【逆向安全】当程序猿爆破遇到JS加密应该如何解决问题?

在贯入试验过程中,遇到着陆界面时,首先想到的是爆破。如果系统在传输数据时没有任何加密,并且不使用 captcha,那么仍然有很大的成功机会。但是如果你使用验证码,当用户名或密码被 JS 加密时,怎么爆炸呢?

%title插图%num

常用的方法有:

简单的验证码,可以通过 Python 库识别;

加密的数据,通常通过审计加密的方法,然后重新计算,然后爆破。

个人项目经验:

在深入某国有企业单位时,我们经常会发现以下网址:

JS 加密的网站不是由同一个人开发的,所以很难用普通的审计加密算法来爆炸。结合以上原因,干脆直接忽略 JS 加密算法,通过 Python 库,使用网站 JS 加密文件直接加密密码字典。然后开始操作

Python JS库:execjs

安装execjs

pip install PyExecJS

或者

easy_install PyExecJS

安装JS环境依赖PhantomJS

brew cask install phantomjs
1611133688_6007f2f8b8c6c03d702fb.png!small?1611133689065

execjs的简单使用

>>> import execjs<br>>>> execjs.eval("'red yellow blue'.split(' ')")<br>['red', 'yellow', 'blue']<br>>>> ctx = execjs.compile("""<br>...   function add(x, y) {<br>...     return x + y;<br>...   }<br>... """)<br>>>> ctx.call("add", 1, 2)<br>3

Python脚本简单实现js加密

网上搬的js加密文件

*@param username<br>*@param passwordOrgin<br>*@return encrypt password for $username who use orign password $passwordOrgin<br>*<br>**/<br>​<br>function encrypt(username, passwordOrgin) {<br>return hex_sha1(username+hex_sha1(passwordOrgin));<br>}<br>​<br>​<br>function hex_sha1(s, hexcase) {<br>if (!(arguments) || !(arguments.length) || arguments.length < 1) {<br>return binb2hex(core_sha1(AlignSHA1("aiact@163.com")), true);<br>} else {<br>if (arguments.length == 1) {<br>return binb2hex(core_sha1(AlignSHA1(arguments[0])), true);<br>} else {<br>return binb2hex(core_sha1(AlignSHA1(arguments[0])), arguments[1]);<br>}<br>}<br>// return binb2hex(core_sha1(AlignSHA1(s)),hexcase);<br>}<br>/**/<br>/*<br>\* Perform a simple self-test to see if the VM is working<br>*/<br>function sha1_vm_test() {<br>return hex_sha1("abc",false) == "a9993e364706816aba3e25717850c26c9cd0d89d";<br>}<br>/**/<br>/*<br>\* Calculate the SHA-1 of an array of big-endian words, and a bit length<br>*/<br>function core_sha1(blockArray) {<br>var x = blockArray;  //append padding<br>var w = Array(80);<br>var a = 1732584193;<br>var b = -271733879;<br>var c = -1732584194;<br>var d = 271733878;<br>var e = -1009589776;<br>for (var i = 0; i < x.length; i += 16) {  //每次处理512位 16*32<br>var olda = a;<br>var oldb = b;<br>var oldc = c;<br>var oldd = d;<br>var olde = e;<br>for (var j = 0; j < 80; j += 1) {  //对每个512位进行80步操作<br>if (j < 16) {<br>w[j] = x[i + j];<br>} else {<br>w[j] = rol(w[j - 3] ^ w[j - 8] ^ w[j - 14] ^ w[j - 16], 1);<br>}<br>var t = safe_add(safe_add(rol(a, 5), sha1_ft(j, b, c, d)), safe_add(safe_add(e, w[j]), sha1_kt(j)));<br>e = d;<br>d = c;<br>c = rol(b, 30);<br>b = a;<br>a = t;<br>}<br>a = safe_add(a, olda);<br>b = safe_add(b, oldb);<br>c = safe_add(c, oldc);<br>d = safe_add(d, oldd);<br>e = safe_add(e, olde);<br>}<br>return new Array(a, b, c, d, e);<br>}<br>/**/<br>/*<br>\* Perform the appropriate triplet combination function for the current iteration<br>\* 返回对应F函数的值<br>*/<br>function sha1_ft(t, b, c, d) {<br>if (t < 20) {<br>return (b & c) | ((~b) & d);<br>}<br>if (t < 40) {<br>return b ^ c ^ d;<br>}<br>if (t < 60) {<br>return (b & c) | (b & d) | (c & d);<br>}<br>return b ^ c ^ d;  //t<80<br>}<br>/**/<br>/*<br>​<br>\* Determine the appropriate additive constant for the current iteration<br>\* 返回对应的Kt值<br>*/<br>function sha1_kt(t) {<br>return (t < 20) ? 1518500249 : (t < 40) ? 1859775393 : (t < 60) ? -1894007588 : -899497514;<br>}<br>/**/<br>/*<br>\* Add integers, wrapping at 2^32. This uses 16-bit operations internally<br>\* to work around bugs in some JS interpreters.<br>\* 将32位数拆成高16位和低16位分别进行相加,从而实现 MOD 2^32 的加法<br>*/<br>function safe_add(x, y) {<br>var lsw = (x & 65535) + (y & 65535);<br>var msw = (x >> 16) + (y >> 16) + (lsw >> 16);<br>return (msw << 16) | (lsw & 65535);<br>}<br>/**/<br>/*<br>\* Bitwise rotate a 32-bit number to the left.<br>\* 32位二进制数循环左移<br>*/<br>function rol(num, cnt) {<br>return (num << cnt) | (num >>> (32 - cnt));<br>}<br>/**/<br>/*<br>​<br>\* The standard SHA1 needs the input string to fit into a block<br>​<br>\* This function align the input string to meet the requirement<br>​<br>*/<br>function AlignSHA1(str) {<br>var nblk = ((str.length + 8) >> 6) + 1, blks = new Array(nblk * 16);<br>for (var i = 0; i < nblk * 16; i += 1) {<br>blks[i] = 0;<br>}<br>for (i = 0; i < str.length; i += 1) {<br>blks[i >> 2] |= str.charCodeAt(i) << (24 - (i & 3) * 8);<br>}<br>blks[i >> 2] |= 128 << (24 - (i & 3) * 8);<br>blks[nblk * 16 - 1] = str.length * 8;<br>return blks;<br>}<br>/**/<br>/*<br>\* Convert an array of big-endian words to a hex string.<br>*/<br>function binb2hex(binarray, hexcase) {<br>var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";<br>var str = "";<br>for (var i = 0; i < binarray.length * 4; i += 1) {<br>str += hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8 + 4)) & 15) + hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8)) & 15);<br>}<br>return str;<br>} 

简单加密python文件

#coding:utf-8<br>import execjs<br>​<br>with open ('enpassword.js','r') as strjs:<br>src = strjs.read()<br>phantom = execjs.get('PhantomJS')  #调用JS依赖环境<br>getpass = phantom.compile(src)     #编译执行js脚本<br>mypass = getpass.call('encrypt', 'admin','admin') <br>print(mypass)                      #输出密码

执行脚本,输出加密后的密文

1611133741_6007f32d7a4168c779dd8.png!small?1611133741810.

简单优化脚本

添加批量加密功能

def Encode(jsfile, username, passfile):<br>​<br>print("[+] 正在进行加密,请稍后......")<br>with open (jsfile,'r') as strjs:<br>src = strjs.read()<br>phantom = execjs.get('PhantomJS') #调用JS依赖环境<br>getpass = phantom.compile(src)  #编译执行js脚本<br>with open(passfile, 'r') as strpass:<br>for passwd in strpass.readlines():<br>passwd = passwd.strip()<br>mypass = getpass.call('encrypt', username, passwd)  #传递参数<br>with open("pass_encode.txt", 'a+') as p:<br>p.write(mypass+"\n")<br>print("\033[1;33;40m [+] 加密完成")

传递三个参数,分别是js加密文件,用户名,密码。通过循环对密码文件读取加密,然后将密文写入新建的文件pass_encode.txt内。

优化单个密码加密功能

def passstring(jsfile, username, password):<br>print("[+] 正在进行加密,请稍后......")<br>with open (jsfile,'r') as strjs:<br>src = strjs.read()<br>phantom = execjs.get('PhantomJS')   #调用JS依赖环境<br>getpass = phantom.compile(src)     #编译执行js脚本<br>mypass = getpass.call('encrypt', username, password)    #传递参数<br>print("\033[1;33;40m[+] 加密完成:{}".format(mypass))

测试脚本加密结果和web结果是否相同,可利用此方法进行验证。

完整加密脚本

#coding:utf-8
import execjs
import click

def info():
    print("\033[1;33;40m [+]============================================================")
    print("\033[1;33;40m [+] Python调用JS加密password文件内容                          =")
    print("\033[1;33;40m [+] Explain: YaunSky                                          =")
    print("\033[1;33;40m [+] https://github.com/yaunsky                                =")
    print("\033[1;33;40m [+]============================================================")
    print("                                                                             ")

#对密码文件进行加密  密文在当前目录下的pass_encode.txt中

def Encode(jsfile, username, passfile):
    print("[+] 正在进行加密,请稍后......")
    with open (jsfile,'r') as strjs:
        src = strjs.read()
        phantom = execjs.get('PhantomJS')   #调用JS依赖环境
        getpass = phantom.compile(src)  #编译执行js脚本
        with open(passfile, 'r') as strpass:
            for passwd in strpass.readlines():
                passwd = passwd.strip()
                mypass = getpass.call('encrypt', username, passwd)  #传递参数
                with open("pass_encode.txt", 'a+') as p:
                    p.write(mypass+"\n")
            print("\033[1;33;40m [+] 加密完成")

#对单一密码进行加密
def passstring(jsfile, username, password):
    print("[+] 正在进行加密,请稍后......")
    with open (jsfile,'r') as strjs:
        src = strjs.read()
        phantom = execjs.get('PhantomJS')   #调用JS依赖环境
        getpass = phantom.compile(src)  #编译执行js脚本
        mypass = getpass.call('encrypt', username, password)    #传递参数
        print("\033[1;33;40m[+] 加密完成:{}".format(mypass))

@click.command()
@click.option("-J", "--jsfile", help='JS 加密文件')
@click.option("-u", "--username", help="登陆用户名")
@click.option("-P", "--passfile", help="明文密码文件")
@click.option("-p", "--password", help="明文密码字符串")
def main(jsfile, username, passfile, password):
    info()
    if jsfile != None and passfile != None and username != None:
        Encode(jsfile, username, passfile)
    elif jsfile != None and password != None and username != None:
        passstring(jsfile, username, password)
    else:
        print("python3 encode.py --help")

if __name__ == "__main__":
    main()

测试脚本

使用脚本

1611133928_6007f3e83a3d8cca08544.png!small?1611133928658.

单一密码加密

1611133958_6007f40656d146b80e165.png!small?1611133959036.

密码文件加密

1611133984_6007f420796268cc27d53.png!small?1611133986996.

存在的问题

加密所用时间过长

一个明文密码文件少则几千,多则上万。使用现在的脚本加密,需要很长很长的时间。需要添加多线程

添加多线程

t = threading.Thread(target=Encode, args=(jsfile, username, passfile))
t.start()

针对不同的JS加密方法

以上方法使用的脚本,仅适用于上述js文件加密方法。每个系统的加密方法大多数还是不同的。不管是相同还是不同,尽管讲js文件搬下来。然后通过python来调用加密。为适应其他js加密文件,提供模版一份:

def Encode(参数1, 参数2, 参数3, ...):
    print("[+] 正在进行加密,请稍后......")
    with open (JS加密文件,'r') as strjs:
    src = strjs.read()
    phantom = execjs.get('PhantomJS')  
    getpass = phantom.compile(src) 
    with open(参数, 'r') as strpass:        # 参数:明文密码文件,进行遍历加密
        for passwd in strpass.readlines():
            passwd = passwd.strip()
            mypass = getpass.call(JS加密文件中的加密函数, 参数, 参数, ...)  # 参数:JS加密文件中加密函数所需要的参数值
            with open("pass_encode.txt", 'a+') as p:
                p.write(mypass+"\n")
                print("\033[1;33;40m [+] 加密完成")

项目地址:https://github.com/yaunsky/passToJs

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
大佬不来一句? 抢沙发

请登录后发表评论