渗透中的逆向工具-jsrpc实操手记

前言

在渗透测试过程中，有些网站的接口参数是加密的。对于逆向小菜鸡的我来说，遇到这种网站总是束手无策，不能修改其中的参数，也就无法进行下一步的测试。偶然间发现一款js逆向工具jsrpc，它可以直接调用网页加密函数，免去繁琐的扣代码步骤。

实操

构造方法

这里以该网站为例，如图所示，请求体和响应体皆为加密字符串

直接在js中找“encrypt(”关键字，发现有点多

直接使用xhr进行断点（原理是触发/login请求处断点），往前几行找到请求体中param的传参及加密加密方法

加密处再次进行断点，发现加密的参数如下

这里继续往前找secret的生成位置

此处加密的参数为m，m的值如下这里前面部分皆可由js中自动获取，后面部分为传入的用户名密码

至此整个加密的代码片段如下

在加密处进行断点，并将整个加密代码片段构造提升为有参的全局方法

构造后调用，放掉后若与数据包一致则为成功

解密方法也是如此，这里不过多赘述

至此已将加解密代码提升为全局的有参方法

建立连接

在控制台中输入jsrpc所需代码（jsrpc项目中的js文件代码）

打开jsrpc监听

按照jsrpc使用文档中所述，构造方法，建立jsrpc连接

代码调用

编写python的调用代码

运行如下

调试小技巧及避坑

小技巧

可以在注册全局方法的时候，将怀疑出问题的地方插入打印代码console.log()，后续jsrpc在进行调用该方法的时候就可以在控制台进行打印

坑点

python将json格式（如a='{"password":"1212","username":"1212"}'）传到控制台时，会变成var param={"password":"1212","username":"1212"}，此时输出会发现，这里变成了Object类型，拼接后会变成[object Object]

解决方法是在构造方法时，将传入的参数使用JSON.stringify()进行处理

param=JSON.stringify(param);

总结

总体工作流程如下

1、客户端（本程序）将原始请求数据通过JSRPC服务器（本地）加密

2、客户端将加密数据发送给目标API

3、目标API返回响应密文

4、客户端将响应的密文通过JSRPC服务器解密，得到原始响应