书接上文,上次的文章讲述了前端动态调试获取加密的方式,但是像上文那种采用对称加密后再次加盐进行编码,测试起来就很麻烦,所以为了便于测试,此次讲解如何利用mitmdump进行加密再对抗。
首先回顾一下上文的加密方法核心代码,如下图所示:
代码抠出来了,我们先不理会sign的生成;可以看到,实际上流程是很清晰的:encryptParam(config.data.data) 方法为实际对请求体加密的方法,而跟进encryptParam(param)方法,首先截取token后六位与硬编码字符串进行拼接生成key,而后第一次使用encrypt()方法进行TripleDES加密,并将值赋值给des3Str;之后将des3Str与salt进行结合后,再次进行TripleDES加密,并输出windows系统安装mitmdump请自行下载安装;由于我们知道了加密方法,实际上response返回也一样是相同的加密,所以我们可以先写一个简单的脚本,将两次解密后的数据输出打印在控制台
首先我们需要获取token后六位,这个抓个包就能拿到;其次是我们需要知道待解密参数的格式、参数是什么
可以看到,请求和返回的格式都是json格式的,分别是data和bizContent,所以可以先写一个简单脚本,直接解密请求和返回
des3_decrypt其实是解密函数的封装;浅浅的运行一下,默认mitmdump的代理端口是8080,注意别和burpsuite的代理冲突
大家对付看一下,此时可以看到,请求和返回都解密成功了,最起码不需要复制粘贴去解密了不是,接下来做的就是继续修改脚本,将明文的请求和返回发送给burpsuite,可以先试一下单独将请求包发送给burpsuite看看效果,只需要在代码原有基础上加一句话就行
而后将burpsuite作为下级代理,下级代理就是流量从客户端传入到mitmdump,mitmdump再将流量回传给burpsuite
执行命令
mitmdump -p 7070 -s d3.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure
设置浏览器代理为7070,这样流量就会先经过mitmdump ,然后经过burpsuite,我们可以先看一下效果
可以看到,请求包已经是明文了,但是发送数据包后,数据返回是异常的
请求正常返回异常,这是因为burpsuite发送请求是明文的,明文请求发送给服务端,服务端是没有办法解析的,因为传回的数据正常应该是密文的,所以导致响应时效,这个时候就引入了第二个知识点:上级代理但是这里需要说明一下,mitmdump的下级代理是burpsuite,所以经过mitmdump的流量才能经过burpsuite;那么如果在burpsuite设置上游代理,那么经过burpsuite的流量就会重新经过mitmdump进行加密回传给服务器,从而实现burpsuite明文流量但是不影响web的响应过程
所以这里我们需要利用mitmdump编写一个加密明文request请求的脚本来实现这个功能
此时下游代理脚本d3.py保持不变,上游脚本en3.py如上所示,而后分别运行
mitmdump -p 7070 -s d3.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure
mitmdump -p 9091 -s encrypt.py --ssl-insecure
此时浏览器依然设置7070代理,burpsuite设置8080代理,同时在burpsuite增加上级代理
运行后,重新触发功能点;需要注意的是,无论是上级代理脚本还是下级代理脚本,即使是暂时不处理返回包response请求,也需要进行单独请求,否则依然会报错
首先请求发现下级代理的请求和响应都是正常的,此时对burpsuite的数据包进行拦截、重放,发现请求正常
请求路径为:
客户端 -> mitmproxy:7070(解密) -> Burp:8080 -> mitmproxy:9071(加密) -> 服务器
响应路径则应该为:
服务器 -> mitmproxy:9091(解密) -> Burp:8080 -> mitmproxy:7070(加密) -> 客户端
所以我们只需要补充下游代理对返回包的加密流程补充,上游代理对返回包解密流程的补充,即可完成完整的请求链路,实现burpsuite的明文请求、明文响应
完整的下游代理d3.py脚本如下:
完整的上游代理en3.py脚本如下:
重新运行脚本
mitmdump -p 7070 -s d3.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure
mitmdump -p 9091 -s encrypt.py --ssl-insecure
此时burpsuite发包正常
至此完成全部的解密加密流程
