oxo1 前言
现在好多登录框都有前端加密了,刚好碰到比较简单的便记录下来分享给大家(主要难的我也不会:(
),需要对您有一点点帮助。
oxo2 过程
1、绕过登录失败次数
在测试登录的时候,连续输出 5 次之后就提示 5分钟后再次
这种情况首先想到的请求头伪造 IP 进行绕过,可以看到成功绕过。使用 fakeIP 可以批量爆破
2、登录框调试
对登录框的位置一步步调试,发现了加密的方法
对字符串进行加密
3、批量加密测试
使用 jsEncrypter 进行批量加密
jsEncrypter:https://github.com/c0ny1/jsEncrypter
phantomJS :http://phantomjs.org/download.html
加载插件
下载网站的加密文件(ase.js)到 phantomJS 目录
修改 phantomjs_server.js ,加密方法为上面调试得到的
运行 phantomjs 同时在插件执行,发现成功加密了
4、爆破设置
设置 Attack type:Pitchfork
设置随机的 IP fakeIp插件
设置账号(也可以在第3步的时候把字典进行加密然后就可以直接导入字典了。因为这里加密后的字符串是不会变的,可以先生成加密后的字典)
开始爆破