H5页面漏洞挖掘之路-混淆篇

这是 酒仙桥六号部队 的第 97 篇文章。

全文共计2489个字,预计阅读时长8分钟

前言

针对上次我们提交漏洞之后,我们再次查看JS代码,定位加密函数和解密函数的位置,发现已经不是赤裸裸没有任何防护,而是已经进行的了JS混淆,接下来我们针对遇到JS混淆后,我们该如何破解JS混淆后的代码进行加解密,继续进行渗透测试。笔者在这里提供一个思路和方法。


前置知识

首先我们先了解下代码混淆的具体原理是什么?其实很简单,就是去除代码中尽可能多的有意义的信息,比如注释、换行、空格、代码负号、变量重命名、属性重命名(允许的情况下)、无用代码的移除等等。因为代码是公开的,我们必须承认没有任何一种算法可以完全不被破解,所以,我们只能尽可能增加攻击者阅读代码的成本。

我将混淆类型分为两类:

变量名混淆

将变量名混淆成阅读比较难阅读的字符,增加代码阅读难度,而现在大部分厂商的混淆,都会将其混淆成16进制变量名。

效果如下:

`var test = 'helloworld';`

混淆后:

`var _0x7deb = 'helloworld';`

常量提取

将JS中的常量提取到数组中,调用的时候用数组下标的方式调用,这样的话直接读懂基本不可能了,要么反AST处理下,要么一步一步调试,工作量大增。

以上面的代码为例:

`var test = 'helloworld';`

复制代码混淆过后:

image.png

常量混淆

每个文件开头会有一个很长的字符数组,然后会有一段代码对这个数组进行加工,然后还有一个函数接收一个或两个参数输出一个字符串,这个字符串更接近原始的代码。将常量进行加密处理,上面的代码中,虽然已经是混淆过后的代码了,但是helloworld字符串还是以明文的形式出现在代码中,例如将关键字进行Unicode16进制编码。如下:

`var test = 'helloworld';`

结合常量提取得到混淆结果:

image.png


案例

第一部分: 变量名称存储数组

这里存储了一些在函数中用到的变量和字符串。

image.png

第二部分 数组处理函数

image.png

第三部分 数组字符串处理函数


// 这个是数组内容解码的函数, 实际上第二个参数是没有用到的
var _0x523d = function (_0x4c10d0, _0x393bf7) {
  _0x4c10d0 = _0x4c10d0 - 0; // 这里第一个参数是通过字符串传进来, 因此这里起到类型转换的作用  
  var _0x70d87b = _0x2ec2[_0x4c10d0]; // 这里 _0x70d87b 保存的是数组下标对应的值, 也就是, 解密第几个字符串  
  // 接下来判断有没有进行过初始化操作, 如果没有的话, 先初始化  
  if (_0x523d['CuFQcU'] === undefined) {   
   (function () {    
  var _0x5b57a4 = function () {       
   var _0x29e588;        
   try {        
     _0x29e588 = Function('return (function() ' + '{}.constructor("return this")( )' + ');') ();        
   } catch (_0x4956c9) {        
     _0x29e588 = window;        
   }        
   return _0x29e588;      
   };      
  var _0x2b121a = _0x5b57a4(); // 这里实际上返回的是 Window 对象      
  var _0x6c99b9 = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';     
  // 下面这个是判断Window有没有atob这个函数, 如果没有的话生成一个进去.      
  _0x2b121a['atob'] || (_0x2b121a['atob'] = function (_0x13f6f4) {      
    var _0x901f5e = String(_0x13f6f4) ['replace'](/=+$/, '');       
   for (var _0x240979 = 0, _0x43e3e8, _0x42ec25, _0x6ec31e = 0, _0x1c0a86 = ''; _0x42ec25 = _0x901f5e['charAt'](_0x6ec31e++); ~_0x42ec25 && (_0x43e3e8 = _0x240979 % 4 ? _0x43e3e8 * 64 + _0x42ec25 : _0x42ec25, _0x240979++ % 4) ? _0x1c0a86 += String['fromCharCode'](255 & _0x43e3e8 >> ( - 2 * _0x240979 & 6))  : 0) {       
      _0x42ec25 = _0x6c99b9['indexOf'](_0x42ec25);        
    }        
    return _0x1c0a86;      
    });    
   }());      
   
   _0x523d['ZEesoG'] = function (_0x1de802) {    
     var _0x216ff1 = atob(_0x1de802);      
     var _0x42331f = [      
     ];      
     for (var _0x3a392f = 0, _0x2319db = _0x216ff1['length']; _0x3a392f < _0x2319db; _0x3a392f++) {      
       _0x42331f += '%' + ('00' + _0x216ff1['charCodeAt'](_0x3a392f) ['toString'](16)) ['slice']( - 2);      
      }      
      return decodeURIComponent(_0x42331f);    
     };    
     // 到这里完成初始化操作, 置CuFQcU为true, 添加VgXLDn属性, 这个相当于是一个字典表, 如果已经解密过的东西就存进去, 下次就不用在解密了.    
     _0x523d['VgXLDn'] = {};    
     _0x523d['CuFQcU'] = !![];  
   }    
   
   // 后面这段是先判断之前有没有对传入的参数进行解密过, 如果解密过的话, 那么就不再解密了.  
   var _0x22ee7f = _0x523d['VgXLDn'][_0x4c10d0];  
   if (_0x22ee7f === undefined) {   
    _0x70d87b = _0x523d['ZEesoG'](_0x70d87b);    
    _0x523d['VgXLDn'][_0x4c10d0] = _0x70d87b; 
    } else {  
      _0x70d87b = _0x22ee7f;  
    }  
    return _0x70d87b;
 };

第四部分 加解密函数


function encrypt(_0xd0a5dd) { 
 var _0x2d682e = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x3'));  
 var _0x2d053c = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x4'));  
 var _0xa5c781 = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0xd0a5dd);  
 var _0x17d14e = CryptoJS[_0x523d('0x5')][_0x523d('0x6')](_0xa5c781, _0x2d682e, {  
   'iv': _0x2d053c,    
   'mode': CryptoJS[_0x523d('0x7')][_0x523d('0x8')],    
   'padding': CryptoJS[_0x523d('0x9')][_0x523d('0xa')]  
  });  
  return _0x17d14e[_0x523d('0xb')]();
 }
 function decrypt(_0x363945) {  
  var _0x41412c = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x3'));  
  var _0xf43728 = CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0x2')](_0x523d('0x4'));  
  var _0x2f2c26 = CryptoJS[_0x523d('0x5')][_0x523d('0xc')](_0x363945, _0x41412c, {  
   'iv': _0xf43728,    
   'mode': CryptoJS[_0x523d('0x7')][_0x523d('0x8')],    
   'padding': CryptoJS[_0x523d('0x9')][_0x523d('0xa')]  
  });  
  return CryptoJS[_0x523d('0x0')][_0x523d('0x1')][_0x523d('0xd')](_0x2f2c26) [_0x523d('0xb')]();
}

当我们分析整个混淆后的代码后, 我们可以手动断点调试, 来看看具体的解密之后每参数是什么。我们首先将整个混淆后的js代码copy下来,定义main()函数,调用加密encrypt和decrypt解密这两个函数,在浏览器下调试运行。

代码完美运行,在第三部分数组字符串处理函数的位置我们手动断点F10进行调试。

密钥key成功拿到:

向量IV成功拿到:

得知加密算法为AES:

AES加密算法使用的模式:mode=CBC

AES加密算法使用的填充方式:Pkcs7

至此混淆后的加密算法已破解,拿到加密算法的明文,我们可以编写python加解密脚本,加解密结果一致。

总结

JS混淆在安全对抗中必不可少,一是对保护前端页面的代码逻辑,二是对前端登陆的算法密钥和向量IV进行保护。而我们通过反混淆还原代码或者直接调用混淆后的JS代码进行调试,获取密钥和向量IV,从而达到解密密文,篡改数据包继续进行漏洞挖掘。

参考

https://www.52pojie.cn/thread-1104122-1-1.html#29856570_%E5%A3%B0%E6%98%8E


本文作者:酒仙桥六号部队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/144539.html

Tags:
评论  (0)
快来写下你的想法吧!

酒仙桥六号部队

文章数:105 积分: 865

提前看好文,搜索-微信公众号:酒仙桥六号部队

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号