扫码领资料
获网安教程
遇到个需求,网站如下,是一个手机号验证码登录,现在的需求是看看这个验证码有没有锁定策略,很简单只要把发送验证码的包用爆破模块,设置单线程并且每过60秒发送一次就可以
但是发现这个包有校验,这里请求头中多了四个参数,Custappid
,Timestamp
,Signature
,Nonce
,发现改动任何一个响应就会失败
接下来去浏览器中,定位相关js代码逻辑,其实定位这里有很多方式,常用的两种方式就是全局搜索关键字或看流量堆栈,我习惯第二种,不过依据这次的环境全局搜索来的快一些
逻辑在此,其实那个signature我也分析了一波,就是一些值,先sha256然后再md5,不过这次主要是讲rpc,所以这里不深入展开了,继续,可以看到我们需要的对应函数为_()
不过这个时候我们去控制台去执行它是不会执行成功的
因为函数作用域问题,所以我们这个时候需要再刚才的js代码处打个断点,然后点击发送验证码,触发断点
这个时候我们去控制台调用该函数就可以正常调用了
为了方便实用这个时候我们需要将这个函数设置成全局函数,这样不在debug的时候,我们也可以正常调用了
window._ = _
然后我们放行断点后也可以正常调用了
https://github.com/jxhczhl/JsRpc
下载编译好的exe,以及resource里面的注入代码jsEnv.js
第一步现将jsEnv.js的代码粘贴到控制台执行
然后打开exe,然后在浏览器控制台先连接通信,记住group和name的值
var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=group1&name=code");
然后我们注册我们之前的函数_()
demo.regAction("getinfo", function (resolve) {
var infos = _();
resolve(JSON.stringify(infos));
})
然后我们直接访问接口看一下
http://localhost:12080/go?group=group1&name=code&action=getinfo
可以正常调用,然后我们可以用python代码获取值
import requestsdef get_rpc():
url = "http://127.0.0.1:12080/go"
data = {
"group": "group1",
"name": "code",
"action": "getinfo"
}
result = requests.post(url, data=data)
return result.json()['data']print(get_rpc())
接下来就是我们联动Burp了,我想让Burp发包的时候默认将这些参数给我带上,让我能够正常发包,这里我们可以使用mitmproxy
来开一个上游代理,然后我们就可以自定义经过的请求包了,注意要python3.10以上,用pip安装即可
pip install mitmproxy
然后记得装一下mitmproxy的证书,先运行一下,然后在用户目录的.mitmproxy文件夹下会生成
然后创建python脚本
#encrypt.js
import requests
from mitmproxy import ctxdef get_rpc():
url = "http://127.0.0.1:12080/go"
data = {
"group": "group1",
"name": "code",
"action": "getinfo"
}
result = requests.post(url, data=data)return result.json()['data']
def request(flow):
result = eval(get_rpc())
flow.request.headers['Nonce'] = result['nonce']
flow.request.headers['Custappid'] = result['custAppId']
flow.request.headers['Timestamp'] = str(result['timestamp'])
flow.request.headers['Signature'] = result['signature']
之后运行mitmproxy(注意的是存在三个程序,我们运行的mitmproxy是其中的一个它的优点就是控制台输出信息较为明朗,但是如果存在bug的情况下建议调试使用mitmdump)
mitmproxy.exe -p 8081 -s .\rpc.py
设置Burp的上游代理
成功,要注意我们用burp发包,bp上的值没有变是正常的,因为请求经过mitmproxy才会被修改
我们可以对比一下,实际上,值已经被修改了
来源:https://xz.aliyun.com/t/13232
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
(hack视频资料及工具)
(部分展示)
往期推荐
【精选】SRC快速入门+上分小秘籍+实战指南
爬取免费代理,拥有自己的代理池
漏洞挖掘|密码找回中的套路
渗透测试岗位面试题(重点:渗透思路)
漏洞挖掘 | 通用型漏洞挖掘思路技巧
干货|列了几种均能过安全狗的方法!
一名大学生的黑客成长史到入狱的自述
攻防演练|红队手段之将蓝队逼到关站!
看到这里了,点个“赞”、“再看”吧