前端断点调试到管理员登陆-CSDN博客

本文链接：https://blog.csdn.net/Libao657/article/details/145256395

发现前端漏洞
This is a 靶标，出于保密原因我就不上图了，长得非常泛微。

一般看到这种一眼通用的系统我都会直接跑路，但是一开始说了，this is a 靶标，所以还得先看一看。

由于前端一眼打包器，跑一跑URL。一轮下来也是一堆堆401，但有两个带sql的路径居然是200：在这里插入图片描述
这倒是有意思，直接发到重发器看看返回。
由于不知道参数，直接返回脚本为空。但看返回的意思是可以直接执行sql语句？

于是折回前端看看js，看是否能找到参数。一番查找，很幸运的是路由跟参数表放在一起：在这里插入图片描述
sqlpart不出意外就是语句，argspart不知道，就先置为空。那么就代入参数再试一试：
显示解密错误，应该是跟某种加密有关。那么我们返回js再向上看，确实套了一层des加密：
直接搜索函数的名字：
这里也是个很简单的标准DES，只不过两个参数key和iv不以明文方式出现。函数采用了类似导出的方式，它的上下文不太好找。

不过一般存在加密的网站会对所有请求包进行加密，所以我们可以先登录试试看看能不能直接走到这个函数，然后下断点抓key。函数第一行下断点前端登录查看是否能断下，结果并没有，请求包越过我的断点飞奔而去：

在这里插入图片描述
看来登陆请求使用的并非这个加密函数。那么我们如何通过断点调试获得key和iv呢？总不能真的手算吧？

创造一个断点调试的环境
获取一个desEncrypt
在遇到看似误解的难题时，我们通常需要细心观察。在函数所在js文件中上下查找，发现这个文件中存在多个加解密函数：
在这里插入图片描述
而它们都属于同一个导出。那么假设存在一个调用a.rsaEncrypt，那么这个a是否也有desEncrypt的上下文呢？依照这个思路，我们可以随机找一个使用加密的包然后在调用加密时下断。如果不想找，也可以给所有加密函数下断，然后等待调用。

还是登录包，在函数rsaEncrypt处断下。向前跳一个堆栈，来到encrypt函数处：

在这里插入图片描述
此时console会获得当前的上下文（也就是当前作用域下所有变量），我们尝试在console下调用desEncrypt，成功：

在这里插入图片描述
然后我们在控制台中将这个函数“导出”，也就是存储为全局变量：
然后放开断点，直接调用导出的变量，成功：
下断点v2
现在我们获得了一个可以直接调用的加密函数，先试用此函数试试SQL语句是否能够执行，比如加密select 1：

在这里插入图片描述
执行成功~这下起码确认漏洞是存在的。但本脚本小子肯定不愿意手动一个个调用desE再复制粘贴，所以需要一个全自动工具帮我跑出库名表名等，比如sqlmap。这就需要我找到真正的key，而不仅仅是在console中获得一个导出（其实笔者写的插件processorRemote可以在这种情况下跑，这里出于研究心态继续了）。

那就又回到断点问题，如何在没有调用的情况下进断点？

很简单，写一个调用不就行了^ ^。山不就我我来就山嘛。

已知登陆时会调用r[“a”].rsaEncrypt，那么启用本地替换并在前面补上一行r[“a”].desEcrypt(“a”)不就能进入desEncrypt的调用了？
在这里插入图片描述
说干就干，右键选择替换内容，然后在encrypt的第一行输入r[“a”].desEcrypt(“a”)，下断。
再次登陆，跟随断点直接获取到密钥的值：
再战管理员
解不出一毛
一通瞎跑然后使用经典的用户表查询，也是很快就获取到了一个普通权限的账号密码登陆。本来一切顺风顺水~但突然来了个应急，笔者跟着帽子叔叔出去浪了一天，第二天到公司的时候sqlmap咋跑都跑不动了，低权限账号进去也是啥都没有，有个屁啊！在这里插入图片描述
但是冷静下来想，加密注入怎么可能一天就修了？这又不是GHvv，而且其他路由都没有问题，账号也可以继续登录——这并不像是应急的痕迹。