记一次使用JSRPC半自动化逆向数据包的过程

文摘 2024-11-13 11:23 北京

文章导读

声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

众亦信安，中意你啊！

点不了吃亏，点不了上当，设置星标，方能无恙！

基本情况

日子一天比一天难熬啊，如图所示老板给渗透的站点数据包全加密了。

前车之鉴，生怕让我卷铺盖走人，没办法头发掉点就掉点吧。

定位加解密函数

找到关键字CipherText，直接F12全局搜索打上断点，1分钟定位（实际60秒）

加密函数: (0, u.getSm2DataHexByObject)

解密函数: (0, u.getSm2DataByString)

配置JsRpc

由于加解密函数无法全局调用，所以要先把它们通过window变量代理到全局，以便全局调用。

debug到加密或解密函数的时候，在控制台分别输入下面的代码

这里有个小重点，由于加密函数的入参是一个object，也就是json对象，但是json对象不利于写代码传输，所以这里的mysm2enc函数的入参我改成了base64编码后的字符串，然后通过atob和JSON.parse对字符串进行解析（类比反序列化）

window.mysm2enc = function(encodedStr) {    try {        console.log("+++加密+++  ",encodedStr)        // 解码 base64 加密后的字符串        var decodedStr = decodeURIComponent(atob(encodedStr));        var jsonObj = JSON.parse(decodedStr);        // 调用 getSm2DataHexByObject 函数并返回结果        var result = (0,u.getSm2DataHexByObject)(jsonObj);        console.log("---加密---  ",result)        return result;    } catch (error) {        console.error("Error encrypt or parsing:", error);        return null;    }};
window.mysm2dec = function(encodedStr) {    try {        console.log("+++解密+++  ",encodedStr)        var result = (0,u.getSm2DataByString)(encodedStr);        console.log("---解密---  ",result)        return result;    } catch (error) {        console.error("Error decrypt :", error);        return null;    }};

然后在非debug情况下，测试一下函数的可用性。

加解密函数准备好后，通过在控制台执行以下代码，配置并连接jsrpc。

jsrpc项目地址：https://github.com/jxhczhl/JsRpc

function Hlclient(wsURL) {    this.wsURL = wsURL;    this.handlers = {        _execjs: function (resolve, param) {            var res = eval(param)            if (!res) {                resolve("没有返回值")            } else {                resolve(res)            }
        }    };    this.socket = undefined;    if (!wsURL) {        throw new Error('wsURL can not be empty!!')    }    this.connect()}
Hlclient.prototype.connect = function () {    console.log('begin of connect to wsURL: ' + this.wsURL);    var _this = this;    try {        this.socket = new WebSocket(this.wsURL);        this.socket.onmessage = function (e) {            _this.handlerRequest(e.data)        }    } catch (e) {        console.log("connection failed,reconnect after 10s");        setTimeout(function () {            _this.connect()        }, 10000)    }    this.socket.onclose = function () {        console.log('rpc已关闭');        setTimeout(function () {            _this.connect()        }, 10000)    }    this.socket.addEventListener('open', (event) => {        console.log("rpc连接成功");    });    this.socket.addEventListener('error', (event) => {        console.error('rpc连接出错,请检查是否打开服务端:', event.error);    });
};Hlclient.prototype.send = function (msg) {    this.socket.send(msg)}
Hlclient.prototype.regAction = function (func_name, func) {    if (typeof func_name !== 'string') {        throw new Error("an func_name must be string");    }    if (typeof func !== 'function') {        throw new Error("must be function");    }    console.log("register func_name: " + func_name);    this.handlers[func_name] = func;    return true
}
//收到消息后这里处理，Hlclient.prototype.handlerRequest = function (requestJson) {    var _this = this;    try {        var result = JSON.parse(requestJson)    } catch (error) {        console.log("catch error", requestJson);        result = transjson(requestJson)    }    //console.log(result)    if (!result['action']) {        this.sendResult('', 'need request param {action}');        return    }    var action = result["action"]    var theHandler = this.handlers[action];    if (!theHandler) {        this.sendResult(action, 'action not found');        return    }    try {        if (!result["param"]) {            theHandler(function (response) {                _this.sendResult(action, response);            })            return        }        var param = result["param"]        try {            param = JSON.parse(param)        } catch (e) {}        theHandler(function (response) {            _this.sendResult(action, response);        }, param)
    } catch (e) {        console.log("error: " + e);        _this.sendResult(action, e);    }}
Hlclient.prototype.sendResult = function (action, e) {    if (typeof e === 'object' && e !== null) {        try {            e = JSON.stringify(e)        } catch (v) {            console.log(v)//不是json无需操作        }    }    this.send(action + atob("aGxeX14") + e);}
function transjson(formdata) {    var regex = /"action":(?<actionName>.*?),/g    var actionName = regex.exec(formdata).groups.actionName    stringfystring = formdata.match(/{..data..:.*..\w+..:\s...*?..}/g).pop()    stringfystring = stringfystring.replace(/\\"/g, '"')    paramstring = JSON.parse(stringfystring)    tens = `{"action":` + actionName + `,"param":{}}`    tjson = JSON.parse(tens)    tjson.param = paramstring    return tjson}
//连接var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=firefox");

提示连接成功。

写MITM脚本，解密成功

这里要写两个MITM代理脚本，

下游代理: 位于浏览器和burp之间，监听端口设置为7070，转发到burp的8080。

负责将密文请求数据包解密，明文发给burp，以及重新加密明文响应，以便浏览器可以正常显示。

上游代理: 位于burp和服务器之间，监听端口设置为9090，设置burp的数据包转发到9090。

负责将明文请求数据包重新加密发给服务器，以及将服务器返回的密文响应解密，明文发给burp。

如图：（图片来源：https://xz.aliyun.com/t/13218）

下游代理，MITM-downstream.py

mitmdump -p 7070 -s MITM-downstream.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure

from mitmproxy import flowfilter,ctxfrom mitmproxy.http import HTTPFlowfrom mitmproxy import flowfilterfrom mitmproxy.http import HTTPFlowimport base64import jsonimport timeimport requestsfrom urllib.request import quote, unquote

class Mimitdownstream():    flag = 2    TargetHost = ["127.0.0.1"]    group = "new1"
    def mysm2enc(self,data):        jscode = """mysm2enc111(\"{}\")""".format(data)        url = "http://localhost:12080/execjs"        data = {            "group": self.group,            "code": jscode        }        res = requests.post(url, data=data)        return json.loads(res.text)['data']
    def mysm2dec(self,data):        jscode = "mysm2dec111(\"{}\")".format(data)        url = "http://localhost:12080/execjs"        data = {            "group": self.group,            "code": jscode        }        res = requests.post(url, data=data)        return json.loads(res.text)['data']
       def request(self,flow):        if flow.request.host in self.TargetHost:            print("======处理下游请求======")            # 获取请求头 header            req_header = flow.request.headers            # ctx.log.info(req_header)    
            # 获取请求体 body            req = flow.request.get_text()            print(req)
            # 修改请求头            req_json = json.loads(req)            if self.flag == 1:                req_json['new-down'] = "下游请求"                CipherText = req_json['CipherText']                # 进行JsRpc SM2解密                PlaintText = self.mysm2dec(CipherText)                ctx.log.info(PlaintText)                req_json['PlaintText'] = PlaintText            elif self.flag == 2:                  # 进行JsRpc SM2解密                CipherText = req_json['CipherText']                PlaintText = self.mysm2dec(CipherText)                ctx.log.info(PlaintText)                req_json = json.loads(PlaintText)            # 处理json.dumps中文问题 ensure_ascii=False            new_req_str = json.dumps(req_json,ensure_ascii=False)            ctx.log.info(new_req_str)
            # 设置修改过后的请求体            flow.request.set_text(new_req_str)

    def response(self,flow):        # if '{"CipherText"' in flow.response.text:        if 1:            print("======处理下游响应======")
            # 获取请求头 header            rep_header = flow.response.headers            ctx.log.info(rep_header)
            # 获取请求体 body            rep = flow.response.get_text()            ctx.log.info(rep)
            # 修改请求头            rep_json = {}            if self.flag == 1:                rep_json = json.loads(rep)                pass            elif self.flag == 2:                CipherText = self.mysm2enc(base64.b64encode(quote(rep).encode()).decode())                rep_json['CipherText'] = CipherText            ctx.log.info(rep_json)            # 处理json.dumps中文问题 ensure_ascii=False            new_rep_str = json.dumps(rep_json,ensure_ascii=False)            ctx.log.info(new_rep_str)
            # 设置修改过后的请求体            flow.response.set_text(new_rep_str)

addons = [Mimitdownstream(),]

上游代理 MITM-upstream.py

mitmweb -p 9090 -s MITM-upstream.py --ssl-insecure

from mitmproxy import flowfilter,ctxfrom mitmproxy.http import HTTPFlowfrom mitmproxy import flowfilterfrom mitmproxy.http import HTTPFlowimport base64import jsonimport requestsfrom urllib.request import quote, unquote
class Mimitupstream():    flag = 2    TargetHost = ["222.190.116.142"]    group = "new1"        def mysm2enc(self,data):        jscode = """mysm2enc111(\"{}\")""".format(data)        url = "http://localhost:12080/execjs"        data = {            "group": self.group,            "code": jscode        }        res = requests.post(url, data=data)        return json.loads(res.text)['data']
    def mysm2dec(self,data):        jscode = "mysm2dec111(\"{}\")".format(data)        url = "http://localhost:12080/execjs"        data = {            "group": self.group,            "code": jscode        }        res = requests.post(url, data=data)        return json.loads(res.text)['data']

    def request(self,flow):        if flow.request.host in self.TargetHost:            print("======处理上游请求======")            # 获取请求头 header            req_header = flow.request.headers            ctx.log.info(req_header)
            # 获取请求体 body            req = flow.request.get_text()            ctx.log.info(req)
            # 修改请求头            # req_json = json.loads(req)            if self.flag == 1:                pass            elif self.flag == 2:                print("======",req,type(req))                CipherText = self.mysm2enc(base64.b64encode(quote(req).encode()).decode())                req_json = {}                req_json['CipherText'] = CipherText                # req_json['new-up'] = "上游请求"                print(req_json)                print("=======")            ctx.log.info(req_json)             # 处理json.dumps中文问题 ensure_ascii=False            new_req_str = json.dumps(req_json,ensure_ascii=False)            ctx.log.info(new_req_str)
            # 设置修改过后的请求体             flow.request.set_text(new_req_str)

    def response(self,flow):        if '{"CipherText"' in flow.response.text:            print("======处理上游响应======")
            # 获取请求头 header            rep_header = flow.response.headers            ctx.log.info(rep_header)
            # 获取请求体 body  (str)            rep = flow.response.get_text()            ctx.log.info(rep)
            # 修改请求头            rep_json = json.loads(rep)            if self.flag == 1:                rep_json['new-up'] = "上游响应"                pass            elif self.flag == 2:                                PlaintText = self.mysm2dec(rep_json['CipherText'])
                ctx.log.info(PlaintText)                rep_json = json.loads(PlaintText)            ctx.log.info(rep_json)            # 处理json.dumps中文问题 ensure_ascii=False            new_rep_str = json.dumps(rep_json,ensure_ascii=False)            ctx.log.info(new_rep_str)
            # 设置修改过后的请求体            flow.response.set_text(new_rep_str)


addons = [Mimitupstream(),]

代码运行情况：

Burp显示效果：

再和之前的对比一下：

http://mp.weixin.qq.com/s?__biz=MzIzMjg0MjM5OQ==&mid=2247487855&idx=1&sn=ec438cb7c017d9cc37332479ff9c98f3

嗨嗨安全

提供网络安全资料与工具,分享攻防实战经验和思路。

最新文章

记一次使用JSRPC半自动化逆向数据包的过程

证书，网安必不可少的东西！

第八届强网杯全国网络安全挑战赛 WriteUp

心理学帮我“炉石传说”上传说

2024网鼎杯白虎组初赛---WriteUp（部分，仅供参考学习）

靶机实战系列之Vegeta靶机

靶机实战系列之dawn靶机

靶机实战系列之Funbox2靶机

靶机实战系列之Tre靶机

靶机实战系列之school靶机

6.ViewState安全问题全解（万字长文）

网络数据安全管理条例--全文

应急响应——全类型JAVA内存马排查

《炉石》

靶机实战系列之darkhole_2靶机

应该如何寻找参数的蛛丝马迹？

红队笑传之穿穿部-记一次攻防演练被某部委安全团队拷打全过程

靶机实战系列之Presidential靶机

网络安全产业，甲方弱，乙方菜，资本乱灌水

ofbiz权限绕过远程执行漏洞(CVE-2024-45195)

原创|Searchall3.5.10敏感信息搜索工具

万字总结信息收集(全网最全)

大学生在哪里？羊毛速薅→OffSec课程

“让中产快速返贫”的餐饮业，我来了！

BypassUAC姿势一|基于白名单注册表劫持BypassUAC（带脚本和编译程序）

安卓app逆向hook加解密基础案例保姆级教程

黑客(红队)攻防中LLMNR/NBNS欺骗和desktop.ini获取哈希(hash)

一定不要错过的知识库合集！

学习干货|万字总结-速看！当CTF与实战结合，一篇成为CTFer

【移动样本分析】移动端假冒借贷，诈骗APP病毒家族逆向

"成熟后门"再度投递，银狐变种利用MSI实行远控

【情报速递】HW 最新木马样本集情报

Jeecgboot|SpringKill的0day越权issue提交过程

CVE-2024-21683：Confluence远程代码执行漏洞

大白哥免杀课(不多说，非常靠谱！)

Java内存马基础(一)--三大件（Servlet、Filter、Listener）

学习干货|HVV必学远控工具及Webshell流量合集分析(建议收藏+附面试题)

靶机实战系列之Presidential靶机

域内武器化工具1.5W字详解（适合快速复制粘贴命令）

拒绝先涨后降套路，网安618开启，推荐即有好礼相赠~

Confluence Data Center and Server认证后RCE(CVE-2024-21683)漏洞分析

PHP代码审计-文件读取漏洞容易被忽略的点！

域内渗透手法全解（万字长文+实验）适合收藏

非常好用----魔改SQLMAP工具

RCE宝典重磅回归！全面升级你的知识库！

记一次文件包含之“梦回A9大户”

Js Route Scan---好工具，快来看看把！

奇安信官宣全员无年终奖

PDF加密竟然是纸老虎！！！！

成为渗透测试工程师最不能缺少的东西！

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉