小程序绕过sign签名思路

Sign定义:

sign一般用于参数签名,用来验证数据的完整性和真实性。为校验客户端数据传输合法性,防止用户篡改参数、伪装、重放以及数据泄露等常用sign签名校验。sign标识生成方法一般是是将秘钥、时间戳、特殊字符、随机数等参数经过特定排序后使用某种加密算法进行加密,作为接口中的一个参数sign来传递,也可以将sign放到请求头中。是一般加密方法有:MD5加密、AES加密、SHA加密等。

绕过sign验证常见手法:

1、观察sign的格式,测试判断是否是弱凭据的形式,比如是base64编码,解码后就可以看到原始数据;或者是MD5格式可以直接解密尝试,是否能解密出原始数据等等。2、尝试将sign字段删除或者直接置空sign的值,看能否绕过校验。3、尝试反编译,在反编译出来的源代码中查找加密算法,找到sign的生成方式。

0X02

测试涉及到的工具:解密小程序源码工具:
https://share.weiyun.com/uMqNGOXv反编译小程序工具:https://github.com/ezshine/wxapkg-convertor/releases/tag/1.0.1

0X03

测试细节:

1、 测试小程序打开某某小程序,抓包,任意更改参数发包会报错,发现添加了sign字段。直接更改其中的参数发现报错:

尝试直接删除sign字段,报错:
1.png

尝试解密sign,看是否是弱加密。经过观察发现是32位数猜测是MD5加密,解密发现解不开。
2.png

尝试无果后,尝试反编译小程序,看能不能找到sign的生成方式。2、 反编译小程序首先需要找到该小程序存储位置,针对windows端来说,微信小程序默认的存储位置(C:\Users{系统用户名}\Documents\WeChat
Files\Applet{小程序ID}\),因为这里存储都是以小程序ID进行命令的,因此可以先清空微信中的小程序,再去打开想要测试的小程序。需要注意的是,一定要等小程序完全打开并且再点几个功能,确保将所有包都运行。找到对应的wxapkg查看是否可以直接反编译,有些会有加密,这时先使用工具Unpacker解密,再使用wxapkgconvertor工具将包反编译出来。

3.png

解密后使用反编译工具进行源码提取:
4.png
5.png

3 、全局搜索加密函数位置打开反编译后的源码,全局搜索MD5,找到了主要的加密sign的代码如下:

6.png

加密sign主要函数内容如下:先遍历对象t,将其中给的参数进行整理,将其中属性是"biz_content"的重新赋给变量r,并且将r的参数属性从json格式转换为对象类型。整合后以字符串的形式以 “&” 连接,将字符串再连接一个预设的值 “ihos-xxx-8”。按照字母升序的方式排列,排列后使用MD5的方式加密再转为大写即可。4 、回调代码分析完主要加密函数后就可以回调,找对应的函数和参数。回溯源码看哪里调用了encryptSign,搜索encryptSign查到gatewayRequest函数。继续跟进。

7.png

继续跟进函数gatewayRequest找到如下源代码:
8.png

继续跟进:getPatInfoByIdNo
9.png

发现传入n是个常量r是个对象,最后转化为xml格式。继续跟进generateRequest。
10.png

跟进l函数:
11.png

找到了sign生成函数里各个参数代表什么。

<pre blockindex="53" style="margin: 0px 0px 16px; padding: 16px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: normal; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: 0.544px; orphans: 2; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: var(--color-canvas-subtle); text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; overflow: auto; font-family: ui-monospace, SFMono-Regular, "SF Mono", Menlo, Consolas, "Liberation Mono", monospace; font-size: 13.6px; line-height: 1.45; color: rgb(51, 51, 51); word-break: break-all; border-width: 1px; border-style: solid; border-color: rgb(204, 204, 204); border-radius: 6px; text-align: left;">`method: 接口名字,常量

app_id: 0863c0e3-fc0d-04d7-c58c-80b33d636867,

token_type: "api_credentials",

nonce_str: 时间戳

version: “v1.0”,

token: "",(登录后获取)

biz_content: biz_content对应的明文参数` </pre>

特殊字符:ihos-xxx-85 、得到sign生成方式根据主函数推测sign的生成方式,回到第一步的代码,将这些参数按照字母升序排列。6 、测试结果将这一串字符用MD5加密并转换为大写,就得到的对应的sign值。放进数据包中测试篡改成功,截图如下。

12.png

0x04 总结

小程序测试中碰到sign标识可以先测试是否无效或者是弱加密,如都不是可以尝试通过对源码分析找到sign的生成方式,可以应用在修改支付金额、越权等漏洞更进一步提升危害。

0x05 拓展--burpy插件使用

在安全测试中,遇到类似上述讲解中数据包中使用sign签名,在分析加密方式后,不管是自己写脚本或通过网站加解密再粘贴到burp中进行测试,都十分麻烦。因此,可以考虑结合burpy插件来进行漏洞测试。

<pre blockindex="64" style="margin: 0px 0px 16px; padding: 16px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: normal; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: 0.544px; orphans: 2; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: var(--color-canvas-subtle); text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; overflow: auto; font-family: ui-monospace, SFMono-Regular, "SF Mono", Menlo, Consolas, "Liberation Mono", monospace; font-size: 13.6px; line-height: 1.45; color: rgb(51, 51, 51); word-break: break-all; border-width: 1px; border-style: solid; border-color: rgb(204, 204, 204); border-radius: 6px; text-align: left;">`GitHub:https://github.com/mr-m0nst3r/Burpy

Burpy是一款能够打通BurpSuite和Python之间的插件,可以让你在Burpsuite中运行自己指定python脚本。在测试中,只需要点击就能达到自动加解密且替换http请求头或请求体中的数据的目的。` </pre>

13.png
14.png

在Burpy PY file path:里面指定好你自己的python脚本。Burpy也提供了脚本模板,可以直接在它的脚本模板中进行加解密算法

<pre blockindex="68" style="margin: 0px 0px 16px; padding: 16px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: normal; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: 0.544px; orphans: 2; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: var(--color-canvas-subtle); text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; overflow: auto; font-family: ui-monospace, SFMono-Regular, "SF Mono", Menlo, Consolas, "Liberation Mono", monospace; font-size: 13.6px; line-height: 1.45; color: rgb(51, 51, 51); word-break: break-all; border-width: 1px; border-style: solid; border-color: rgb(204, 204, 204); border-radius: 6px; text-align: left;">底下两个开关Enable Processor和Enable Auto Enc/Dec。 </pre>

(1) 打开enable processor之后,在使用Intruder进行暴力破解之类的动作时,如果payload需要进行加密或签名,就可以把加密/签名的算法实现到自己有python脚本的processor函数中。(2) 打开enable auto

enc/dec会自动调用encrypt方法,在点击重放时自动进行加解密。设置好之后,点击start server后,就可以开始正常测试了。编写脚本:
15.png
16.png

插件运行:
17.png

关闭enable auto enc/dec的话,可以右键加解密[图片上传失败...(image-586d81-1711006569372)]

21.png

开启后无需右键操作,重放会自动进行加解密操作。

信息来源于网络,如有侵权,请联系删除。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,456评论 5 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,370评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,337评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,583评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,596评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,572评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,936评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,595评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,850评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,601评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,685评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,371评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,951评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,934评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,167评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,636评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,411评论 2 342

推荐阅读更多精彩内容