记一次微信小步调逆向

小秦哥  金牌会员 | 2024-8-26 20:23:42 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 853|帖子 853|积分 2559

记一次小步调逆向

遇到瓶颈了,不知道该干什么,忽然想到学校的小步调
闲来无事就看一看[doge]
抓包下来的数据是这样的,嗯,下机(hhh


一、反编译步调

加密嘛,之前抓了看到是加密就放弃了,现在重新弄一弄
https://github.com/wux1an/wxapkg
用这个工具反编译当地微信小步调
于是乎拿到js源码看一看


二、AES加密

找到一些信息


AES加密,CBC模式,key和偏移量都拿到了


1)解密

可以解密数据
在线AES加密解密 - 无双工具 (wushuangzl.com)


三、重放

1)sign签名

这边数据包中有个签名值,还有个时间戳timestamp,防止重放,以是要实验知道怎么盘算这个sign值


继续查察源码
找到一处signMD5的调用,应该是md5的盘算


找到i的实现


全局搜索90c5


   SignMD5 函数通过对对象属性进行排序,
并将属性名和属性值拼接成一个字符串,再将签名与该字符串拼接,
终极将整个字符串作为参数通报给 MD5 盘算函数 c 来天生带有签名的 MD5 哈希值。
  大概就是这里了,但代码能力不强,
以是把相干部门代码直接丢给chat,给写个类似的sign签名的脚本
(之前没有js逆向的履历,太菜了)
  1. import hashlib
  2. import json
  4. def sign_md5(data, secret_key):
  5.     # 对数据进行排序并拼接
  6.     sorted_data = sorted(data.items())
  7.     joined_data = ''.join([f'{key}{value}' for key, value in sorted_data])
  9.     # 添加密钥并计算 MD5 哈希值
  10.     joined_data_with_key = joined_data + secret_key
  11.     md5_hash = hashlib.md5(joined_data_with_key.encode()).hexdigest()
  13.     return md5_hash
  15. # 示例数据和密钥
  16. data = {
  17.     "uid": 100123,
  18.     "token": "216A3906F97C26A29EC0FE10F3956692",
  19.     "school_id": 464,
  20.     "term_id": 0,
  21.     "course_id": 0,
  22.     "class_id": 0,
  23.     "student_num": "123",
  24.     "card_id": "123",
  25.     "timestamp": 1713088270,
  26.     "version": 1,
  27.     "nonce": 270406,
  28.     "ostype": 5
  29. }
  30. secret_key = "rDJiNB9j7vD2"
  32. # 计算签名
  33. sign_value = sign_md5(data, secret_key)
  34. print(sign_value)
复制代码
大概过程是将数据按键名排序后,拼接键值
最后加上key进行md5盘算,这样盘算出来的sign值才是正确的
如图所示


2)时间戳

这里还必要注意的是字段中偶然间戳和nonce(随机数)
随机数前三位是时间戳的后三位,以是这里代码也是代劳(怎样代码能力确实差
  1. import time
  2. import random
  4. def generate_timestamp_and_nonce():
  5.     # 生成 timestamp
  6.     timestamp = int(time.time())
  8.     # 获取 timestamp 的最后三位
  9.     last_three_digits = str(timestamp)[-3:]
  11.     # 如果最后三位开头为 0,则去掉 0
  12.     if last_three_digits[0] == '0':
  13.         last_three_digits = last_three_digits[1:]
  14.     # 计算需要补齐的数字数量
  15.     num_zeros_to_pad = 6 - len(last_three_digits)
  17.     # 随机生成需要补齐的数字
  18.     random_digits = ''.join(str(random.randint(0, 9)) for _ in range(num_zeros_to_pad))
  20.     # 构造 nonce
  21.     nonce = int(last_three_digits + random_digits)
  23.     return timestamp, nonce
  25. # 生成 timestamp 和 nonce
  26. timestamp, nonce = generate_timestamp_and_nonce()
  28. print("Timestamp:", timestamp)
  29. print("Nonce:", nonce)
复制代码
3)加解密

然后再写了一个aes加解密的脚本
  1. from Crypto.Cipher import AES
  2. from Crypto.Util.Padding import pad, unpad
  3. import base64
  5. def Encrypt(data, key, iv):
  6.     key_bytes = key.encode('utf-8')
  7.     iv_bytes = iv.encode('utf-8')
  8.     cipher = AES.new(key_bytes, AES.MODE_CBC, iv_bytes)
  9.     ct_bytes = cipher.encrypt(pad(data.encode('utf-8'), AES.block_size))
  10.     return base64.b64encode(ct_bytes).decode('utf-8')
  12. def Decrypt(encrypted_data, key, iv):
  13.     key_bytes = key.encode('utf-8')
  14.     iv_bytes = iv.encode('utf-8')
  15.     cipher = AES.new(key_bytes, AES.MODE_CBC, iv_bytes)
  16.     pt_bytes = cipher.decrypt(base64.b64decode(encrypted_data))
  17.     return unpad(pt_bytes, AES.block_size).decode('utf-8')
  19. # 测试
  20. key = "Wet2C8d34f62ndi3"  # 密钥
  21. iv = "K6iv85jBD8jgf32D"  # 初始向量
  22. plaintext = "{"uid":100123,"token":"216A3906F97C26A29EC0FE10F3956692","school_id":464,"term_id":"4765","course_id":0,"class_id":0,"student_num":"123","card_id":"123","timestamp":1713109134,"version":1,"nonce":134100,"ostype":5,"page":1,"sign":"f4fc85b8cbd3f1a007f4837e2efd3686"}"
  24. # 加密
  25. encrypted = Encrypt(plaintext, key, iv)
  26. print('Encrypted:', encrypted)
  28. # 解密
  29. decrypted = Decrypt(encrypted, key, iv)
  30. print('Decrypted:', decrypted)
复制代码


终极把这些整合实现重放


四、BP插件

看了文章,然后去github上下了个插件
autoDecoder
配置好加解密,然后写个正则匹配请求以及响应中的加解密的数据




配置好后抓包,效果如下
原来:


然后:



针不戳
五、实验

看js里有挺多接口的,一开始稍微看了一下都没有什么敏感泄露,也没有什么未授权,
倒是有个管理背景的地址,不过看了一下也没什么办法
字段中存在uid,实验是否存在越权,结果uid与token关联的,以是无果
但总感觉是有点标题的,来都来到这一步,总不能放弃吧,至少把接口都看一遍


大部门接口都是提交固定的参数,其他的一些接口不知道该提交什么样的参数
而且这些接口应该是类似教师权限用户才能使用的接口
最后还是找到接口泄露 (举个例子
/v3/api.php/TeacherCourse/getStudentList
/v3/api.php/Exam/classStudentList
我只要用普通用户的账号可以查察接口下的数据
修改course_id遍历数据即可
预测了一下course_id有500+
里面可以看到学号+姓名+学院专业,还有user_id之类的
大概2w+,虽然不是什么敏感信息,但至少量多啊
这是请求包解密的数据,然后请求

这个接口就返回大量数据,解密后就是学生数据了

aes解密后,响应包的大概数据如下


结语
写下文章记录过程,个人感觉还有利用点,
怎样目前能力不够只做到这里,
有不敷之处还请师傅们予以指正。

更多网络安全优质免费学习资料与干货教程加v

送渗透工具、技术文档、册本,面试题、视频(底子到进阶。情况搭建,HTML,PHP,MySQL底子学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线

说明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行负担,与本号及作者无关,请谨记守法。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

小秦哥

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表