这是 酒仙桥六号部队 的第 97 篇文章。
全文共计2489个字,预计阅读时长8分钟。
前言
针对上次我们提交漏洞之后,我们再次查看JS代码,定位加密函数和解密函数的位置,发现已经不是赤裸裸没有任何防护,而是已经进行的了JS混淆,接下来我们针对遇到JS混淆后,我们该如何破解JS混淆后的代码进行加解密,继续进行渗透测试。笔者在这里提供一个思路和方法。
前置知识
首先我们先了解下代码混淆的具体原理是什么?其实很简单,就是去除代码中尽可能多的有意义的信息,比如注释、换行、空格、代码负号、变量重命名、属性重命名(允许的情况下)、无用代码的移除等等。因为代码是公开的,我们必须承认没有任何一种算法可以完全不被破解,所以,我们只能尽可能增加攻击者阅读代码的成本。
我将混淆类型分为两类:
将变量名混淆成阅读比较难阅读的字符,增加代码阅读难度,而现在大部分厂商的混淆,都会将其混淆成16进制变量名。
效果如下:
`var test = 'helloworld';`
混淆后:
`var _0x7deb = 'helloworld';`
将JS中的常量提取到数组中,调用的时候用数组下标的方式调用,这样的话直接读懂基本不可能了,要么反AST处理下,要么一步一步调试,工作量大增。
以上面的代码为例:
`var test = 'helloworld';`
复制代码混淆过后:
每个文件开头会有一个很长的字符数组,然后会有一段代码对这个数组进行加工,然后还有一个函数接收一个或两个参数输出一个字符串,这个字符串更接近原始的代码。将常量进行加密处理,上面的代码中,虽然已经是混淆过后的代码了,但是helloworld字符串还是以明文的形式出现在代码中,例如将关键字进行Unicode16进制编码。如下:
`var test = 'helloworld';`
结合常量提取得到混淆结果:
案例
这里存储了一些在函数中用到的变量和字符串。
// 这个是数组内容解码的函数, 实际上第二个参数是没有用到的 var _0x523d = function (_0x4c10d0, _0x393bf7) { _0x4c10d0 = _0x4c10d0 - 0; // 这里第一个参数是通过字符串传进来, 因此这里起到类型转换的作用 var _0x70d87b = _0x2ec2[_0x4c10d0]; // 这里 _0x70d87b 保存的是数组下标对应的值, 也就是, 解密第几个字符串 // 接下来判断有没有进行过初始化操作, 如果没有的话, 先初始化 if (_0x523d['CuFQcU'] === undefined) { (function () { var _0x5b57a4 = function () { var _0x29e588; try { _0x29e588 = Function('return (function() ' + '{}.constructor("return this")( )' + ');') (); } catch (_0x4956c9) { _0x29e588 = window; } return _0x29e588; }; var _0x2b121a = _0x5b57a4(); // 这里实际上返回的是 Window 对象 var _0x6c99b9 = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/='; // 下面这个是判断Window有没有atob这个函数, 如果没有的话生成一个进去. _0x2b121a['atob'] || (_0x2b121a['atob'] = function (_0x13f6f4) { var _0x901f5e = String(_0x13f6f4) ['replace'](/=+$/, ''); for (var _0x240979 = 0, _0x43e3e8, _0x42ec25, _0x6ec31e = 0, _0x1c0a86 = ''; _0x42ec25 = _0x901f5e['charAt'](_0x6ec31e++); ~_0x42ec25 && (_0x43e3e8 = _0x240979 % 4 ? _0x43e3e8 * 64 + _0x42ec25 : _0x42ec25, _0x240979++ % 4) ? _0x1c0a86 += String['fromCharCode'](255 & _0x43e3e8 >> ( - 2 * _0x240979 & 6)) : 0) { _0x42ec25 = _0x6c99b9['indexOf'](_0x42ec25); } return _0x1c0a86; }); }()); _0x523d['ZEesoG'] = function (_0x1de802) { var _0x216ff1 = atob(_0x1de802); var _0x42331f = [ ]; for (var _0x3a392f = 0, _0x2319db = _0x216ff1['length']; _0x3a392f < _0x2319db; _0x3a392f++) { _0x42331f += '%' + ('00' + _0x216ff1['charCodeAt'](_0x3a392f) ['toString'](16)) ['slice']( - 2); } return decodeURIComponent(_0x42331f); }; // 到这里完成初始化操作, 置CuFQcU为true, 添加VgXLDn属性, 这个相当于是一个字典表, 如果已经解密过的东西就存进去, 下次就不用在解密了. _0x523d['VgXLDn'] = {}; _0x523d['CuFQcU'] = !![]; } // 后面这段是先判断之前有没有对传入的参数进行解密过, 如果解密过的话, 那么就不再解密了. var _0x22ee7f = _0x523d['VgXLDn'][_0x4c10d0]; if (_0x22ee7f === undefined) { _0x70d87b = _0x523d['ZEesoG'](_0x70d87b); _0x523d['VgXLDn'][_0x4c10d0] = _0x70d87b; } else { _0x70d87b = _0x22ee7f; } return _0x70d87b; };
function encrypt(_0xd0a5dd) { var _0x2d682e = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x3')); var _0x2d053c = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x4')); var _0xa5c781 = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0xd0a5dd); var _0x17d14e = CryptoJS[_0x523d('0x5')][_0x523d('0x6')](_0xa5c781, _0x2d682e, { 'iv': _0x2d053c, 'mode': CryptoJS[_0x523d('0x7')][_0x523d('0x8')], 'padding': CryptoJS[_0x523d('0x9')][_0x523d('0xa')] }); return _0x17d14e[_0x523d('0xb')](); } function decrypt(_0x363945) { var _0x41412c = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x3')); var _0xf43728 = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x4')); var _0x2f2c26 = CryptoJS[_0x523d('0x5')][_0x523d('0xc')](_0x363945, _0x41412c, { 'iv': _0xf43728, 'mode': CryptoJS[_0x523d('0x7')][_0x523d('0x8')], 'padding': CryptoJS[_0x523d('0x9')][_0x523d('0xa')] }); return CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0xd')](_0x2f2c26) [_0x523d('0xb')](); }
当我们分析整个混淆后的代码后, 我们可以手动断点调试, 来看看具体的解密之后每参数是什么。我们首先将整个混淆后的js代码copy下来,定义main()函数,调用加密encrypt和decrypt解密这两个函数,在浏览器下调试运行。
代码完美运行,在第三部分数组字符串处理函数的位置我们手动断点F10进行调试。
密钥key成功拿到:
向量IV成功拿到:
得知加密算法为AES:
AES加密算法使用的模式:mode=CBC
AES加密算法使用的填充方式:Pkcs7
至此混淆后的加密算法已破解,拿到加密算法的明文,我们可以编写python加解密脚本,加解密结果一致。
总结
JS混淆在安全对抗中必不可少,一是对保护前端页面的代码逻辑,二是对前端登陆的算法密钥和向量IV进行保护。而我们通过反混淆还原代码或者直接调用混淆后的JS代码进行调试,获取密钥和向量IV,从而达到解密密文,篡改数据包继续进行漏洞挖掘。
https://www.52pojie.cn/thread-1104122-1-1.html#29856570_%E5%A3%B0%E6%98%8E
本文作者:酒仙桥六号部队
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144539.html