实战 | 一文教你如何逆向(二)
2024-1-10 12:54:37 Author: F12sec(查看原文) 阅读量:19 收藏

申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
公众号现在只对常读和星标的公众号才展示大图推送,
建议大家把 明暗安全
 设为星标,否则可能就看不到啦!

1.漏洞背景

继续接上次,我们已经可以成功调用加密函数获得w的值,虽然已经成功调用,但是传入参数也是有加密的,所以今天我们继续深入分析。

逆向1地址:

实战 | 一文教你如何js逆向(一)

参数e中的pow_msg和pow_sign逆向

发现有两个参数,我们先看第一个参数e

发现有两个参数pow_msgpow_sign我们不能进行构造,需要继续分析。其余参数中setLeft为滑动的距离,userresponse由计算得到,剩下的参数都可固定。

在i的上一个栈中我们发现了关键字pow_msg,对应文中的编码为"\u0070\u006f\u0077\u005f\u006d\u0073\u0067"

我们进行全局搜索,发现只有三个结果,并且两个都在同一个方法中,在函数入口下断点,然后重新获取验证码进入断点。

该方法中的参数比较多,我们逐个分析。

其中 e 为 'a1f54fb19958473f9688109fe44eb414' ,进行全局搜索这个参数。

在load返回包中发现了该值,为lot_number,并且也发现了pow_detail值,正好为加密函数参数的n,s,r,i值

就剩下t = '24f56dc13c40dc4a02fd0318567caef5'值我们继续搜索。结果一看就明白了,为captcha_id

分析完参数了我们回到加密函数。将方法进行导出。定义名字为window.qingtong_s

成功在本地执行,并且得到这两个参数。    

参数t的构成

在控制台中打印t参数发现有一大坨东西,根据经验来看,肯定不是全都用上的。

我们回到上一篇文章的导出方法中,将该参数传入空值,发现提示options未定义

再查看加密函数中的t的引用,发现只有一个options,所以我们只需要构造该值即可。

在控制台中输出t["options"],发现箭头指向的值我们已经全部解决了。只需要简单构造即可。    

附上我构造的代码仅供参考。

最后滑块的识别和验证的发包就不过多叙述了,识别直接用开源的即可。

附上我的成功调用截图。

有兴趣的小伙伴可以一起加群交流啊,关注公众号回复加群即可,一起探讨逆向在渗透中的应用。

————————————————————
  • 往期精彩推荐

实战 | 记一次Bugcrowd实战挖掘
工具 | burp被动扫描xss神器
工具 | 无回显变可回显rce

❤️爱心三连击

1.本文已收录在明暗官方网站:http://www.php1nf0.top/



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NjU3NzE3OQ==&mid=2247488799&idx=1&sn=52fc559a083eca079fe9330b0a249cb8&chksm=c15ec65c7dfc53a2f93ce3c675394e5132f4ccc0df587c9ffe3df7fe6d1ecd7445a62e0b7113&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh