精准针对SSO认证漏洞：春秋云镜在医院网络安全策略的优化”

前言

起源于某次众测中，遇到请求包响应包全密文的情况，最终实现burp中加解密。

用到的工具有

• sekiro（rpc转发）
• flask（autodecoder自定义接口）
• autodecoder（burp插件转发）

debug部分

开局搜索框，随意输入字符。

从burp查看后端请求，发现请求包响应包均为密文

猜测应该是前端进行了加密操作，接着尝试debug出加密逻辑。

先从启动器中寻找接口触发的函数，这里通过定位getData函数

然后通过F10跳过函数，最终到加密处如下

发现加密函数为Object(r["b"])，通过控制台打印它，双击即可跟进函数

具体定义如下。

观察be35包，当调用b的时候，返回了s，及AES加密。当调用a的时候，返回了o，及AES解密。分析这个AES的加解密，key和iv均不为硬编码，这也是后续RPC的最难点。

对于RPC来说，这一步需要我们将加解密函数添加到全局，也就是

window.enc=Object(r[“b”])//加密
window.dec=Object(r[“a”])//解密

添加完之后，还有key和iv需要解决。

这里当时临时解决办法是通过debug当时的key和iv，通过硬编码的形式来进行加解密。

js注入部分

首先需要在sekiro中新建group，不然匿名分组会慢很多。

这里由于我进行的本地rpc，需要将wss协议更换为ws。

在完成cleint创建后，还需要具体注册加解密的Action。

下面是针对debug的函数做出的加解密方法注册。

client.registerAction(“aes_enc”,function(request, resolve, reject){//加密
resolve(enc(request[“enc_par”],request[“key”],request[“iv”]);
});

client.registerAction(“aes_dec”,function(request, resolve, reject){//解密
resolve(enc(request[“dec_par”],request[“key”],request[“iv”]);
});

其中 enc 调用的是debug时注册的全局加密函数，request["xxx"]为调用 sekiro http接口的参数名，其他用法可参考使用文档。

burp上游代理部分

这里使用的autodecoder这款burp插件的接口加解密来作为上游代理，这里通过python的flask框架来编写二层接口加解密。以下是加密接口实现，解密同理。

@app.route(‘/aes_encode’, methods=[“POST”])
def encrypt():
param = request.form.get(‘dataBody’)# 获取 post 参数
data ={
“group”: “分组名”,
“sekiro_token”: “xxxxx”,#在sekiro的管理页面
“action”: “aes_enc”,#注册的action名字
“enc_par”: param,
“bind_client”: “设备名”,
“key”: key,
“iv”: iv
}
res = requests.post(url, data)
enc = json.loads(res.text)[‘data’]
return enc

需要注意的是bind_client参数为设备ID，这个参数需要加上，不然会导致多设备转发出错，参考官方文档。

bind_client参数位置如下。

做完这些部分之后，即可在burp的拦截、重放功能中对密文解密。

key和iv随机问题解决

由于当时临时解决办法为，将key和iv通过debug出来后，硬编码赋值给上游代理的flask，但后续刷新页面，key和iv却发生了变化。于是重新debug出key和iv的生成逻辑。

debug回到之前的加密处

带着之前的思路，加密处为

具体代码如下function f(e, t){
e = “bqzt_” + e;
var a = “sessionStorage”;
if(/mqqbrowser/i.test(window.navigator.userAgent)&&(a = “localStorage”),
window[a]){
var i = window[a][e]|| “”;
return t && i &&(i = JSON.parse(i)),
i
}
console.log(“当前浏览器不支持sessionStorage”)
}

分析这段代码，发现是正则匹配是否是QQ浏览器的user-agent来判断存储位置，如果正则匹配满足 /mqqbrowser/i ，则存储e到localStorage，如果不满足，则e存储到sessionStorage。

而这里的f(e，t)函数中，e是什么呢，这里我们直接查看sessionStorage，也就是会话储存，发现e就是AES加解密的key和iv。

debug到这一步，问题解决的关键就在于sessionStorage和localStorage。

当页面刷新时sessionStorage会发生变化，导致key和iv发生变化，我们设置的硬编码就失效了。而localStorage并不会随着页面刷新而重置，它存储于浏览器当前状态。

所以我们只需要将user-agent更换为QQ浏览器即可将bqzt_randomRequest存储进localStorage。
这里解释一下为什么改为localStorage就能动态获取key和iv，因为在js注入后，存储的也是sessionStorage，刷新就会消失。而存储为localStorage之后，只要保持jsrpc注入的页面和具体渗透测试的页面处于同一浏览器即可。

最后一步，我们需要修改注册的action，将key和iv分别利用 localStorage 来获取。具体代码如下：

client.registerAction(“aes_enc”,function(request, resolve, reject){
resolve(enc(request[“enc_par”],JSON.parse(localStorage.getItem(“bqzt_randomRequest”)).dfg,JSON.parse(localStorage.getItem(“bqzt_randomRequest”)).cvb));
});

后续笔者也成功通过此加解密技巧，成功挖掘出高危漏洞。