首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

第44篇:绕过前端加密的账号密码爆破-易语言网页填表模块

Part1 前言 随着现在网站研发人员的安全意识越来越高,在网站登录的用户名密码处,一般都进行了前端js加密,这个时候如果使用burpsuite暴力破解的话,必须找到js解密函数对密码字典进行加密...,但是有时候前端js代码经过了加密混淆,或者是网站的前端放置了一台动态加密防火墙设备,把网站所有页面全部动态加密(仍可绕过),这种情况下找到js解密函数是非常困难的。...大约在10年前自学了易语言易语言有专门为解决前端JS加密问题的模块,名字叫做“网页填表”,我平时也用这个模块来实现自动化的用户名密码枚举。...接下来演示一下,如何用易语言的“网页填表”模块进行自动化用户名密码爆破,而不用关心前端js加密问题。...易语言的网页填表 接下来使用易语言的“网页填表”模块编写自动输入用户名密码的代码。首先使用易语言IDE拖拽一个“超文本浏览框”图形控件,很快编写完成一个IE内核的浏览器。

1.8K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    JS解密之有道词典

    点开查看,发现是一个POST请求,提交了一下内容 i:翻译内容 from:来源语言 to:翻译到哪种语言 smartresult:不知道 cliend:翻译桌面网页,嗯字面是这个意思 salt:看着像一个时间戳...不知道是什么东西加密的 ts:又一个时间戳 bv:不知道什么加密+1 doctype:大概是返回什么格式吧 version:版本 keyfrom:网页翻译 action:点击按钮这个动作吧 全局搜索sign,发现一个js...文件 点击进入,格式化,在搜索一次sign 有15个,慢慢查找 最后发现这里返回了几个值,可以看到就是之前post的内容 在这里下一个断点,然后再点击一次翻译按钮 e:这里的e就是之前输入的翻译内容...'version': '2.1', 'keyfrom': 'fanyi.web', 'action': 'FY_BY_REALTlME', } html = requests.post

    3K20

    JS前端加密 后端java解密

    经过排查发现是因为前端在登录的时候没有对密码等用户信息做加密处理 解决方案:   做一下最简单的处理,前端采用JS自带的 atob加密,后端采用工具解密 前端JS代码: //加密字符串,可以先将中文加密...= encodeURIComponent(str); encStr = btoa(encStr); return encStr; }, //解密...,可以先将ascii解密,然后再将非ascii解密 decrypt(str) { var decStr = atob(str); decStr = decodeURIComponent...解密后得到admin 后端测试: ?...和前端一致,这样才能做到加密解密的效果 建议:   整体来说就是一次最简单的加密解密,当然这个相对不是特别安全,可以在这个基础之上,对等于号做一些处理,再通过一些其他的算法来多次加密也可以,最好是一些带随机盐的

    9.6K20

    某气网js逆向解密

    再来看看,post请求form数据:  是一个POST请求,表单(Form)是一个变量为加长乱码的数据。     等等,结尾是“==”,神似base64加密的尾巴。...接下来我们需要去偷网站的js代码,因为我们选择走js逆向最简单的路——靠Pyexecjs模块,用python去执行js代码。...好了,漫漫逆向路才走一半,还要把这堆乱码解密。。     #### 数据解密 ####     我们再回过头去看开始那个ajax请求。  ...本案例我们就只有解决了一类数据的加密和解密,有兴趣的小伙伴可以也来尝试下其他数据的获取。      ...这是保存下来的某气网js逆向解密方法,如有不足之处或更多技巧,欢迎指教补充。愿本文的分享对您之后爬虫有所帮助。谢谢~

    3.6K20

    crypto-js aes 加解密

    前端 crypto-js aes 加解密 背景 前段时间公司做项目,该项目涉及到的敏感数据比较多,经过的一波讨论之后,决定前后端进行接口加密处理,采用的是 AES + BASE64 算法加密~ 网上关于...,加深大家对 AES 算法的理解~ 这里我以 Vue 作为例子,其他的也就大同小异了~ 要用 AES 算法加密,首先我们要引入 crypto-js ,crypto-js 是一个纯 javascript...,我们可以采用 npm install crypto-js --save 进行下载安装,也可以直接去 GitHub下载源码~ 其次我们需要定义两个方法 ,分别是用于加密和解密,这里我将它放在了 utils...文件夹下,命名为 secret.js ,其具体代码如下: const CryptoJS = require('crypto-js'); //引用AES源码js const key =...:{"name":"Chris","sex":"male"} 结语 至此,你已经 get 了前端 AES 加解密的方法,是不是感觉很简单啊,用起来很简单,原理可不简单,况且这也只是其中的一种方案,关于加解密的方法还有很多

    7.2K30

    Node.js GET、POST 请求是怎样的?

    作为一种强大的后端开发工具,Node.js 提供了丰富的模块和功能,使开发人员能够轻松地构建高性能的网络应用程序。本文将重点讨论 Node.js 中的 GET 和 POST 请求。...在 Node.js 中处理 POST 请求处理 POST 请求同样需要使用 Node.js 的内置模块 http 或者第三方模块 express。下面分别介绍两种方式。...总结本文详细介绍了在 Node.js 中处理 GET 和 POST 请求的方法。GET 请求适用于获取资源和读取数据,而 POST 请求适用于提交数据和创建、更新或删除资源等操作。...在处理 GET 和 POST 请求时,你可以使用 Node.js 内置的 http 模块或者第三方模块 express。...通过本文的学习,相信你已经掌握了在 Node.js 中处理 GET 和 POST 请求的方法。

    69520

    成熟后门身披商业外衣,对抗杀软实现远控

    分析中发现样本为易语言编写的成熟后门,能根据 C2 指令实现对受害者机器的完全控制。除此之外,它还会检测受害者机器中杀软的安装情况进行对抗,上传受害者系统中相关信息,并设立开机启动项进行持久化驻留等。...解压运行该文件后,会从内存中解密多个子文件进行加载和释放,最终运行易语言远控代码,实现对受害者机器的完全访问控制。...网页界面 样本执行流程如下所示: 样本执行流程图 一 样本分析 从 “合同.rar” 中解压出来 “合同.exe” ,该程序为易语言编写的引导程序: 易语言入口点 “合同.exe” 执行时,会先检查...,开启下一阶段操作: 启动 "tomcat.exe" 进程 释放文件列表 tomcat.exe : "tomcat.exe" 也是由易语言编写的程序,但由黑月编译器进行编译: 入口点截图 该程序会在前期初始化阶段解密出...根据 HP-Socket 官网介绍,其中的 HP-Socket 为高性能网络通信框架,同时它为易语言的编程语言提供接口。

    8310

    勒索病毒不要赎金或跟风“WannaRen 火绒已解密并阻断传播渠道

    通过查看和分析样本发现,该勒索病毒为易语言编写,加密文件后追加字符“_HD",与以往常见的勒索病毒不同的是,该勒索病毒并没有留下任何联系方式与勒索赎金的信息,但包含了一段可逆的解密算法和“我是勒索,求逆算法...”的挑衅信息,并留下了部分解密线索。...根据中文聊天记录、弹窗消息与易语言编写病毒等特征来看,基本肯定为国人所为,且其目的并非为了获取解密赎金,只是为了向用户和安全厂商炫耀技术并进行挑衅。...此外,不排除该病毒作者有跟风4月初爆发的,同样是易语言编写的勒索病毒“WannaRen”的嫌疑。 ? 事实上,由于易语言上手较为容易,契合国人语言环境,在国内传播较为广泛,使用者偏多。...同时这也导致一些利用易语言编写勒索病毒并攻击用户的案例开始逐渐增长,甚至出现本文所述的“只为炫技,不为钱财”的勒索案例。

    75420
    领券