【js逆向实战】RPC+mitm

【js逆向实战】RPC+mitm
2024-1-8 12:4:13 Author: 白帽子左一(查看原文) 阅读量:12 收藏

扫码领资料

获网安教程

JS分析

遇到个需求，网站如下，是一个手机号验证码登录，现在的需求是看看这个验证码有没有锁定策略，很简单只要把发送验证码的包用爆破模块，设置单线程并且每过60秒发送一次就可以

但是发现这个包有校验，这里请求头中多了四个参数，Custappid，Timestamp，Signature,Nonce，发现改动任何一个响应就会失败

接下来去浏览器中，定位相关js代码逻辑，其实定位这里有很多方式，常用的两种方式就是全局搜索关键字或看流量堆栈，我习惯第二种，不过依据这次的环境全局搜索来的快一些

逻辑在此，其实那个signature我也分析了一波，就是一些值，先sha256然后再md5，不过这次主要是讲rpc，所以这里不深入展开了，继续，可以看到我们需要的对应函数为_()

不过这个时候我们去控制台去执行它是不会执行成功的

因为函数作用域问题，所以我们这个时候需要再刚才的js代码处打个断点，然后点击发送验证码，触发断点

这个时候我们去控制台调用该函数就可以正常调用了

为了方便实用这个时候我们需要将这个函数设置成全局函数，这样不在debug的时候，我们也可以正常调用了

window._ = _

然后我们放行断点后也可以正常调用了

2. rpc调用

https://github.com/jxhczhl/JsRpc

下载编译好的exe，以及resource里面的注入代码jsEnv.js

第一步现将jsEnv.js的代码粘贴到控制台执行

然后打开exe，然后在浏览器控制台先连接通信，记住group和name的值

var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=group1&name=code");

然后我们注册我们之前的函数_()

demo.regAction("getinfo", function (resolve) {
    var infos = _();
    resolve(JSON.stringify(infos));
})

然后我们直接访问接口看一下

http://localhost:12080/go?group=group1&name=code&action=getinfo

可以正常调用，然后我们可以用python代码获取值

import requestsdef get_rpc():
    url = "http://127.0.0.1:12080/go"
    data = {
        "group": "group1",
        "name": "code",
        "action": "getinfo"
    }
    result = requests.post(url, data=data)
    return result.json()['data']
print(get_rpc())

3. mitmproxy

接下来就是我们联动Burp了，我想让Burp发包的时候默认将这些参数给我带上，让我能够正常发包，这里我们可以使用mitmproxy来开一个上游代理，然后我们就可以自定义经过的请求包了，注意要python3.10以上，用pip安装即可

pip install mitmproxy

然后记得装一下mitmproxy的证书，先运行一下，然后在用户目录的.mitmproxy文件夹下会生成

然后创建python脚本

#encrypt.js
import requests
from mitmproxy import ctxdef get_rpc():
    url = "http://127.0.0.1:12080/go"
    data = {
        "group": "group1",
        "name": "code",
        "action": "getinfo"
    }
    result = requests.post(url, data=data)
    return result.json()['data']
def request(flow):
        result = eval(get_rpc())
        flow.request.headers['Nonce'] = result['nonce']
        flow.request.headers['Custappid'] = result['custAppId']
        flow.request.headers['Timestamp'] = str(result['timestamp'])
        flow.request.headers['Signature'] = result['signature']

之后运行mitmproxy（注意的是存在三个程序，我们运行的mitmproxy是其中的一个它的优点就是控制台输出信息较为明朗，但是如果存在bug的情况下建议调试使用mitmdump）

mitmproxy.exe -p 8081 -s .\rpc.py

设置Burp的上游代理

成功，要注意我们用burp发包，bp上的值没有变是正常的，因为请求经过mitmproxy才会被修改

我们可以对比一下，实际上，值已经被修改了

来源：https://xz.aliyun.com/t/13232

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

学习更多渗透技能！体验靶场实战练习


（hack视频资料及工具）
（部分展示）
往期推荐
【精选】SRC快速入门+上分小秘籍+实战指南
爬取免费代理，拥有自己的代理池
漏洞挖掘｜密码找回中的套路
渗透测试岗位面试题(重点：渗透思路)
漏洞挖掘 | 通用型漏洞挖掘思路技巧
干货｜列了几种均能过安全狗的方法！
一名大学生的黑客成长史到入狱的自述
攻防演练｜红队手段之将蓝队逼到关站！
巧用FOFA挖到你的第一个漏洞
看到这里了，点个“赞”、“再看”吧

文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247604753&idx=1&sn=cb9b39192e835040196d111db545a44f&chksm=ead9e42a06f369478b04002dd1713aedb0ff879c99fdfa7465c3c18aacd69aec230cd98ab623&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh