吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4161|回复: 66
收起左侧

[Web逆向] 某二手房网站登录密码加密分析

  [复制链接]
鹿鸣 发表于 2024-3-22 17:45
声明:本帖仅供学习交流,严禁将以下技术用于非法用途,如有不妥请联系删除!

网址: aHR0cHM6Ly9iai5rZS5jb20v

首先我们f12打开浏览器控制台输入账号密码点击登录,发现请求里的密码是个密文  
那我们的任务就是看下这个密码是如何从明文变成现在的密文的。

搜狗截图20240322103506.png

点击启动器,找到发包的位置,打一个断点,重新点击登录在这里断住  
因为这个时候密码已经是密文了,所以要看调用堆栈往上跟栈  

20240322110846.png

作用域如果是密文就一直往上跟,直到找到password是明文的地方,那么恭喜你,  
离加密位置很近了,我找到这个栈,因为上个栈是明文,在这个栈里password变成的密文,所以

20240322113153.png

在这个栈的上方去打一个断点,可以看到这里的t里的参数就是我们的明文账号密码,一步一步往下跟

20240322114100.png

经过分析,这一段代码执行后我们的明文被加密了,所以这里就是我们要找的加密位置了

20240322114849.png

这个网站是一个单文件打包的webpack,我们在外部无法调用它的局部变量,必须使用  
一个参数去接受函数的返回才能调用它内部的局部变量,我们用浏览器的替换功能做一个js注入操作

20240322122444.png

刷新网页,让浏览器使用我们替换的js文件,重新输入账号密码点击登录,控制台输入我们定义的变量名,输出的就是我们的r函数

20240322123055.png

luming.m是所有函数的列表,我们在浏览器新建一个代码片段然后执行去遍历  
这个列表拿到含有解密函数的函数下标,运行输出62,62即为解密函数的下标

20240322131426.png

控制台输出62函数,新建一个js文件,把加载器拿过来,加载器就看代码吧,我把代码附到下边,把这段函数复制到加载器里去执行

20240322133122.png

运行js文件,根据报错信息去补环境,需要补东西有点多,这里就省略一下,具体可以去看代码,环境补好,就成功出值了

20240322163843.png


附上代码下载地址: https://lm88.lanzoub.com/iAeRx1s8elyh


PS: markdown排版网络图片不显示又把图片重新上传论坛,心塞......

免费评分

参与人数 13吾爱币 +22 热心值 +9 收起 理由
zhenrenwushan + 1 热心回复!
涛之雨 + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
AK471 + 1 谢谢@Thanks!
xjy010305 + 1 + 1 我很赞同!
唐小样儿 + 1 + 1 我很赞同!
爱飞的猫 + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
PEIQI2050 + 1
MeowAwA + 1 用心讨论,共获提升!
sywlyxgs + 1 + 1 RSA 密钥 https://clogin.ke.com/authentication/initialize 接口返回 纯粹.
x1aohui + 1 js逆向,学习一下
yg9999 + 1 热心回复!
chen1987 + 1 + 1 用心讨论,共获提升!
gubeihai + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

gllsqgg 发表于 2024-3-23 11:58
拿来主义, 直接调用他用来加密的js完事, 如果是拿到数据库, 直接用他数据库上存储的post完事
如果是要用其他语言改这个加密方式,直接打包js丢给ai生成.
至于学习, 大佬当我没说.
头像被屏蔽
52down 发表于 2024-3-22 17:49
Hmily 发表于 2024-3-22 17:54
不应该啊,为啥不显示了?markdown就用discuz的方式插入图片就行。
wdnmdqndyd 发表于 2024-3-22 17:57
支持一波
xiaopacI 发表于 2024-3-22 17:58
支持,学习一波,是不是可以把整个的加密逻辑还原出来呢?
 楼主| 鹿鸣 发表于 2024-3-22 18:00
Hmily 发表于 2024-3-22 17:54
不应该啊,为啥不显示了?markdown就用discuz的方式插入图片就行。

markdown用的少,刚才发帖没显示出来图就麻烦管理删帖了,只好重新上传一张张插入了,就这样吧,多用熟练就好了
windwithme6 发表于 2024-3-22 18:06
学习一手。
yan20180721 发表于 2024-3-22 18:09
学习一下,没细看
dpa4099 发表于 2024-3-22 18:17
太强了吧
gubeihai 发表于 2024-3-22 18:26
小白看不懂,不过看起来就很牛
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-12 10:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表