前言
在一次渗透测试过程中,偶然发现了返回包里面出现了加密算法,在查询诸多资料之后,费劲千辛万苦,又使用编码后的密码进行反推,最终写下这篇文章,本人实在是没有取标题的天赋,只能将for循环作为代码的分界来取标题,文章写出不易,感谢各位师傅的观看。
一、追踪加密函数
打开测试网站,仔细观察返回包中发现username和password两个参数调用了getBase64Data函数。
在返回包下面使用搜索getBase64Data函数,发现对应的加密算法。
二、for循环之前的函数解读
代码为:
function getBase64Data(data){ var base = new Base64(); var newDataArr = []; //form data is json object var formDataArr = base.encode(JSON.stringify(data)).split(""); var forLength = formDataArr.length * 2; for (var i = 0; i < forLength; i++) { if (formDataArr.length == 0) { break; } else { if (!(i % 2)) { newDataArr.push(Math.random().toString(36).slice(-1)); } else { newDataArr.push(formDataArr[formDataArr.length - 1]); formDataArr.pop(); } } } var h = Math.random().toString(36).substr(2, 4); var f = Math.random().toString(36).substr(2, 8); return h + newDataArr.join("") + f; }
首先我们来解读一下这段代码,其中创建了两个数组对象,分别为newDataArr和formDataArr,我们看看结尾return返回了newDataArr,说明newDataArr才是我们要注意的变量,fromDataArr是中间过渡需要用的变量。
其中var formDataArr = base.encode(JSON.stringify(data)).split(“”),这段代码首先对传过来的参数使用了JSON.stringify()方法,该方法用于将 JavaScript 值转换为 JSON 字符串,这个只是对传过来的值做了引号引起来,然后使用base()来做base64编码,最后使用了split(separator,limit)方法将base64编码后的字符串拆分成一个数组,如果把空字符串 (“”) 用作 separator,那么 stringObject 中的每个字符之间都会被分割。
也就是说我们从前端输入一个账号user10,先是对user10做了双引号引起来成了”user10″,然后在做base64编码成了InVzZXIxMCI=,这个等号在加密后没看出来,在加密算法也没看出去除等号,查了base64编码资料发现=可忽略。
参照资料:
Base64编码要求把3个8位字节(3*8=24)转化为4个6位的字节(4*6=24),之后在6位的前面补两个0,形成8位一个字节的形式。 如果剩下的字符不足3个字节,则用0填充,输出字符使用’=’,因此编码后输出的文本末尾可能会出现1或2个’=’。
三、for循环的解读
继续往下看代码,var forLength = formDataArr.length * 2,这段代码定义了数组的长度,用于后面的for循环,乘以2也是让循环能够执行完,因为for循环里面有个break跳出终止,如果formDataArr.length == 0的话,循环会终止。
for (var i = 0; i < forLength; i++) { if (formDataArr.length == 0) { break; } else { if (!(i % 2)) { newDataArr.push(Math.random().toString(36).slice(-1)); } else { newDataArr.push(formDataArr[formDataArr.length - 1]); formDataArr.pop(); } } }
接下来再查看for循环执行了什么内容,for循环使用forLength为循环最大值,而且formDataArr.length == 0时会跳出,如果不跳出的情况下执行一个条件语句,这个条件语句为:如果i是奇数的话生成一个随机数插入到newDataArr数组里面,其中slice(-1)意思是截取最后一个字符,push() 方法是向数组的末尾添加一个或多个元素,意思是说i是奇数的话会往newDataArr里面输入一个随机字符,而i是偶数的情况下,会将formDataArr[formDataArr.length – 1]也就是formDataArr的最后一位字符输入newDataArr,由于使用了pop()方法,这个方法是删除最后一个字符,也就是说下一次循环就会得到formDataArr里面的倒数第二个字符了,以此类推,将formDataArr数组里面的字符全部写进去newDataArr里面。
考虑到栈入栈出的问题,push()方法会在栈顶(数组的尾部)添加指定的元素,也就是说即使是从后往前添加formDataArr的字符串(formDataArr也就是前端传进来的做了base64编码的字符串使用split()方法形成的数组),push()方法也是先加到newDataArr的尾部从后往前添加,加密后的顺序没有改变的。
四、for循环之后的函数解读
var h = Math.random().toString(36).substr(2, 4); var f = Math.random().toString(36).substr(2, 8); return h + newDataArr.join("") + f;
最后我们看这段代码Math.random().toString(36).substr(2, 4),这个参考了文章,里面没提到toString(36)是什么意思,这个是输出36进制的意思,然后使用了substr()方法从第2位截取4个长度的字符赋值给h,截取8个长度的字符赋值给f,这个Math.random()是一个随机数,其实这些都不用太过考虑,参考文章中这个Math.random().toString(36)说明它可以输出16或者17个随机字符串,也就是说不管是4个还是8个字符串都是够截取的。看最后一串代码是return h + newDataArr.join(“”) + f,也就是说加密后的密码只要去掉前面的4位和后面的8位就可以得到newDataArr.join(“”)了,join(separator)用于把数组中的所有元素转换一个字符串,其中separator指定要使用的分隔符。如果省略该参数,则使用逗号作为分隔符。
接下来我使用了burpsuite对目标抓取前端输入了用户名user10之后,得到了以下3组加密后的字符串:
7kv5bIvndVczhZcXhIfxsMuCwI121wwl12 fuh7jIinkVpztZ6XxI5x9MtC6In0zobdxj awjwhI4n8VwzdZeXqIvxkM3CeI9pvs94cc
获得多组字符串是为了验证这个结果是否正确,去掉前面4位和后面的8位随机数之后得到:
bIvndVczhZcXhIfxsMuCwI jIinkVpztZ6XxI5x9MtC6I hI4n8VwzdZeXqIvxkM3CeI
根据循环得出奇数只是随机数,偶数才是编码后的字符串,去掉奇数位之后得到了lnVzZXlxMCl,再使用base64解码之后即可得到”user10″,因为这个是使用了JSON.stringify()方法,该方法用于将 JavaScript 值转换为 JSON 字符串,所以去掉双引号之后即可得到user10了。
后续
其实javascript很多方法我也不是很懂,文章是从前面分析,解密的思路却是我一步步逆推回去的,首先是看到Math.random().toString(36)这个函数,因为这个函数影响了最后的return输出的值,然后查了文章才发现是一个随机数而已,加密后的字符串在前面和后面的加上了同等数量的字符串,那么减去就可以了,然后再去思考for循环的内容了,这里还是可以看出for循环想要执行的内容的,奇数为随机数,偶数才要用到formDataArr,所以最终加密的去掉奇数位的数字就可以了,可是最终得到的结果是lnVzZXlxMCl,然后我去查了这个JSON.stringify(),才知道是对输入的内容加了双引号,当时还因为循环的执行思考了半天,因为这个push()方法的栈入栈出问题,从formDataArr里面由后往前取字符,然后往newDataArr里面也是由后往前放,所以加密后的字符串顺序没有变化。
来源:freebuf.com 2021-01-20 18:56:56 by: lidasimida
请登录后发表评论
注册