【逆向】打开页面403,加密值如何有其它页面内正则提取并更新

一、问题出现

# import requests
# url = 'https://www.regulations.gov/search?sortBy=postedDate&sortDirection=desc'
# response = requests.get(url)
# print(response.text)
正常页面打开没有自己看到的内容。

F12找到新的地址

import requests

# headers = {
#     'accept': 'application/vnd.api+json',
#     'accept-language': 'zh-CN,zh;q=0.9',
#     # 'origin': 'https://www.regulations.gov',
#     'priority': 'u=1, i',
#     'referer': 'https://www.regulations.gov/',
#     'sec-ch-ua': '"Not)A;Brand";v="99", "Google Chrome";v="127", "Chromium";v="127"',
#     'sec-ch-ua-mobile': '?0',
#     'sec-ch-ua-platform': '"Windows"',
#     'sec-fetch-dest': 'empty',
#     'sec-fetch-mode': 'cors',
#     'sec-fetch-site': 'same-site',
#     'user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36',
#     'x-api-key': '5F20SbTVakeYfU9i5gX1dxx96sw4KELUQxAHhcHa',
# }
#
#  params = {
#     'page[number]': '1',
#     'sort': '-postedDate',
#  }
# 
#  response = requests.get('https://api.regulations.gov/v4/documents', params=params, headers=headers)
# # print(response.status_code)

响应内容出现了,但是有一个问题反爬的内容在header中

'x-api-key': '5F20SbTVakeYfU9i5gX1dxx96sw4KELUQxAHhcHa',

'referer': 'https://www.regulations.gov/',页面跳转处

二、如何解决这个问题

通过搜索发现在这个页面中

通过请求获取响应

# import requests


#
# headers = {
#     'accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7',
#     'accept-language': 'zh-CN,zh;q=0.9',
#     'cache-control': 'max-age=0',
#     # 'cookie': '_gid=GA1.2.2002642573.1724280773; _ga_CSLL4ZEK4L=GS1.1.1724280769.1.1.1724281416.0.0.0; _ga=GA1.2.708221610.1724280770; _ga_JGTFN0MKWK=GS1.2.1724280773.1.1.1724281419.0.0.0',
#     'if-modified-since': 'Wed, 22 May 2024 21:16:53 GMT',
#     'if-none-match': 'W/"664e60c5-d68"',
#     'priority': 'u=0, i',
#     'sec-ch-ua': '"Not)A;Brand";v="99", "Google Chrome";v="127", "Chromium";v="127"',
#     'sec-ch-ua-mobile': '?0',
#     'sec-ch-ua-platform': '"Windows"',
#     'sec-fetch-dest': 'document',
#     'sec-fetch-mode': 'navigate',
#     'sec-fetch-site': 'same-origin',
#     'sec-fetch-user': '?1',
#     'upgrade-insecure-requests': '1',
#     'user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36',
# }

# response = requests.get('https://www.regulations.gov/search?sortBy=postedDate&sortDirection=desc',  headers=headers)
# print(response.text)
#
# # apiKey%22%3A%22 5F20SbTVakeYfU9i5gX1dxx96sw4KELUQxAHhcHa  %22%2C%22apiCommentKey
# import re
# api_key= re.search(r"apiKey%22%3A%22(.*?)%22%2C%22apiCommentKey",response.text).group(1)
# print(api_key)
# headers.update({"x-api-key":api_key})

# # apiKey%22%3A%22 5F20SbTVakeYfU9i5gX1dxx96sw4KELUQxAHhcHa %22%2C%22apiCommentKey

这里要用到正则,re.search(r"apiKey%22%3A%22(.*?)%22%2C%22apiCommentKey",response.text).group(1)

并更换x-api-key的值注意格式问题

# headers.update({"x-api-key":api_key})

三、代码实现

import requests

headers = {
    'accept': 'application/vnd.api+json',
    'accept-language': 'zh-CN,zh;q=0.9',
    # 'origin': 'https://www.regulations.gov',
    'priority': 'u=1, i',
    'referer': 'https://www.regulations.gov/',
    'sec-ch-ua': '"Not)A;Brand";v="99", "Google Chrome";v="127", "Chromium";v="127"',
    'sec-ch-ua-mobile': '?0',
    'sec-ch-ua-platform': '"Windows"',
    'sec-fetch-dest': 'empty',
    'sec-fetch-mode': 'cors',
    'sec-fetch-site': 'same-site',
    'user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36',
    'x-api-key': '2',
}

# response1 = requests.get('https://www.regulations.gov/search?sortBy=postedDate&sortDirection=desc',  headers=headers)
# print(response1.text)
#
# # apiKey%22%3A%22 5F20SbTVakeYfU9i5gX1dxx96sw4KELUQxAHhcHa  %22%2C%22apiCommentKey
# import re
# api_key= re.search(r"apiKey%22%3A%22(.*?)%22%2C%22apiCommentKey",response1.text).group(1)
# print(api_key)
# headers.update({"x-api-key":api_key})

response = requests.get('https://api.regulations.gov/v4/documents', headers=headers)
print(response.status_code)

正常打开页面

<think>好的,用户之前问过关于一句话木马的内容,现在又问大部分采用的加密算法及其优缺点。我需要先确认用户的具体需求。他搭建了靶场,研究不同语言的一句话木马,现在可能想了解攻击者常用的加密方式,以便更好地检测或防御。 首先,我得回想常见的一句话木马常用的加密方法。通常,为了绕过WAF或静态检测,攻击者会使用Base64、AES、异或加密、RC4和自定义算法等。这些加密算法各有优缺点,需要分别解释。 然后,用户可能想知道这些加密方法的优缺点,以及它们在实战中的应用场景。例如,Base64虽然简单,但容易被识别;AES安全性高,但需要密钥管理;异或加密实现简单,但可能被分析破解。 还要考虑用户的实际应用场景,他可能在搭建靶场进行安全测试,需要了解如何检测这些加密流量或如何加强防御。可能需要提到流量特征,如固定的参数名、密钥交换方式等。 另外,用户可能对防御措施感兴趣,比如如何检测加密木马,是否需要动态分析或行为监控。所以,在回答时要结合攻击和防御的角度,给出实际例子,如冰蝎使用AES加密,说明其优缺点。 还要注意法律和安全警告,确保用户了解在合法环境中测试,避免误用。最后,可以建议用户进一步研究混淆技术或内存马,作为进阶方向。 总结,需要分点列出常见加密算法,每个算法的优缺点,结合实际攻击工具的例子,帮助用户理解应用场景。同时,提供防御建议,帮助用户提升检测能力。在</think>Web安全攻防中,攻击者常对一句话木马(WebShell)的通信流量或代码本身进行加密/混淆,以绕过防火墙(WAF)和静态检测。以下是常见的加密算法及其优缺点分析: --- ### **1. Base64 编码** - **用途**:最基础的混淆手段,常用于加密指令或代码片段。 - **示例**: ```php <?php @eval(base64_decode($_POST['z'])); ?> ``` - 攻击者发送`z=base64_encode("system('whoami');")`执行命令。 - **优点**: - 实现简单,几乎所有语言都支持。 - 可绕过基于明文关键词(如`eval`、`system`)的简单检测。 - **缺点**: - **易识别**:Base64字符串有明显的字符集(A-Za-z0-9+/=)和长度特征。 - **无密钥保护**:直接解码即可获取明文,安全性极低。 --- ### **2. AES 加密** - **用途**:冰蝎(Behinder)、哥斯拉(Godzilla)等高级WebShell工具的核心加密算法。 - **示例**(冰蝎流量特征): - 请求/响应内容为AES加密的二进制流。 - 密钥通过固定字符串或协商机制生成(如`md5(password)[0:16]`)。 - **优点**: - **强安全性**:AES-128/256为国际标准算法,难以暴力破解。 - **动态密钥**:部分工具支持密钥协商,避免硬编码。 - **流量隐蔽**:加密后无明文特征,可绕过正则匹配类WAF。 - **缺点**: - **固定特征**:部分工具在HTTP头部或Cookie中留有指纹(如`X-Requested-With: XMLHttpRequest`)。 - **密钥管理风险**:若密钥泄露或被爆破,通信链路将暴露。 --- ### **3. XOR 异或加密** - **用途**:常用于免杀木马的代码层混淆。 - **示例**(PHP异或加密): ```php <?php $key = "secret"; $payload = xor_encrypt("system('whoami');", $key); eval(xor_decrypt($payload, $key)); ?> ``` - **优点**: - **轻量高效**:异或运算速度快,适合短指令加密。 - **可定制性强**:可结合随机密钥或多次异或增强复杂度。 - **缺点**: - **易被统计分析**:异或加密后的数据可能保留部分统计特征。 - **静态密钥风险**:若密钥硬编码在代码中,可通过逆向提取。 --- ### **4. RC4 加密** - 流加密算法,加密速度快。 - 密钥长度可变,常用于混淆较短指令。 - **优点**: - **无固定块长度**:适合实时通信加密。 - **实现简单**:代码量少,适合嵌入木马。 - **缺点**: - **已知漏洞**:RC4存在偏差攻击风险,已不推荐在安全场景使用。 - **流量特征**:部分实现会固定初始化向量(IV),留下模式特征。 --- ### **5. 自定义加密算法** - **用途**:高级攻击者可能混合多种算法或设计私有加密逻辑。 - **示例**: - 多轮Base64 + 异或 + 字符替换。 - 动态生成加密函数(如每次请求变换算法顺序)。 - **优点**: - **绕过公开规则**:私有算法无法被通用检测规则匹配。 - **灵活性强**:可针对特定防护设备设计对抗方案。 - **缺点**: - **开发成本高**:需自行处理算法稳定性、加解密一致性。 - **隐蔽性陷阱**:过于复杂的加密可能引发异常行为(如CPU占用过高)。 --- ### **6. 加密技术对比表** | 算法 | 安全性 | 性能 | 隐蔽性 | 典型工具 | 检测难点 | |------------|--------|-------|--------|------------------|--------------------------| | Base64 | 低 | 高 | 低 | 简易WebShell | 需解码后检测 | | AES | 高 | 中 | 高 | 冰蝎、哥斯拉 | 动态密钥、流量无特征 | | XOR | 中低 | 高 | 中 | 免杀木马 | 需逆向分析密钥 | | RC4 | 中 | 高 | 中 | 旧版中国菜刀 | 流加密模式识别 | | 自定义算法 | 不定 | 不定 | 高 | APT组织定制工具 | 无公开特征,需行为分析 | --- ### **7. 防御者应对策略** 1. **流量特征检测**: - 识别固定参数名(如`cmd`、`ant`)或HTTP头部特征。 - 监控高频次、固定长度的加密数据包(如冰蝎的固定心跳机制)。 2. **动态沙箱分析**: - 在隔离环境中执行可疑代码,观察是否触发敏感行为(如连接C2服务器)。 3. **密钥爆破监控**: - 对异常请求进行AES/XOR密钥穷举尝试,记录多次失败行为。 4. **机器学习模型**: - 训练模型识别加密流量的统计特征(如熵、字节分布)。 --- ### **8. 攻击者对抗趋势** - **无特征加密**:采用TLS隧道(如WebSocket over HTTPS)隐藏通信。 - **内存加密**:仅在内存中解密 payload,避免文件落地扫描。 - **协议伪装**:将加密数据嵌入正常协议(如DNS隧道、HTTP图片像素隐写)。 --- ### **总结** - **攻击方视角**:AES和自定义加密是主流,平衡了安全性和性能。 - **防御方视角**:需结合静态特征、动态行为和多维度日志分析,而非依赖单一检测手段。 如果需要深入探讨某类加密算法的实现代码或具体对抗案例,可以进一步交流! 🛡️
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

青龙摄影

你的鼓励是我创作的动力,支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值