记一次C/S架构的渗透测试-请求加解密及测试

柔情只为你懂 2024-04-07 10:33 91阅读 0赞

### 0x00 概述 ###

目标站点是http://www.example.com，官网提供了api使用文档，但是对其测试后没有发现漏洞，目录、端口扫描等都未发现可利用的点。后发现官网提供了客户端下载，遂对其进行一番测试。

### 0x01 信息收集 ###

先抓了下客户端的包，使用Fiddler和BurpSuite都抓不到，怀疑走的不是HTTP协议，用WireShark查看其确实用的是HTTP协议，但是数据包不好重放，这里最后使用了WSExplorer抓指定进程的包，成功抓取到通信的数据，抓到的数据如下，绿色的是请求包，红色的是响应包。![在这里插入图片描述][acbd1f351211ef3dd58f68ab8f1cbc90.png]  
数据包又分为两部分，一个是请求行和请求头。

![在这里插入图片描述][b3619cee234269213452568a854a1213.png]  
一个是请求正文。![在这里插入图片描述][f182e309b0ea73dbd6f454fe46b2722b.png]  
拼接起来即可放到BurpSuite中进行数据包的重放![在这里插入图片描述][5d81706c12df329127a929bb9b23b94f.png]

### 0x03 测试过程 ###

可看到请求包经过了加密再传输，返回的响应包也经过了加密。但是加解密总归是在客户端进行的，所以可从分析客户端入手。

使用Exeinfo PE查壳，可得知使用的是.NET框架 C\#开发的程序。![在这里插入图片描述][47630289395ee40fe411fada218fcd0d.png]  
可以使用dnspy，针对.NET程序的逆向工程工具，对客户端的加解密进行分析。打开后发现类及方法的命名都是无规律的数字字母，代码做了混淆。![在这里插入图片描述][b31b3f1cc2b7da27c11f55498f6c2ac9.png]  
混淆了的代码不利用阅读分析，可使用De4Dot尝试反混淆，支持很多种混淆加密工具混淆过的源码。

de4dot-x64.exe origin.exe

即可得到反混淆后的程序 origin-cleaned.exe![在这里插入图片描述][67dc7aae1ca5366a20cb5a03130977a0.png]  
将反混淆后的程序拖入dnspy查看，可看到基本已还原，提高了可读性。![在这里插入图片描述][a0032a8f8f3b665976bd34925d474eb9.png]  
因为其通信采用的是HTTP协议，又发现有个类名为HttpHelper，跟进分析，代码不多看到一个Post函数，疑似为对数据加密并发起Post请求的方法，如图。![在这里插入图片描述][ce92d24aaebaba8716abc0d168970e24.png]

调用了MM.Encrypt()对请求的参数进行加密，跟进方法，发现其中关键的加密函数应该就是MM类下的test05函数。![在这里插入图片描述][f444b32d6fbc4cc32d6743df8887c99e.png]  
下断点，验证程序是否调用此函数进行加密并传输，我在明文及密文处下了断点。![在这里插入图片描述][683c0b4800f6437da2987e4c3509cbe0.png]  
F5启动程序，输入账号密码test123456，登录。![在这里插入图片描述][16dec6d634bf05026c7e3c8d68cbbc04.png]  
程序在断点处停了下来，明文中包含我输入的账号test123456和md5加密过的密码。![在这里插入图片描述][c0d42a13038c2921f7cfdebebc44ed3d.png]

放行，得到经过加密的内容，可确定就是调用了此处的加密函数。![在这里插入图片描述][76b5007e7267b2b71d570e160d62b641.png]  
后又证实响应包解密调用的是MM类下的test06函数，请求包加密函数test05及响应包解密函数test06都是调用Dll中对应的函数。![在这里插入图片描述][4faf6d1725a6f712658d024d309b952a.png]

此处加解密调用的是两套方法，不能用解密函数去解密请求包加密后的数据。为了方便测试，以及快速加解密，将其加解密函数扣出来，同样调用Dll里的函数，编译成一个独立的程序，这样也不用分析算法。

这里我使用的是SharpDevelop编译的，使用Visual Studio总是会报错…

public static string decryptResponse(string cipher){
    	byte[] bytes = Encoding.UTF8.GetBytes(cipher);	
    	byte[] array = new byte[bytes.Length + 128];
    	int count = Program.test06(ref bytes[0], ref array[0]);
    	string text = Encoding.UTF8.GetString(array, 0, count);
    	return text;
    }	
    	
    public static string encryptRequest(string plain){
    	byte[] bytes = Encoding.UTF8.GetBytes(plain);		
    	int num = bytes.Length * 2 + 128;
    	if(num<32){
    		num = 64;
    	}
    	byte[] array = new byte[num];
    	int num2 = 0;
    	num2 = test05(ref bytes[0], ref array[0]);
    	string result = Encoding.UTF8.GetString(array, 0, num2);
    	return result;
    }

加密![在这里插入图片描述][6b25bf0c017824af63978d9620976496.png]

解密![在这里插入图片描述][2c2125b4c98128795e206c89194ef57f.png]  
再用Python的Flask框架在本地写一个代理转发程序，方便在BurpSuite中进行重放测试。  
流程如下：

1.  本地发送明文数据包到代理
2.  代理接收到请求包
3.  调用程序对请求包进行加密
4.  将加密后的数据包转发给服务器
5.  调用程序对服务器返回的内容解密
6.  返回给明文数据到本地

from flask import request, Flask
    from urllib.parse import quote
    import requests
    import os
    
    headers = {
    	'User-Agent': 'Mozilla',
    	'Content-Type': 'application/x-www-form-urlencoded',
    	'Accept-Encoding': 'gzip, deflate',
    }
    
    app = Flask('example')
    @app.route('/example', methods=['POST'])
    
    
    def proxy():
    	form = request.form
    	request_plain = ''
    	for key in form:
    			request_plain += '&{}={}'.format(key, form[key])
    	response_plain = test(request_plain)
    	return response_plain
    
    def encrypt(filename):
    	encrypt_cmd = 'crypto.exe -encrypt {}'.format(filename) #要加密的内容 从文件读取
    	result = os.popen(encrypt_cmd) # 执行exe
    	request_cipher = quote(result.read()) #加密后的内容 经过一次url编码把 + 号 转成 %2B 服务端才能识别
    	return request_cipher
    
    def decrypt(filename):
    	decrypt_cmd = 'crypto.exe -decrypt {}'.format(filename) #要解密的内容 从文件读取
    	result = os.popen(decrypt_cmd) # 执行exe
    	response_plain = result.read() # 读取解密后的内容
    	return response_plain
    
    def test(request_plain):
    	url = 'http://example.com/api/'
    	plain_txt = 'plain.txt'
    	with open(plain_txt, 'w') as f1:
    		f1.writelines(request_plain) # 存放明文到plain.txt
    	request_cipher = encrypt(plain_txt) # 加密明文
    	response = requests.post(url=url, data=request_cipher, headers=headers) #发送请求
    	cipher_txt = 'cipher.txt'
    	with open(cipher_txt, 'w') as f2:
    		f2.writelines(response.text) #存放密文到cipher.txt
    	response_plain = decrypt(cipher_txt) # 解密密文
    	return response_plain
    
    if __name__ == '__main__':
    	app.run(host='0.0.0.0', port=9999, debug=True)

这里每次请求的接口都是一样的，改变的只是请求体中的参数。在CodeService中有所有接口的明文，全部提取出来。![在这里插入图片描述][3859eee0d9b108afbae06b403f7fd729.png]

即可正常的在BurpSuite中进行测试~![在这里插入图片描述][d050a077ab33c322272cc94d83376b41.png]

最后成功在一个接口中发现SQL注入。![在这里插入图片描述][adcaab10722c795cc9d2f49bafa73541.png]

### 0x04 总结 ###

1.通过WSExplorer抓指定进程的包,发现http协议的数据包已加密

2.使用Exeinfo PE查壳，可得知使用的是.NET框架 C\#开发的程序

3.使用dnspy对程序进行反编译，发现源码已混淆加密

4.使用De4Dot尝试反混淆，支持很多种混淆加密工具混淆过的源码

de4dot-x64.exe origin.exe

5.再次使用dnspy对程序进行反编译，然后查看到程序加密的函数方法，对其断点，然后按F5运行，程序在断点处停了下来，明文中包含我输入的账号test123456和md5加密过的密码。

6.找到程序的加密和解密函数段，将其主要代码抠出来，使用python编写

7.再用Python的Flask框架在本地写一个代理转发程序，方便在BurpSuite中进行重放测试。

流程如下：

本地发送明文数据包到代理

代理接收到请求包

调用程序对请求包进行加密

将加密后的数据包转发给服务器

调用程序对服务器返回的内容解密

返回给明文数据到本地

原文连接：

[https://blog.csdn.net/qq\_32727277/article/details/102783316][https_blog.csdn.net_qq_32727277_article_details_102783316]

[acbd1f351211ef3dd58f68ab8f1cbc90.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/0b16dd4994a84d77b866ffd20ebff10f.png
[b3619cee234269213452568a854a1213.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/de763978b85d407dbfc98e92d168745f.png
[f182e309b0ea73dbd6f454fe46b2722b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/1bf21789d1e347ec9bb688e1d994fc2a.png
[5d81706c12df329127a929bb9b23b94f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d2af84d2957e41a39c4601e92c65bc4a.png
[47630289395ee40fe411fada218fcd0d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/281337acdc8f4afb93012af987e820b0.png
[b31b3f1cc2b7da27c11f55498f6c2ac9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/efbac9d21fe94723ace8c3a00bb06736.png
[67dc7aae1ca5366a20cb5a03130977a0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d09cd3a0c34944c89e3d80ac4ea41d31.png
[a0032a8f8f3b665976bd34925d474eb9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/a014c535f6ef443a8416ff5c2bf6c65a.png
[ce92d24aaebaba8716abc0d168970e24.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/862a544562a7462798791e44fde27a37.png
[f444b32d6fbc4cc32d6743df8887c99e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/c0ea4cb1ef1f48189193f3e1c3001cfd.png
[683c0b4800f6437da2987e4c3509cbe0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/b52ddd7f8663473bb3fe82e369e57e4d.png
[16dec6d634bf05026c7e3c8d68cbbc04.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/d2076bc16d18407ea5dd501096658139.png
[c0d42a13038c2921f7cfdebebc44ed3d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9c57a174415e4987825c8cd9ce1e9017.png
[76b5007e7267b2b71d570e160d62b641.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/89245d3517254d9b98fc34d6397e2b24.png
[4faf6d1725a6f712658d024d309b952a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/37a8af1d3b72450997a1794c30da5e71.png
[6b25bf0c017824af63978d9620976496.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/4a2a018e503c4ac18b744e1fa9b570d8.png
[2c2125b4c98128795e206c89194ef57f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/b80a06efc8dd4a78a22de4c5eafbac42.png
[3859eee0d9b108afbae06b403f7fd729.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/89ac56c34aca41889fa8ede2f17330b4.png
[d050a077ab33c322272cc94d83376b41.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/515da6bbea7943f392ef9223c2c64c89.png
[adcaab10722c795cc9d2f49bafa73541.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9a9ec86317154c62b3b264ed17378843.png
[https_blog.csdn.net_qq_32727277_article_details_102783316]: https://blog.csdn.net/qq_32727277/article/details/102783316