1.概述
现在很多web 在登陆的过程中会用 js 对账号密码进行加密之后再进行传输,我们利用代理工具抓到的包看到账号密码是密文而非明文,这样对批量爆破或者撞库进行传参就会产生障碍,所以这片文章对遇到这类问题如何解决思路的一个分析。
2.思路
一般有两种思路,其一对 js 进行分析,拆解js 的加密算法,利用自己熟悉的语言进行重写,这里使用 python;其二是利用相应的工具或者模块执行该 js 文件,拿到输出结果即可,这里使用 python 自带的execjs。
现在举一个例子加以说明。
2.1 分析加密算法
这里刚好有个 js 文件
/**
*@param username
*@param passwordOrgin
*@return encrypt password for $username who use orign password $passwordOrgin
*
**/
function encrypt(username, passwordOrgin) {
return hex_sha1(username+hex_sha1(passwordOrgin));
}
function hex_sha1(s, hexcase) {
if (!(arguments) || !(arguments.length) || arguments.length < 1) {
return binb2hex(core_sha1(AlignSHA1("aiact@163.com")), true);
} else {
if (arguments.length == 1) {
return binb2hex(core_sha1(AlignSHA1(arguments[0])), true);
} else {
return binb2hex(core_sha1(AlignSHA1(arguments[0])), arguments[1]);
}
}
// return binb2hex(core_sha1(AlignSHA1(s)),hexcase);
}
/**/
/*
* Perform a simple self-test to see if the VM is working
*/
function sha1_vm_test() {
return hex_sha1("abc",false) == "a9993e364706816aba3e25717850c26c9cd0d89d";
}
/**/
/*
* Calculate the SHA-1 of an array of big-endian words, and a bit length
*/
function core_sha1(blockArray) {
var x = blockArray; //append padding
var w = Array(80);
var a = 1732584193;
var b = -271733879;
var c = -1732584194;
var d = 271733878;
var e = -1009589776;
for (var i = 0; i < x.length; i += 16) { //每次处理512位 16*32
var olda = a;
var oldb = b;
var oldc = c;
var oldd = d;
var olde = e;
for (var j = 0; j < 80; j += 1) { //对每个512位进行80步操作
if (j < 16) {
w[j] = x[i + j];
} else {
w[j] = rol(w[j - 3] ^ w[j - 8] ^ w[j - 14] ^ w[j - 16], 1);
}
var t = safe_add(safe_add(rol(a, 5), sha1_ft(j, b, c, d)), safe_add(safe_add(e, w[j]), sha1_kt(j)));
e = d;
d = c;
c = rol(b, 30);
b = a;
a = t;
}
a = safe_add(a, olda);
b = safe_add(b, oldb);
c = safe_add(c, oldc);
d = safe_add(d, oldd);
e = safe_add(e, olde);
}
return new Array(a, b, c, d, e);
}
/**/
/*
* Perform the appropriate triplet combination function for the current iteration
* 返回对应F函数的值
*/
function sha1_ft(t, b, c, d) {
if (t < 20) {
return (b & c) | ((~b) & d);
}
if (t < 40) {
return b ^ c ^ d;
}
if (t < 60) {
return (b & c) | (b & d) | (c & d);
}
return b ^ c ^ d; //t<80
}
/**/
/*
* Determine the appropriate additive constant for the current iteration
* 返回对应的Kt值
*/
function sha1_kt(t) {
return (t < 20) ? 1518500249 : (t < 40) ? 1859775393 : (t < 60) ? -1894007588 : -899497514;
}
/**/
/*
* Add integers, wrapping at 2^32. This uses 16-bit operations internally
* to work around bugs in some JS interpreters.
* 将32位数拆成高16位和低16位分别进行相加,从而实现 MOD 2^32 的加法
*/
function safe_add(x, y) {
var lsw = (x & 65535) + (y & 65535);
var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
return (msw << 16) | (lsw & 65535);
}
/**/
/*
* Bitwise rotate a 32-bit number to the left.
* 32位二进制数循环左移
*/
function rol(num, cnt) {
return (num << cnt) | (num >>> (32 - cnt));
}
/**/
/*
* The standard SHA1 needs the input string to fit into a block
* This function align the input string to meet the requirement
*/
function AlignSHA1(str) {
var nblk = ((str.length + 8) >> 6) + 1, blks = new Array(nblk * 16);
for (var i = 0; i < nblk * 16; i += 1) {
blks[i] = 0;
}
for (i = 0; i < str.length; i += 1) {
blks[i >> 2] |= str.charCodeAt(i) << (24 - (i & 3) * 8);
}
blks[i >> 2] |= 128 << (24 - (i & 3) * 8);
blks[nblk * 16 - 1] = str.length * 8;
return blks;
}
/**/
/*
* Convert an array of big-endian words to a hex string.
*/
function binb2hex(binarray, hexcase) {
var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
var str = "";
for (var i = 0; i < binarray.length * 4; i += 1) {
str += hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8 + 4)) & 15) + hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8)) & 15);
}
return str;
}
进过加密的密码的密文如图所示
function encrypt(username, passwordOrgin) {
return hex_sha1(username+hex_sha1(passwordOrgin));
}对代码的分析中我们得出该加密就是一个标准的 sha1加密,Password的密文是先对password明文进行 sha1再组合用户名,然后再进行一次 sha1产生。只是通过具体的代码分析,每次 sha1之后会对字符串所有的小写字母进行大写转换。因为有两次 sha1,所有有两次小写字母转换成大写字母。
分析清楚之后利用 python 重新写
python 有自带的 sha1模块
import hashlib
def encrypt(username, passwordOrgin):
return hex_sha1(username + hex_sha1(passwordOrgin))
def hex_sha1(src):
sha = hashlib.sha1(src)
encrypts = sha.hexdigest()
return encrypts.upper()
print encrypt('admin','admin')
结果为:EDB811C7CBEEEE8DB436AB8441750044C893C222,跟图片中结果一致
2.2 执行 js,不关心 js 具体的加密过程
先安装 execjs
$ pip install PyExecJS
or
$ easy_install PyExecJS将 js 保存到本地
#coding:utf-8
from selenium import webdriver
import execjs
with open ('test.js','r') as jj:
source = jj.read()
phantom = execjs.get('PhantomJS')
getpass = phantom.compile(source)
mypass = getpass.call('encrypt', 'admin','admin')
print mypass
结果为:EDB811C7CBEEEE8DB436AB8441750044C893C222,跟图片中结果一致3. note
一下链接中还有其他方式,可以参考
http://www.freebuf.com/articl…
