前言：

记录一次前端加密绕过之旅。

0x01 案情分析：

开局一个登录页面，发现表单中的密码进行了加密处理，首先要找到加密函数位置，定位相关js代码逻辑，常用的两种方式就是全局搜索关键字或看流量堆栈，个人习惯第一种：

这里要注意函数作用域的问题，一般情况下我们需要在相应的位置打上断点，等到触发端点时，才可以使用控制台调用该函数：

为了方便，这个时候我们可以将这个函数设置成全局函数，这样不在debug的时候，我们也可以正常调用：

window.encryptMD5=this.common.encryptMD5

这里其实我们已经知道加密方法：md5(base64)，不过本次主要是想通过rpc来解决前端加密的问题

0x02 jsrpc注入：

项目地址：https://github.com/jxhczhl/JsRpc

a）将resouces\JsEnv_Dev.js的代码粘贴到控制台执行
b）启动项目在本地进行监听

c）注入环境后连接通信：

var demo = new Hlclient("ws://127.0.0.1:12080/ws?group=qiantai&name=aaa");

这里的group和name都可以随便填，记住group和name的值

d）浏览器预先注册js方法：

// 注册一个方法 第一个参数encryptMD5为方法名，
// 第二个参数为函数，resolve里面的值是想要的值(发送到服务器的)
demo.regAction("encryptMD5", function (resolve, param) {
    var strParam = String(param);
    var res = encryptMD5(strParam);
    resolve(res);
})

e）访问接口，获得js端的返回值：

http://127.0.0.1:12080/go?group=qiantai&name=aaa&action=encryptMD5&param=123456

0x03 联动autoDecoder：

简单流程图：

代码如下：

import requests
import json
from flask import Flask,Response,request
from urllib.parse import quote

app = Flask(__name__)  
url = "http://localhost:12080/go"
@app.route('/encode',methods=["POST"])  
def encrypt():  
    param = request.form.get('dataBody')  # 获取  post 参数  
    param_headers = request.form.get('dataHeaders')  # 获取  post 参数  
    param_requestorresponse = request.form.get('requestorresponse')  # 获取  post 参数  
    data = {
        "group": "qiantai",
        "name": "aaa",
        "action": "encryptMD5",
        "param": param
    }
    res = requests.post(url, data=data) #这里换get也是可以的
    encry_param = json.loads(res.text)['data']
    print(encry_param)
    if param_requestorresponse == "request":  
        return param_headers + "\r\n\r\n\r\n\r\n" + encry_param  
    return encry_param



if __name__ == '__main__':  
    app.debug = True # 设置调试模式，生产模式的时候要关掉debug  
    app.run(host="0.0.0.0",port="8888")

抓包测试下是否调试成功，抓包后选择加密部分右键点击插件Encode即可加密

0x04 联动mitmproxy：

使用autoDecoder具备一定的局限性，需要自己选择数据比较麻烦，这时我们考虑使用mitmproxy来开一个上游代理，然后我们就可以自定义经过的请求包。

pip install mitmproxy

安装完运行程序mitmproxy.exe，然后它会在%USERPROFILE%\.mitmproxy生成证书文件，双击mitmproxy-ca-cert.p12安装证书，默认即可。

接着编写pthon脚本：

import json
import requests
from mitmproxy import ctx

def get_rpc(param):
    url = "http://127.0.0.1:12080/go"
    data = {
        "group": "qiantai",
        "name": "aaa",
        "action": "encryptMD5",
        "param": param
    }
    result = requests.post(url, data=data)
    return result.json()['data']


class Modify:
    def request(self, flow):
        if flow.request.url.startswith("https://xxx.xxx.cn"):
            if flow.request.method == "POST" and flow.request.headers.get("Content-Type") == "application/json":
                try:
                    json_data = json.loads(flow.request.content.decode())
                except json.JSONDecodeError:
                    print("Failed to parse request body as JSON.")
                    return
                if 'password' in json_data:
                    raw_value = json_data['password']
                    json_data['password'] = get_rpc(raw_value)
                    # 更新请求体和Content-Length头
                    flow.request.content = json.dumps(json_data).encode()
                    del flow.request.headers["Content-Length"]
                    flow.request.headers["Content-Length"] = str(len(flow.request.content))
                    print(f"Modified JSON key 'password': {raw_value} -> {get_rpc(raw_value)}")


addons = [ Modify() ]

之后运行mitmproxy（注意的是存在三个程序，我们运行的mitmproxy是其中的一个它的优点就是控制台输出信息较为明朗，但是如果存在bug的情况下建议调试使用mitmdump）

mitmproxy.exe -p 8081 -s .\mitmproxy_rpc.py

然后设置Burp的上游代理：

最后我们用burp发包，bp上的值没有变是正常的，因为请求经过mitmproxy才会被修改

参考文章：

奇安信攻防社区-某众测前端解密学习记录
【js逆向实战】RPC+mitm - 先知社区