本文详细介绍了破解不同难度等级的网站Token加密方法,包括MD5、路径访问及JS加密等,通过Burpsuite填写破解后的Token值实现登录,适合安全研究者及开发者学习。
做完这个项目感觉就是破解密码,总结一句话:寻找前段token加密的方法,然后自己写相关加密过程,得到最终的token值,然后利用burpsuite填写token就OK了。(这是学习总结,实验博客在这里:https://blog.youkuaiyun.com/qqchaozai/article/details/102756976)
low级:f12后,看见token值加密是使用MD5,下载页面,在生成token函数添加alert(MD5(rot13("success")));这样直接弹出token值。
medium级:f12后,参考文章写是是使用路径访问,但是如果使用火狐浏览器,在调试器可以直接看见使用js文件加密。还是可以将破解代码写在页面上。function do_something(e){for(var t="",n=e.length-1;n>=0;n--)t+=e[n];return t} alert(do_something("XX"+'success'+"XX"))。重要的就是这一句。然后是burpsuite填写相关的token值。
high级:f12后,在调试器中看见加密的js代码所以需要http://deobfuscatejavascript.com/# 解密加密的js代码,接下来参考实验博客编写破解代码。
不可能级别:你改任你改,反正不信任你。
接下是课外知识:暂时没有。
扫一扫
591
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
