ...   function add(x, y) {
  6. ...     return x + y;
  7. ...   }
  8. ... """)
  9. >>> ctx.call("add", 1, 2)
  10. 3
复制代码

Python脚本简单实现js加密

网上搬的js加密文件
  1. *@param username
  2. *@param passwordOrgin
  3. *@return encrypt password for $username who use orign password $passwordOrgin
  4. *
  5. **/

  7. function encrypt(username, passwordOrgin) {
  8. return hex_sha1(username+hex_sha1(passwordOrgin));
  9. }


  12. function hex_sha1(s, hexcase) {
  13. if (!(arguments) || !(arguments.length) || arguments.length < 1) {
  14. return binb2hex(core_sha1(AlignSHA1("aiact@163.com")), true);
  15. } else {
  16. if (arguments.length == 1) {
  17. return binb2hex(core_sha1(AlignSHA1(arguments[0])), true);
  18. } else {
  19. return binb2hex(core_sha1(AlignSHA1(arguments[0])), arguments[1]);
  20. }
  21. }
  22. // return binb2hex(core_sha1(AlignSHA1(s)),hexcase);
  23. }
  24. /**/
  25. /*
  26. \* Perform a simple self-test to see if the VM is working
  27. */
  28. function sha1_vm_test() {
  29. return hex_sha1("abc",false) == "a9993e364706816aba3e25717850c26c9cd0d89d";
  30. }
  31. /**/
  32. /*
  33. \* Calculate the SHA-1 of an array of big-endian words, and a bit length
  34. */
  35. function core_sha1(blockArray) {
  36. var x = blockArray;  //append padding
  37. var w = Array(80);
  38. var a = 1732584193;
  39. var b = -271733879;
  40. var c = -1732584194;
  41. var d = 271733878;
  42. var e = -1009589776;
  43. for (var i = 0; i < x.length; i += 16) {  //每次处理512位 16*32
  44. var olda = a;
  45. var oldb = b;
  46. var oldc = c;
  47. var oldd = d;
  48. var olde = e;
  49. for (var j = 0; j < 80; j += 1) {  //对每个512位进行80步操作
  50. if (j < 16) {
  51. w[j] = x[i + j];
  52. } else {
  53. w[j] = rol(w[j - 3] ^ w[j - 8] ^ w[j - 14] ^ w[j - 16], 1);
  54. }
  55. var t = safe_add(safe_add(rol(a, 5), sha1_ft(j, b, c, d)), safe_add(safe_add(e, w[j]), sha1_kt(j)));
  56. e = d;
  57. d = c;
  58. c = rol(b, 30);
  59. b = a;
  60. a = t;
  61. }
  62. a = safe_add(a, olda);
  63. b = safe_add(b, oldb);
  64. c = safe_add(c, oldc);
  65. d = safe_add(d, oldd);
  66. e = safe_add(e, olde);
  67. }
  68. return new Array(a, b, c, d, e);
  69. }
  70. /**/
  71. /*
  72. \* Perform the appropriate triplet combination function for the current iteration
  73. \* 返回对应F函数的值
  74. */
  75. function sha1_ft(t, b, c, d) {
  76. if (t < 20) {
  77. return (b & c) | ((~b) & d);
  78. }
  79. if (t < 40) {
  80. return b ^ c ^ d;
  81. }
  82. if (t < 60) {
  83. return (b & c) | (b & d) | (c & d);
  84. }
  85. return b ^ c ^ d;  //t<80
  86. }
  87. /**/
  88. /*

  90. \* Determine the appropriate additive constant for the current iteration
  91. \* 返回对应的Kt值
  92. */
  93. function sha1_kt(t) {
  94. return (t < 20) ? 1518500249 : (t < 40) ? 1859775393 : (t < 60) ? -1894007588 : -899497514;
  95. }
  96. /**/
  97. /*
  98. \* Add integers, wrapping at 2^32. This uses 16-bit operations internally
  99. \* to work around bugs in some JS interpreters.
  100. \* 将32位数拆成高16位和低16位分别进行相加,从而实现 MOD 2^32 的加法
  101. */
  102. function safe_add(x, y) {
  103. var lsw = (x & 65535) + (y & 65535);
  104. var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
  105. return (msw << 16) | (lsw & 65535);
  106. }
  107. /**/
  108. /*
  109. \* Bitwise rotate a 32-bit number to the left.
  110. \* 32位二进制数循环左移
  111. */
  112. function rol(num, cnt) {
  113. return (num << cnt) | (num >>> (32 - cnt));
  114. }
  115. /**/
  116. /*

  118. \* The standard SHA1 needs the input string to fit into a block

  120. \* This function align the input string to meet the requirement

  122. */
  123. function AlignSHA1(str) {
  124. var nblk = ((str.length + 8) >> 6) + 1, blks = new Array(nblk * 16);
  125. for (var i = 0; i < nblk * 16; i += 1) {
  126. blks[i] = 0;
  127. }
  128. for (i = 0; i < str.length; i += 1) {
  129. blks[i >> 2] |= str.charCodeAt(i) << (24 - (i & 3) * 8);
  130. }
  131. blks[i >> 2] |= 128 << (24 - (i & 3) * 8);
  132. blks[nblk * 16 - 1] = str.length * 8;
  133. return blks;
  134. }
  135. /**/
  136. /*
  137. \* Convert an array of big-endian words to a hex string.
  138. */
  139. function binb2hex(binarray, hexcase) {
  140. var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
  141. var str = "";
  142. for (var i = 0; i < binarray.length * 4; i += 1) {
  143. str += hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8 + 4)) & 15) + hex_tab.c
  144. harAt((binarray[i >> 2] >> ((3 - i % 4) * 8)) & 15);
  145. }
  146. return str;
  147. }
复制代码

简单加密python文件
  1. #coding:utf-8
  2. import execjs

  4. with open ('enpassword.js','r') as strjs:
  5. src = strjs.read()
  6. phantom = execjs.get('PhantomJS')  #调用JS依赖环境
  7. getpass = phantom.compile(src)     #编译执行js脚本
  8. mypass = getpass.call('encrypt', 'admin','admin')
  9. print(mypass)                      #输出密码
复制代码

执行脚本 输出加密后的密文
62.JPG

简单优化脚本

添加批量加密功能
  1. def Encode(jsfile, username, passfile):

  3. print("[+] 正在进行加密,请稍后......")
  4. with open (jsfile,'r') as strjs:
  5. src = strjs.read()
  6. phantom = execjs.get('PhantomJS') #调用JS依赖环境
  7. getpass = phantom.compile(src)  #编译执行js脚本
  8. with open(passfile, 'r') as strpass:
  9. for passwd in strpass.readlines():
  10. passwd = passwd.strip()
  11. mypass = getpass.call('encrypt', username, passwd)  #传递参数
  12. with open("pass_encode.txt", 'a+') as p:
  13. p.write(mypass+"\n")
  14. print("\033[1;33;40m [+] 加密完成")
复制代码

传递三个参数 分别是js加密文件 用户名 密码。通过循环对密码文件读取加密
然后将密文写入新建的文件pass_encode.txt内。

优化单个密码加密功能
  1. def passstring(jsfile, username, password):
  2. print("[+] 正在进行加密,请稍后......")
  3. with open (jsfile,'r') as strjs:
  4. src = strjs.read()
  5. phantom = execjs.get('PhantomJS')   #调用JS依赖环境
  6. getpass = phantom.compile(src)     #编译执行js脚本
  7. mypass = getpass.call('encrypt', username, password)    #传递参数
  8. print("\033[1;33;40m[+] 加密完成:{}".format(mypass))
复制代码

测试脚本加密结果和web结果是否相同 可利用此方法进行验证。

完整加密脚本
  1. #coding:utf-8
  2. import execjs
  3. import click

  5. def info():
  6.     print("\033[1;33;40m [+]======================================
  7. ======================")
  8.     print("\033[1;33;40m [+] Python调用JS加密password文件内容                          =")
  9.     print("\033[1;33;40m [+] Explain: YaunSky                                          =")
  10.     print("\033[1;33;40m [+] https://github.com/yaunsky                                =")
  11.     print("\033[1;33;40m [+]=====================================
  12. =======================")
  13.     print("                                                                             ")

  15. #对密码文件进行加密  密文在当前目录下的pass_encode.txt中

  17. def Encode(jsfile, username, passfile):
  18.     print("[+] 正在进行加密,请稍后......")
  19.     with open (jsfile,'r') as strjs:
  20.         src = strjs.read()
  21.         phantom = execjs.get('PhantomJS')   #调用JS依赖环境
  22.         getpass = phantom.compile(src)  #编译执行js脚本
  23.         with open(passfile, 'r') as strpass:
  24.             for passwd in strpass.readlines():
  25.                 passwd = passwd.strip()
  26.                 mypass = getpass.call('encrypt', username, passwd)  #传递参数
  27.                 with open("pass_encode.txt", 'a+') as p:
  28.                     p.write(mypass+"\n")
  29.             print("\033[1;33;40m [+] 加密完成")

  31. #对单一密码进行加密
  32. def passstring(jsfile, username, password):
  33.     print("[+] 正在进行加密,请稍后......")
  34.     with open (jsfile,'r') as strjs:
  35.         src = strjs.read()
  36.         phantom = execjs.get('PhantomJS')   #调用JS依赖环境
  37.         getpass = phantom.compile(src)  #编译执行js脚本
  38.         mypass = getpass.call('encrypt', username, password)    #传递参数
  39.         print("\033[1;33;40m[+] 加密完成:{}".format(mypass))

  41. @click.command()
  42. @click.option("-J", "--jsfile", help='JS 加密文件')
  43. @click.option("-u", "--username", help="登陆用户名")
  44. @click.option("-P", "--passfile", help="明文密码文件")
  45. @click.option("-p", "--password", help="明文密码字符串")
  46. def main(jsfile, username, passfile, password):
  47.     info()
  48.     if jsfile != None and passfile != None and username != None:
  49.         Encode(jsfile, username, passfile)
  50.     elif jsfile != None and password != None and username != None:
  51.         passstring(jsfile, username, password)
  52.     else:
  53.         print("python3 encode.py --help")

  55. if __name__ == "__main__":
  56.     main()
复制代码

测试脚本

使用脚本

61.JPG

单一密码加密

60.JPG

密码文件加密

39.JPG

存在的问题

加密所用时间过长

一个明文密码文件少则几千 多则上万。使用现在的脚本加密 需要很长很长的时间。需要添加多线程

添加多线程
  1. t = threading.Thread(target=Encode, args=(jsfile, username, passfile))
  2. t.start()
复制代码

针对不同的JS加密方法

以上方法使用的脚本 仅适用于上述js文件加密方法。每个系统的加密方法大多数还是不同的 不管是相同还是
不同尽管讲js文件搬下来。然后通过python来调用加密。为适应其他js加密文件 提供模版一份:
  1. def Encode(参数1, 参数2, 参数3, ...):
  2.     print("[+] 正在进行加密,请稍后......")
  3.     with open (JS加密文件,'r') as strjs:
  4.     src = strjs.read()
  5.     phantom = execjs.get('PhantomJS')  
  6.     getpass = phantom.compile(src)
  7.     with open(参数, 'r') as strpass:        # 参数:明文密码文件,进行遍历加密
  8.         for passwd in strpass.readlines():
  9.             passwd = passwd.strip()
  10.             mypass = getpass.call(JS加密文件中的加密函数, 参数, 参数, ...)  # 参数:JS加密文件中加密函数所需要的参数值
  11.             with open("pass_encode.txt", 'a+') as p:
  12.                 p.write(mypass+"\n")
  13.                 print("\033[1;33;40m [+] 加密完成")
复制代码

举报

回复
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

zhaorong
VIP荣誉会员

1

关注

0

粉丝

9021

主题
精彩推荐
电脑疯子 GHOST WIN7 X86 快速装机版202001
电脑疯子 GHOST WIN7 X86 快速装机版202001
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子技术论坛GHOST WIN10X64 快速装机版201909
电脑疯子技术论坛GHOST WIN10X64 快速装机
电脑疯子技术论坛GHOST WIN10X86 快速装机版201909
电脑疯子技术论坛GHOST WIN10X86 快速装机
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.