暴力破解之前端AES加密

oxo1 前言

现在好多登录框都有前端加密了,刚好碰到比较简单的便记录下来分享给大家(主要难的我也不会:(),需要对您有一点点帮助。

oxo2 过程

1、绕过登录失败次数

在测试登录的时候,连续输出 5 次之后就提示 5分钟后再次

img

这种情况首先想到的请求头伪造 IP 进行绕过,可以看到成功绕过。使用 fakeIP 可以批量爆破

fakeIP插件:https://github.com/TheKingOfDuck/burpFakeIP

img

2、登录框调试

对登录框的位置一步步调试,发现了加密的方法

暴力破解之前端AES加密_第1张图片

对字符串进行加密

暴力破解之前端AES加密_第2张图片

3、批量加密测试

使用 jsEncrypter 进行批量加密

jsEncrypter:https://github.com/c0ny1/jsEncrypter

phantomJS :http://phantomjs.org/download.html

加载插件

暴力破解之前端AES加密_第3张图片

下载网站的加密文件(ase.js)到 phantomJS 目录

暴力破解之前端AES加密_第4张图片

修改 phantomjs_server.js ,加密方法为上面调试得到的

暴力破解之前端AES加密_第5张图片

运行 phantomjs 同时在插件执行,发现成功加密了

暴力破解之前端AES加密_第6张图片

4、爆破设置

设置 Attack type:Pitchfork

暴力破解之前端AES加密_第7张图片

设置随机的 IP fakeIp插件

暴力破解之前端AES加密_第8张图片

设置账号(也可以在第3步的时候把字典进行加密然后就可以直接导入字典了。因为这里加密后的字符串是不会变的,可以先生成加密后的字典)

暴力破解之前端AES加密_第9张图片

开始爆破

暴力破解之前端AES加密_第10张图片

oxo3 结束

暴力破解之前端AES加密_第11张图片

你可能感兴趣的:(暴力破解之前端AES加密)