本文只做技术研究学习,请勿用于非法用途
本文只做技术研究学习,请勿用于非法用途
本文只做技术研究学习,请勿用于非法用途
实战传送门 --> 某登录页面
由于我很久之前就分析过这个网站,所以还算熟,主要分为两部分
1、密码登录
密码登录相对来说简单很多,因为在分析过程中只涉及到密码的加密,其他数据几乎都是明文
2、短信登录
而短信登录,相对来说比较复杂,其中有一个关键数据token需要找js生成的地方,比较难,
之后会对自写加密算法进行分析
我们今天分析密码登录部分,毕竟这篇文章研究的是MD5算法(我提前分析过了,所以知道是MD5算法)
好,那我们开始吧
还是老规矩,先清理浏览器cookie(如果有不会的小伙伴,建议先去看我的另一篇文章: MD5算法实战JS解密)
1、打开开发者调试工具(快捷键F12)
2、在登录界面输入账号密码,点击登录
3、然后我们可以抓到一个login.php的包,可以看到我们输入的密码(明文为123456)已经被加密了
4、由于FormData中的数据需要提交给服务器,所以我们可以这么想,提交的数据是不是应该都在一个代码块中呢? 其实大部分都是的,所以在我们有些时候搜索数据很多的时候,不妨去搜索跟他一起提交的参数名,像这里,直接搜索pwd
5、跟进第一个JS文件到,仍然采用搜索的方式确定pwd所在源代码位置,可以发现这么一处代码,熟悉JavaWEB开发的小伙伴应该就很熟悉了,这不就ajax(阿贾克斯嘛),data里面就是提交给服务器的数据,我们发现pwd用md5Password赋值了,想必看到这,加密算法已经很明了,但是我们接着跟md5Password,看看他是怎么生成的
6、搜索框输入md5Password搜索,可以发现就在上方定义的md5Password,然后它是由CryptoJS这个加密库中的MD5算法加密的,那么参数是什么呢,我们不妨在这里打一个断点调试看看
7、可以发现明文就是我们输入的密码加上一段字符串“zol”,
8、所以到这里这个登录就基本上分析完了,密码就是一个MD5加密,怎么验证呢,也是很简单,打开我们的工具,检验一下即可
需要工具的小伙伴可以去公众号
【奈玖吃土的编程技术】
里免费领取
有很多实用的逆向工具,你想要的那儿都有
最后,欢迎来一起交流逆向方面的知识
奈玖还会一些安卓逆向
多交流才是逆向思维得以增长的方式