【渗透测试】利用hook技术破解前端JS加解密 - JS-Forward
创始人
2025-01-15 03:03:37
0

前言

在做渗透测试项目时,尤其是金融方面,经常会遇到前端JS加解密技术,看着一堆堆密密麻麻的密文,会给人一种无力感。Hook技术则会帮助我们无需获取加解密密钥的前提下,获取明文进行渗透测试

环境准备

JS-Forward
Burpsuite
Fiddler
网上公开的加解密逻辑漏洞的靶场源码
某大佬搭建的公网测试环境(请礼貌使用):http://39.98.108.20:8085/

Hook - JS技术详解

正常访问抓包,看到数据包内容被加密,一般的话,可以通过在JS寻找密钥进行加解密,但这种方法对于渗透测试来说太消耗时间和精力。因此,hook技术能够很好的运用在JS加解密中

在这里插入图片描述

不多赘述如何确认明文点了,本文主要讲述JSForward的用法

在这里插入图片描述

生成hook参数n的payload

在这里插入图片描述

将浏览器对应的js文件下载下来,payload放在相应参数后面

在这里插入图片描述

一般浏览器替换js文件有两种方式,第一种是浏览器直接替换,简单省事,但有些时候,比如我之前参加的一个银行项目,就不允许浏览器替换js文件,就可以采用第二种方式,fiddler直接流量替换,要求清除浏览器缓存,重新加载js文件进来的同时进行替换

在这里插入图片描述

替换后为这样

在这里插入图片描述

Burp抓包,数据包变成明文,但缺点很明显,失去了真实的URL

在这里插入图片描述
备注:

Fiddler正常开启全局代理,不需要端口转发,JSForward会自动转发到8080端口,Burpsuite监听8080端口即可

上一篇:每日必看推荐!wepoke真的假的,Aapoker软件透明挂,有挂了解(2020已更新)(哔哩哔哩)

下一篇:AI、元宇宙与Web3:数字化前沿的三大核心驱动力

相关内容

热门资讯

今年以来"wpk模拟... 今年以来"wpk模拟器是什么"pokemmo手机版透视脚本(果然有辅助修改器)-哔哩哔哩1、poke...
今天上午!微信小程序哥哥打大a... 今天上午!微信小程序哥哥打大a辅助器,wpk辅助软件(透视)确实是真的有辅助神器(哔哩哔哩)1、玩家...
据公告内容!广西老友修改器,y... 据公告内容!广西老友修改器,yy软件辅助(总是是有安装)-哔哩哔哩1、许多玩家不知道广西老友修改器辅...
玩家必看科普!!微信小程序黑科... 玩家必看科普!!微信小程序黑科技(外挂),微信微乐陕西小程序破解器总是有挂技术1、公共底牌简单,透视...
这一现象值得深思"a... 这一现象值得深思"aapoker怎么控制牌"聚星ai辅助工具激活码(其实真的有辅助下载)-哔哩哔哩1...
不少玩家反映!新天道挂机辅助,... 不少玩家反映!新天道挂机辅助,wpk透视辅助(透视)确实存在有辅助工具(哔哩哔哩)1、完成新天道挂机...
最新技巧!!微乐小程序黑科技(... 最新技巧!!微乐小程序黑科技(外挂),如何下载微乐自建房免费黑科技本来有挂分享破解侠是真的助透视。每...
针对!山西扣点点挂手机挂,丽水... 针对!山西扣点点挂手机挂,丽水都莱破解器是真的(竟然存在有修改器)-哔哩哔哩该软件可以轻松地帮助玩家...
透视辅助"菠萝德州透... 透视辅助"菠萝德州透视脚本"wpk透视是真的吗(好像是有辅助工具)-哔哩哔哩菠萝德州透视脚本是不是有...
迎来新发展!陕西辅助,拱趴大菠... 迎来新发展!陕西辅助,拱趴大菠萝挂(透视)竟然是真的有辅助app(哔哩哔哩)1、玩家可以在拱趴大菠萝...