一次简单的 JS 加密暴力破解

前言

---

某授权项目，登录口用户名和密码都进行了加密，之前从来没搞过记录一下学习过程。

看了CoolCat 师傅写的 https://github.com/TheKingOfDuck/burpJsEncrypter 奈何太菜今天利用不起来。

然后利用一下 c0ny1师傅 的 https://github.com/c0ny1/jsEncrypter 就成功了。

注意：都是好项目，没有说谁的好谁的不好。只是自己太菜利用不起来而已

过程

---

登录进行调试，发现加密过程

下载

jsEncrypter： https://github.com/c0ny1/jsEncrypter

phantomJS ：http://phantomjs.org/download.html

BurpSuite 设置好插件

把 phantomjs_server.js 和 要 下载好的加密JS文件 到 phantomJS 目录 （个人习惯）

修改 phantomjs_server.js 文件，加密的代码就是上面调试发现的

运行 phantomjs.exe

BurpSuite 在插件进行测试，成功进行了加密

然后设置爆破（本地演示好了）

没问题可以正常爆破

理想很丰满，现实很残酷。通过暴力破解得到了用户名，但是在暴力破解密码的时候，因密码次数错误太多账号被锁了。卒...

结束

---

这是一个比较简单的前端加密了，我还是搞了很久。自学踩坑无数，大佬不愿意解答这简单的问题。

总结到位：就是自己太菜了