前言
起源于某次众测中,遇到请求包响应包全密文的情况,最终实现burp中加解密。
用到的工具有
- sekiro(rpc转发)
- flask(autodecoder自定义接口)
- autodecoder(burp插件转发)
debug部分
开局搜索框,随意输入字符。
从burp查看后端请求,发现请求包响应包均为密文
猜测应该是前端进行了加密操作,接着尝试debug出加密逻辑。
先从启动器中寻找接口触发的函数,这里通过定位getData
函数
然后通过F10跳过函数,最终到加密处如下
观察be35
包,当调用b的时候,返回了s,及AES加密。当调用a的时候,返回了o,及AES解密。分析这个AES的加解密,key和iv均不为硬编码,这也是后续RPC
的最难点。
对于RPC来说,这一步需要我们将加解密函数添加到全局,也就是window.enc=Object(r[“b”])//加密
window.dec=Object(r[“a”])//解密
添加完之后,还有key和iv需要解决。
这里当时临时解决办法是通过debug当时的key和iv,通过硬编码的形式来进行加解密。
js注入部分
首先需要在sekiro
中新建group
,不然匿名分组会慢很多。
这里由于我进行的本地rpc
,需要将wss
协议更换为ws
。
下面是针对debug的函数做出的加解密方法注册。client.registerAction(“aes_enc”,function(request, resolve, reject){//加密
resolve(enc(request[“enc_par”],request[“key”],request[“iv”]);
});
client.registerAction(“aes_dec”,function(request, resolve, reject){//解密
resolve(enc(request[“dec_par”],request[“key”],request[“iv”]);
});
其中 enc
调用的是debug时注册的全局加密函数,request["xxx"]
为调用 sekiro
http接口的参数名,其他用法可参考使用文档。
burp上游代理部分
这里使用的autodecoder
这款burp插件的接口加解密来作为上游代理,这里通过python的flask
框架来编写二层接口加解密。以下是加密接口实现,解密同理。
@app.route(‘/aes_encode’, methods=[“POST”])
def encrypt():
param = request.form.get(‘dataBody’)# 获取 post 参数
data ={
“group”: “分组名”,
“sekiro_token”: “xxxxx”,#在sekiro的管理页面
“action”: “aes_enc”,#注册的action名字
“enc_par”: param,
“bind_client”: “设备名”,
“key”: key,
“iv”: iv
}
res = requests.post(url, data)
enc = json.loads(res.text)[‘data’]
return enc
需要注意的是bind_client
参数为设备ID,这个参数需要加上,不然会导致多设备转发出错,参考官方文档。
暂无评论内容