关于一次测试中的加密算法解读

黑客信息网

前言

在一次渗透测试过程中,偶然发现了返回包里面出现了加密算法,在查询诸多资料之后,费劲千辛万苦,又使用编码后的密码进行反推,最终写下这篇文章,本人实在是没有取标题的天赋,只能将for循环作为代码的分界来取标题,文章写出不易,感谢各位师傅的观看。

一、追踪加密函数

打开测试网站,仔细观察返回包中发现username和password两个参数调用了getBase64Data函数。

在返回包下面使用搜索getBase64Data函数,发现对应的加密算法。

二、for循环之前的函数解读

代码为:

function getBase64Data(data){
	var base=new Base64();
	var newDataArr=[];
	//form data is json object
	var formDataArr=base.encode(JSON.stringify(data)).split("");
	var forLength=formDataArr.length * 2;
	for (var i=0; i < forLength; i++) {
	    if (formDataArr.length==0) {
	        break;
	    } else {
	        if (!(i % 2)) {
	            newDataArr.push(Math.random().toString(36).slice(-1));
	        } else {
	            newDataArr.push(formDataArr[formDataArr.length - 1]);
	            formDataArr.pop();
	        }
	    }
	}
	var h=Math.random().toString(36).substr(2, 4);
	var f=Math.random().toString(36).substr(2, 8);
	return h + newDataArr.join("") + f;
}

首先我们来解读一下这段代码,其中创建了两个数组对象,分别为newDataArr和formDataArr,我们看看结尾return返回了newDataArr,说明newDataArr才是我们要注意的变量,fromDataArr是中间过渡需要用的变量。

其中var formDataArr=base.encode(JSON.stringify(data)).split(""),这段代码首先对传过来的参数使用了JSON.stringify()方法,该方法用于将 JavaScript 值转换为 JSON 字符串,这个只是对传过来的值做了引号引起来,然后使用base()来做base64编码,最后使用了split(separator,limit)方法将base64编码后的字符串拆分成一个数组,如果把空字符串 ("") 用作 separator,那么 stringObject 中的每个字符之间都会被分割。

也就是说我们从前端输入一个账号user10,先是对user10做了双引号引起来成了"user10",然后在做base64编码成了InVzZXIxMCI=,这个等号在加密后没看出来,在加密算法也没看出去除等号,查了base64编码资料发现=可忽略。

参照资料:

Base64编码要求把3个8位字节(3*8=24)转化为4个6位的字节(4*6=24),之后在6位的前面补两个0,形成8位一个字节的形式。 如果剩下的字符不足3个字节,则用0填充,输出字符使用'=',因此编码后输出的文本末尾可能会出现1或2个'='。

三、for循环的解读

继续往下看代码,var forLength=formDataArr.length * 2,这段代码定义了数组的长度,用于后面的for循环,乘以2也是让循环能够执行完,因为for循环里面有个break跳出终止,如果formDataArr.length==0的话,循环会终止。

for (var i=0; i < forLength; i++) {
	    if (formDataArr.length==0) {
	        break;
	    } else {
	        if (!(i % 2)) {
	            newDataArr.push(Math.random().toString(36).slice(-1));
	        } else {
	            newDataArr.push(formDataArr[formDataArr.length - 1]);
	            formDataArr.pop();
	        }
	    }
	}

接下来再查看for循环执行了什么内容,for循环使用forLength为循环最大值,而且formDataArr.length==0时会跳出,如果不跳出的情况下执行一个条件语句,这个条件语句为:如果i是奇数的话生成一个随机数插入到newDataArr数组里面,其中slice(-1)意思是截取最后一个字符,push() 方法是向数组的末尾添加一个或多个元素,意思是说i是奇数的话会往newDataArr里面输入一个随机字符,而i是偶数的情况下,会将formDataArr[formDataArr.length - 1]也就是formDataArr的最后一位字符输入newDataArr,由于使用了pop()方法,这个方法是删除最后一个字符,也就是说下一次循环就会得到formDataArr里面的倒数第二个字符了,以此类推,将formDataArr数组里面的字符全部写进去newDataArr里面。

考虑到栈入栈出的问题,push()方法会在栈顶(数组的尾部)添加指定的元素,也就是说即使是从后往前添加formDataArr的字符串(formDataArr也就是前端传进来的做了base64编码的字符串使用split()方法形成的数组),push()方法也是先加到newDataArr的尾部从后往前添加,加密后的顺序没有改变的。

四、for循环之后的函数解读

var h=Math.random().toString(36).substr(2, 4);
var f=Math.random().toString(36).substr(2, 8);
return h + newDataArr.join("") + f;

最后我们看这段代码Math.random().toString(36).substr(2, 4),这个参考了文章,里面没提到toString(36)是什么意思,这个是输出36进制的意思,然后使用了substr()方法从第2位截取4个长度的字符赋值给h,截取8个长度的字符赋值给f,这个Math.random()是一个随机数,其实这些都不用太过考虑,参考文章中这个Math.random().toString(36)说明它可以输出16或者17个随机字符串,也就是说不管是4个还是8个字符串都是够截取的。看最后一串代码是return h + newDataArr.join("") + f,也就是说加密后的密码只要去掉前面的4位和后面的8位就可以得到newDataArr.join("")了,join(separator)用于把数组中的所有元素转换一个字符串,其中separator指定要使用的分隔符。如果省略该参数,则使用逗号作为分隔符。

接下来我使用了burpsuite对目标抓取前端输入了用户名user10之后,得到了以下3组加密后的字符串:

7kv5bIvndVczhZcXhIfxsMuCwI121wwl12
fuh7jIinkVpztZ6XxI5x9MtC6In0zobdxj
awjwhI4n8VwzdZeXqIvxkM3CeI9pvs94cc

获得多组字符串是为了验证这个结果是否正确,去掉前面4位和后面的8位随机数之后得到:

bIvndVczhZcXhIfxsMuCwI
jIinkVpztZ6XxI5x9MtC6I
hI4n8VwzdZeXqIvxkM3CeI

根据循环得出奇数只是随机数,偶数才是编码后的字符串,去掉奇数位之后得到了lnVzZXlxMCl,再使用base64解码之后即可得到"user10",因为这个是使用了JSON.stringify()方法,该方法用于将 JavaScript 值转换为 JSON 字符串,所以去掉双引号之后即可得到user10了。

后续

其实javascript很多方法我也不是很懂,文章是从前面分析,解密的思路却是我一步步逆推回去的,首先是看到Math.random().toString(36)这个函数,因为这个函数影响了最后的return输出的值,然后查了文章才发现是一个随机数而已,加密后的字符串在前面和后面的加上了同等数量的字符串,那么减去就可以了,然后再去思考for循环的内容了,这里还是可以看出for循环想要执行的内容的,奇数为随机数,偶数才要用到formDataArr,所以最终加密的去掉奇数位的数字就可以了,可是最终得到的结果是lnVzZXlxMCl,然后我去查了这个JSON.stringify(),才知道是对输入的内容加了双引号,当时还因为循环的执行思考了半天,因为这个push()方法的栈入栈出问题,从formDataArr里面由后往前取字符,然后往newDataArr里面也是由后往前放,所以加密后的字符串顺序没有变化。

标签:

发表评论 (已有条评论)

  • 评论列表