小程序动态调试-解密加密数据与签名校验

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文主要讲解微信小程序加密、验签的情况下如何进行动态调试已获取签名以及加密信息

前言

微信小程序的加密与验签早前大多数情况,要么就是逆向获取源码而后拿到加密秘钥,要么就是逆向拿到源码后使用腾讯自带的小程序开发者功能进行动态调试模拟,今天介绍一款志远大佬的开源工具---WeChatOpenDevTool

工具下载地址: 链接


正文:

首先运行脚本,而后打开微信小程序,注意先后顺序,打开小程序后,打开调试器

图片.png

图片.png

图片.png

本次使用的依然是PC端微信进行小程序抓包,抓包使用的工具就是fiddler+burpsuite ,具体使用方式上文有过介绍,此处不再进行赘述

图片.png

大家可以看到,首先请求参数是加密的,并且请求头包含nonce、timestamp、signature信息,若是看过笔者的第一篇加密解密文章就知道,这里是一个签名校验,绝大多数的签名校验都是利用以上信息结合body进行加密,少数的还会带上uri或者是一些其他参数,那么我们今天要做的就是获取他请求包包体加密的方式以及签名校验的生成方法


老规矩,直接在开发者调试里面全局搜索requestData参数,这是最快定位的方法,当然了也可以利用网络信息进行断点调试

图片.png

我们很快就找到了关键信息requestData: n.encrypt(o, r),一眼丁真

图片.png

通过单步步过,我们可以获知n = require(t(219))为加密函数,所以需要进去看一下加密方法,,F9步入后发现其实是sm4国密算法,sm4大家可以理解为改良版的aes加密

图片.png

继续进行步过(F10),结果如下:

图片.png

图片.png

图片.png

经过测试,这里面的sm4秘钥是写死的,直接用就行

图片.png

在获取了加密算法与秘钥的情况下,我们继续调试,幸运的是在进行下断点的时候,看到了这个签名校验的函数

图片.png

图片.png

疑似signature

图片.png

图片.png

跟进函数l(u, i, n, v)

图片.png

F9进入到l()函数内,此时函数变为l(e, t, n, r),这里面的e,t,n,r 就相当于u, i, n, v ,这里面就是一个形参,而传入进去的u, i, n, v才是真正的实参

图片.png

我们可以看到,函数最后一行s(p + e + c + u) ,这里其实才是最终输出的值,所以我们需要关注p/e/c/u这四个参数是怎么来的,s()这个函数做了什么

首先,p这个参数其实是一个三元运算结果,我们传入的r参数此时是-1,他会做一个比较,大于等于0和小于0的时候去输出不同的p值

r >= 0 ? p = [(o = a)(345), o(230), o(211), "RhYqRedo=K7JvcuyjpbyppnZr7qQGs21JQsTNSp5TJm", o(269), "Tyrcs"][o(343)](1, 5)[o(215)]("") : p = d();

由于此时是-1,所以p=d(),大家可以步入d()函数,但是其实无论是大于还是小于,结果都是写死的哈

图片.png

r >=0 的时候,

p=NBMExPe9iO{WXsAxZMRhYqRedo=K7JvcuyjpbyppnZr7qQGs21JQsTNSp5TJmczO

r <0 的时候,

p=EvAucyQXqhNrXB23hw8wPw73xHzAHNqipmBFKJTHGzBXTsHpNxR9PGyMhErNEvAu


e的值其实就是个uuid,我们一会进行介绍;

c = e[i(202)](5)  ,我们可以看一下[i(202)](5) 做了什么

图片.png

我们通过控制台调试,不难发现,其实i(202)是一个substring字符串截取工具,而e[i(202)](5)其实就是对e下标为5的位置开始截取字符串


下面就是u了,u = s(JSON[i(286)](n))

我们看JSON[i(286)](n) ,就能大概知道咋回事了,实际上就是把传进来的明文参数进行了json转换

图片.png

但是s()这个函数是干什么呢,实际上笔者一开始也是一脸懵,笔者进入函数调试的时候,发现首先会将json转换后的参数进行ascii编码,然后计算length长度后进行一系列复杂的运算最后生成一个32长度的字符串,最后再进行取值,这里笔者完全是懵逼的,大概精简的代码如下

function l(r) {

       var n = 8 * r.length

         , t = n % 512;

       t = t >= 448 ? 512 - t % 448 - 1 : 448 - t - 1;

       for (var e = new Array((t - 7) / 8), o = 0, a = e.length; o < a; o++)

           e[o] = 0;

       var c = [];

       n = n.toString(2);

       for (var u = 7; u >= 0; u--)

           if (n.length > 8) {

               var l = n.length - 8;

               c[u] = parseInt(n.substr(l), 2),

               n = n.substr(0, l)

           } else

               n.length > 0 ? (c[u] = parseInt(n, 2),

               n = "") : c[u] = 0;

       for (var i = [].concat(r, [128], e, c), s = i.length / 64, v = [115, 128, 22, 111, 73, 20, 178, 185, 23, 36, 66, 215, 218, 138, 6, 0, 169, 111, 48, 188, 22, 49, 56, 170, 227, 141, 238, 77, 176, 251, 14, 78], h = 0; h < s; h++) {

           var g = 64 * h;

           v = f(v, i.slice(g, g + 64))

       }

       return v

}


其实在这里笔者就卡主了,不会了,完全看不出来是什么,这也不是sha1-256,因为笔者去试过了,但是柳暗花明的就是,笔者在第二天清晨看到了这个

图片.png

山重水复疑无路,柳暗花明又一村,原来是SM3

图片.png

图片.png

所以此时问题迎刃而解

图片.png

s(p + e + c + u)  这个函数就是把p + e + c + u四个参数串起来,然后进行SM3编码


上次说到,e的值其实就是个uuid,所以我们回到上面,看一下e是怎么来的

图片.png

进入c()函数

function c() {

       for (var e = a, t = [], n = e(306), r = 0; r < 36; r++)

           t[r] = n[e(234)](Math.floor(16 * Math[e(346)]()), 1);

       return t[14] = "4",

       t[19] = n[e(234)](3 & t[19] | 8, 1),

       t[8] = t[13] = t[18] = t[23] = "-",

       t[e(215)]("")[e(268)]("-", "")

}


图片.png

大家不需要完全看得懂,我们只需要知道,他是由啥组成的,在什么位置有横杠就行

图片.png

这个 JavaScript 函数的作用是生成一个符合 UUID(Universally Unique Identifier)规范的字符串。UUID 是一种用于标识信息或对象的唯一标识符。


现在让我们分解这个 JavaScript 函数的工作原理:


使用一个名为 a 的函数作为参数传入(在这里被省略了)。

创建一个空数组 t,用于存储生成的 UUID。

通过调用函数 e(306) 获取一个随机数生成器。

循环执行 36 次以下操作:

生成一个 0 到 15 之间的随机整数,然后转换为十六进制字符。

将生成的字符存储到数组 t 中。

修改数组中的特定索引位置,使得生成的 UUID 符合 UUID 版本 4 的规范:

将第 15 个字符设置为 "4"(UUID 版本号)。

将第 20 个字符的高 4 位设置为 "8", "9", "a" 或 "b"(UUID 变体)。

将数组中的特定索引位置设置为连字符 "-"。

使用 join() 方法将数组中的元素连接成一个字符串,并移除其中的连字符 "-",最终得到 UUID。

下面是相应的 Python 代码:


python


import random

def generate_uuid():

   characters = '0123456789abcdef'

   uuid_list = [random.choice(characters) for _ in range(36)]

   uuid_list[14] = '4'  # UUID version 4

   uuid_list[19] = random.choice('89ab')  # Variant

   uuid_list[8] = uuid_list[13] = uuid_list[18] = uuid_list[23] = '-'

   return ''.join(uuid_list)


测试生成的 UUID

print(generate_uuid())

这个 Python 函数与 JavaScript 函数的实现类似,使用了 random.choice() 函数来从指定的字符集中随机选择字符,并通过字符串操作和列表操作生成 UUID。


最后总结一下,这个如果写脚本的话,一个接口就需要一个脚本,有点不值了,建议能力强的写个ipython写进burp里,只是难度有点......


相关文章
|
2月前
|
存储 SQL 安全
加密后的数据如何进行模糊查询?
在数据安全和隐私保护日益重要的今天,加密技术成为保护敏感数据的重要手段。然而,加密后的数据在存储和传输过程中虽然安全性得到了提升,但如何对这些数据进行高效查询,尤其是模糊查询,成为了一个挑战。本文将深入探讨如何在保证数据安全的前提下,实现加密数据的模糊查询功能。
297 0
|
22天前
|
人工智能 小程序 IDE
【一步步开发AI运动小程序】九、姿态辅助调试桌面工具的使用
随着AI技术的发展,各大厂商推出的AI运动APP如“乐动力”、“天天跳绳”等,使云上运动会、线上健身等概念大热。本文将指导你如何利用“云智AI运动识别小程序插件”,在微信小程序中实现类似功能,包括工具搭建、服务启动及数据回传等步骤,助力开发者高效开发AI运动小程序。
【一步步开发AI运动小程序】九、姿态辅助调试桌面工具的使用
|
1月前
|
数据库 数据安全/隐私保护 Windows
Windows远程桌面出现CredSSP加密数据修正问题解决方案
【10月更文挑战第30天】本文介绍了两种解决Windows系统凭据分配问题的方法。方案一是通过组策略编辑器(gpedit.msc)启用“加密数据库修正”并将其保护级别设为“易受攻击”。方案二是通过注册表编辑器(regedit)在指定路径下创建或修改名为“AllowEncryptionOracle”的DWORD值,并将其数值设为2。
275 3
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:从漏洞到加密,保护数据的关键步骤
【10月更文挑战第24天】在数字化时代,网络安全和信息安全是维护个人隐私和企业资产的前线防线。本文将探讨网络安全中的常见漏洞、加密技术的重要性以及如何通过提高安全意识来防范潜在的网络威胁。我们将深入理解网络安全的基本概念,学习如何识别和应对安全威胁,并掌握保护信息不被非法访问的策略。无论你是IT专业人士还是日常互联网用户,这篇文章都将为你提供宝贵的知识和技能,帮助你在网络世界中更安全地航行。
|
2月前
|
算法 安全 数据安全/隐私保护
加密和解密数据
【10月更文挑战第6天】加密和解密数据
66 2
|
2月前
|
小程序 JavaScript 开发工具
|
2月前
|
缓存 小程序 UED
如何利用小程序的生命周期函数实现数据的加载和更新?
如何利用小程序的生命周期函数实现数据的加载和更新?
80 4
|
2月前
|
移动开发 小程序 数据可视化
微信小程序可视化开发工具之动态数据
微信小程序可视化开发工具之动态数据
46 3
|
2月前
|
安全 数据安全/隐私保护 开发者
保护敏感数据:使用Python加密数据的实用方法
保护敏感数据是一项基本的安全实践,Python通过上述库提供了强大的加密工具来实现这一目标。选择哪种方法取决于具体的应用场景和安全需求:对称加密(如AES)适合快速处理大量数据,而非对称加密(如RSA)更适合安全地交换密钥或进行身份验证。哈希函数则用于验证数据的完整性和一致性。通过合理使用这些技术,开发者可以大大增强其应用程序的安全性。
90 0
|
2月前
|
存储 安全 数据库
Uno Platform 安全数据存储秘籍大公开!加密、存储、读取全攻略,让你的数据固若金汤!
在 Uno Platform 中实现安全的数据存储需要选择合适的数据存储方式,并对存储的数据进行加密。通过加密数据,可以保护用户的敏感信息,防止数据泄露。同时,在读取和使用数据时,需要进行解密操作,确保数据的可用性。希望本文对你在 Uno Platform 中实现安全的数据存储有所帮助。
34 0