首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

第44篇:绕过前端加密的账号密码爆破-易语言网页填表模块

Part1 前言 随着现在网站研发人员的安全意识越来越高,在网站登录的用户名密码处,一般都进行了前端js加密,这个时候如果使用burpsuite暴力破解的话,必须找到js解密函数对密码字典进行加密...,但是有时候前端js代码经过了加密混淆,或者是网站的前端放置了一台动态加密防火墙设备,把网站所有页面全部动态加密(仍可绕过),这种情况下找到js解密函数是非常困难的。...大约在10年前自学了易语言易语言有专门为解决前端JS加密问题的模块,名字叫做“网页填表”,我平时也用这个模块来实现自动化的用户名密码枚举。...Part2 技术研究过程 网页表单分析 为了演示,我本地搭建了一个环境,网站的登录入口如下。接下来演示一下,如何用易语言的“网页填表”模块进行自动化用户名密码爆破,而不用关心前端js加密问题。...易语言网页填表 接下来使用易语言的“网页填表”模块编写自动输入用户名密码的代码。首先使用易语言IDE拖拽一个“超文本浏览框”图形控件,很快编写完成一个IE内核的浏览器。

1.8K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    成熟后门身披商业外衣,对抗杀软实现远控

    近期,火绒威胁情报中心监测到一个名为“企业智能化服务平台” 网页上托管的文件存在恶意行为,火绒安全工程师第一时间提取样本进行分析。...打开该网页后会自动下载一个名为 "合同.rar" 的文件到本地。解压运行该文件后,会从内存中解密多个子文件进行加载和释放,最终运行易语言远控代码,实现对受害者机器的完全访问控制。...网页界面 样本执行流程如下所示: 样本执行流程图 一 样本分析 从 “合同.rar” 中解压出来 “合同.exe” ,该程序为易语言编写的引导程序: 易语言入口点 “合同.exe” 执行时,会先检查...,开启下一阶段操作: 启动 "tomcat.exe" 进程 释放文件列表 tomcat.exe : "tomcat.exe" 也是由易语言编写的程序,但由黑月编译器进行编译: 入口点截图 该程序会在前期初始化阶段解密出...根据 HP-Socket 官网介绍,其中的 HP-Socket 为高性能网络通信框架,同时它为易语言的编程语言提供接口。

    8310

    JS前端加密 后端java解密

    经过排查发现是因为前端在登录的时候没有对密码等用户信息做加密处理 解决方案:   做一下最简单的处理,前端采用JS自带的 atob加密,后端采用工具解密 前端JS代码: //加密字符串,可以先将中文加密...= encodeURIComponent(str); encStr = btoa(encStr); return encStr; }, //解密...,可以先将ascii解密,然后再将非ascii解密 decrypt(str) { var decStr = atob(str); decStr = decodeURIComponent...解密后得到admin 后端测试: ?...和前端一致,这样才能做到加密解密的效果 建议:   整体来说就是一次最简单的加密解密,当然这个相对不是特别安全,可以在这个基础之上,对等于号做一些处理,再通过一些其他的算法来多次加密也可以,最好是一些带随机盐的

    9.6K20

    某气网js逆向解密

    但是抓不到包,无法获取网页数据,让我参谋参谋。 下面进入正题: Js逆向需要的开发环境: 1、安装node.js并配置好环境变量。...得到url打开某气网:     在网页中,选择大气环境选项。     这就是我们需要的数据,输入开始结束日期能获得一张数据图。     ...既然已经找到了对应的js代码,下面就是常规打断点调试环节了。     在1575处打上断点,点击网页刷新。     ...好了,漫漫逆向路才走一半,还要把这堆乱码解密。。     #### 数据解密 ####     我们再回过头去看开始那个ajax请求。  ...这是保存下来的某气网js逆向解密方法,如有不足之处或更多技巧,欢迎指教补充。愿本文的分享对您之后爬虫有所帮助。谢谢~

    3.6K20

    crypto-js aes 加解密

    前端 crypto-js aes 加解密 背景 前段时间公司做项目,该项目涉及到的敏感数据比较多,经过的一波讨论之后,决定前后端进行接口加密处理,采用的是 AES + BASE64 算法加密~ 网上关于...,加深大家对 AES 算法的理解~ 这里我以 Vue 作为例子,其他的也就大同小异了~ 要用 AES 算法加密,首先我们要引入 crypto-js ,crypto-js 是一个纯 javascript...,我们可以采用 npm install crypto-js --save 进行下载安装,也可以直接去 GitHub下载源码~ 其次我们需要定义两个方法 ,分别是用于加密和解密,这里我将它放在了 utils...文件夹下,命名为 secret.js ,其具体代码如下: const CryptoJS = require('crypto-js'); //引用AES源码js const key =...:{"name":"Chris","sex":"male"} 结语 至此,你已经 get 了前端 AES 加解密的方法,是不是感觉很简单啊,用起来很简单,原理可不简单,况且这也只是其中的一种方案,关于加解密的方法还有很多

    7.2K30

    js实现:输入密码才能打开网页js实现密码保护的网页

    js实现:输入密码才能打开网页,即js实现密码保护的网页。...(password()); 可能有人会疑虑,密码就在代码中,如果别人查看一下源码就知道密码了, 嗯哪,确实存在这个问题,虽然上面代码中做了些防护,如果密码输不对的话,就返回上一页,但只要在浏览器中关掉js...功能就可以打开网页查看js源码, 那么如何解决呢?...当然有办法,使用js密码加密混淆啊,出大招:Jshaman(http://www.jshaman.com/),可以在线加密js代码, 就把上面的代码,用jshaman加密一下,加密后代码如下: var...js实现密码保护的网页,就是这么简单。 PS:有网友问,上面的代码怎么用。哦,很初级的问题,这样:在html文件中,放在script标签里就可以了。

    5.7K30
    领券