基于AAEncode编码的解密经历

有天，正在干活，领导突然发了一个静态页面，说通过办公网流量获取的一个url，可以查询公司所有员工的靓照，截图如下：

 

这极大的引发了我们安全部门的高度重视，立马对页面进行了分析。

    
    
    


    

        查看

        
    
    
    

页面极简单，主要是这个js脚本，这是什么？

1. 通过对sojson.com的浏览和颜符号的搜索，确定加密编码方式是AAEcode。

2. 对AAEncode的原理进行了了解，github查阅了AAEncode的源代码。确定了一点，浏览器的开发者工具可以完全还原这段代码。

3. 在 ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻   //*´∇｀sojson.com*/的位置打上断点，一直单步调试，直到浏览器还原了所有的js脚本；

// 安全原因不能公开所有代码
(function anonymous(
) {
return"\166\141\162\40\157\102\164\156\40\75\40..." // var oBtn = ...
})

由于已经提前知道这个是8进制的代码：参考链接：颜文字混淆工具aaencode解析 - rainforwind - 博客园

 所以扔到python中去解码即可。如上图的注释一般。

最后解码后完全了解了脚本的功能，根据员工工号去某个业务系统查询员工的照片。

最最后，破口大骂：“吃饱了撑的！”，然后使用Threadpool遍历拉照片

最后做个总结：林子大了什么鸟都有