本文只做技術研究學習,請勿用于非法用途
本文只做技術研究學習,請勿用于非法用途
本文只做技術研究學習,請勿用于非法用途
實戰傳送門 --> 某登錄頁面
由于我很久之前就分析過這個網站,所以還算熟,主要分為兩部分
1、密碼登錄
密碼登錄相對來說簡單很多,因為在分析程序中只涉及到密碼的加密,其他資料幾乎都是明文
2、短信登錄
而短信登錄,相對來說比較復雜,其中有一個關鍵資料token需要找js生成的地方,比較難,
之后會對自寫加密演算法進行分析
我們今天分析密碼登錄部分,畢竟這篇文章研究的是MD5演算法(我提前分析過了,所以知道是MD5演算法)
好,那我們開始吧
還是老規矩,先清理瀏覽器cookie(如果有不會的小伙伴,建議先去看我的另一篇文章: MD5演算法實戰JS解密)
1、打開開發者除錯工具(快捷鍵F12)
2、在登錄界面輸入賬號密碼,點擊登錄

3、然后我們可以抓到一個login.php的包,可以看到我們輸入的密碼(明文為123456)已經被加密了

4、由于FormData中的資料需要提交給服務器,所以我們可以這么想,提交的資料是不是應該都在一個代碼塊中呢? 其實大部分都是的,所以在我們有些時候搜索資料很多的時候,不妨去搜索跟他一起提交的引數名,像這里,直接搜索pwd

5、跟進第一個JS檔案到,仍然采用搜索的方式確定pwd所在源代碼位置,可以發現這么一處代碼,熟悉JavaWEB開發的小伙伴應該就很熟悉了,這不就ajax(阿賈克斯嘛),data里面就是提交給服務器的資料,我們發現pwd用md5Password賦值了,想必看到這,加密演算法已經很明了,但是我們接著跟md5Password,看看他是怎么生成的

6、搜索框輸入md5Password搜索,可以發現就在上方定義的md5Password,然后它是由CryptoJS這個加密庫中的MD5演算法加密的,那么引數是什么呢,我們不妨在這里打一個斷點除錯看看

7、可以發現明文就是我們輸入的密碼加上一段字串“zol”,

8、所以到這里這個登錄就基本上分析完了,密碼就是一個MD5加密,怎么驗證呢,也是很簡單,打開我們的工具,檢驗一下即可

需要工具的小伙伴可以去公眾號
【奈玖吃土的編程技術】
里免費領取
有很多實用的逆向工具,你想要的那兒都有
最后,歡迎來一起交流逆向方面的知識
奈玖還會一些安卓逆向
多交流才是逆向思維得以增長的方式
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/302054.html
標籤:其他
上一篇:JVM類加載機制--敲門篇
下一篇:微服務埠占用
