分析網站登錄處的加密算法

原創 谢公子 2020-06-24 21:12

在某次滲透過程中,碰到了一個登錄的網站。於是隨便輸了個 admin/123456進行登錄嘗試,準備burp抓包,進行爆破。

發現 password 字段進行了加密,粗略一看很像是MD5加密。但是仔細對比,發現123456的MD5值爲:e10adc3949ba59abbe56e057f20f883e ,而不是包中的 9f27a19583a386e11dd6b7bb141161fd 。所以,就需要分析js代碼,判斷出該字段的解密方式了。

右鍵檢測,切換到 Network 選項,點擊登錄,抓到一個數據包。沒錯,就是我們進行登錄的數據包。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

PHP文件包含命令(include,require)及漏洞利用

include (或 require)語句會獲取指定文件(可以是任意文件類型例如:jpg,txt,html,asp等),如果是本地文件包含的話,服務器找到文件後返回所有內容;如果是遠程文件包含的話,就是把服務器獲取到的響應內容返回。

Gs_Yu 2020-06-24 10:49:20

IIS6.0文件解析缺陷(asa,cer,cdx)

IIS對文件解析可以用ISAPI擴展。 有的網站在上傳檢測中會用"黑名單"方法,但是有時會忽略asa、cer、cdx擴展名文件上傳,以至於webshell上傳成功。 這是因爲默認情況下,IIS對其後綴名映射到了asp.dll,asp.dl

Gs_Yu 2020-06-24 10:49:07

【Web漏洞】PHP sprintf格式化字符串漏洞

原理 sprintf() 把百分號(%)符號替換成一個作爲參數進行傳遞的變量: <?php $number = 2; $str = "Shanghai"; $txt = sprintf("There are %u million car

JohelLiang 2020-06-20 00:28:35

【web前端加密】Chrome開發者工具之控制檯調用函數

說明: 本文以某站前端手機號加密,來演示瀏覽器控制檯調用函數的使用(所有瀏覽器皆一樣,本文以Chrom爲例) 過程: 1、點擊發送驗證碼,發現手機號存在加密,即調用了加密函數 2、定位加密函數,爲sendPhoneMsg() 3、在

JohelLiang 2020-06-07 16:10:27

Web漏洞_XSS(cookie與session、DVWA1.9版本XSS反射型、存儲型靶機實驗、BeEF基本使用)

BeatRex 2020-06-04 12:09:10

Web漏洞_文件包含(原理、分類、利用)

BeatRex 2020-06-04 12:09:10

Web漏洞_SQL注入(DVWA1.9版本SQL injection/SQL injection(Blind)靶機實驗)

BeatRex 2020-06-04 12:09:10

Web漏洞_文件上傳總結(前端js驗證、後端驗證、DVWA1.9版本實驗)

BeatRex 2020-06-04 12:09:10

SQL注入分類、防禦

BeatRex 2020-06-04 12:09:10

XSS(跨站腳本攻擊)詳解

谢公子 2020-06-03 21:28:38

【Web漏洞】寬字節注入

JohelLiang 2020-04-19 05:14:32

SQL注入過濾的繞過

谢公子 2020-03-01 07:27:18

【sql】Mysql報錯注入之count 、group by 、floor、rand函數注入

JohelLiang 2020-02-23 10:35:38

【Web漏洞】記一次與XXE漏洞的愛恨糾纏

JohelLiang 2020-02-21 02:26:27

【Web漏洞】任意文件下載漏洞

JohelLiang 2020-02-21 02:26:27