一文看懂mitmdump加密对抗

书接上文，上次的文章讲述了前端动态调试获取加密的方式，但是像上文那种采用对称加密后再次加盐进行编码，测试起来就很麻烦，所以为了便于测试，此次讲解如何利用mitmdump进行加密再对抗。

首先回顾一下上文的加密方法核心代码，如下图所示：

代码抠出来了，我们先不理会sign的生成；可以看到，实际上流程是很清晰的：encryptParam(config.data.data) 方法为实际对请求体加密的方法，而跟进encryptParam(param)方法，首先截取token后六位与硬编码字符串进行拼接生成key，而后第一次使用encrypt()方法进行TripleDES加密，并将值赋值给des3Str;之后将des3Str与salt进行结合后，再次进行TripleDES加密，并输出windows系统安装mitmdump请自行下载安装；由于我们知道了加密方法，实际上response返回也一样是相同的加密，所以我们可以先写一个简单的脚本，将两次解密后的数据输出打印在控制台

首先我们需要获取token后六位，这个抓个包就能拿到；其次是我们需要知道待解密参数的格式、参数是什么

可以看到，请求和返回的格式都是json格式的，分别是data和bizContent，所以可以先写一个简单脚本，直接解密请求和返回

des3_decrypt其实是解密函数的封装；浅浅的运行一下，默认mitmdump的代理端口是8080，注意别和burpsuite的代理冲突

大家对付看一下，此时可以看到，请求和返回都解密成功了，最起码不需要复制粘贴去解密了不是，接下来做的就是继续修改脚本，将明文的请求和返回发送给burpsuite，可以先试一下单独将请求包发送给burpsuite看看效果，只需要在代码原有基础上加一句话就行

而后将burpsuite作为下级代理，下级代理就是流量从客户端传入到mitmdump，mitmdump再将流量回传给burpsuite

执行命令

mitmdump -p 7070 -s d3.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure

设置浏览器代理为7070，这样流量就会先经过mitmdump ，然后经过burpsuite，我们可以先看一下效果

可以看到，请求包已经是明文了，但是发送数据包后，数据返回是异常的

请求正常返回异常，这是因为burpsuite发送请求是明文的，明文请求发送给服务端，服务端是没有办法解析的，因为传回的数据正常应该是密文的，所以导致响应时效，这个时候就引入了第二个知识点：上级代理但是这里需要说明一下，mitmdump的下级代理是burpsuite，所以经过mitmdump的流量才能经过burpsuite；那么如果在burpsuite设置上游代理，那么经过burpsuite的流量就会重新经过mitmdump进行加密回传给服务器，从而实现burpsuite明文流量但是不影响web的响应过程

所以这里我们需要利用mitmdump编写一个加密明文request请求的脚本来实现这个功能

此时下游代理脚本d3.py保持不变，上游脚本en3.py如上所示，而后分别运行

mitmdump -p 7070 -s d3.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure

mitmdump -p 9091 -s encrypt.py --ssl-insecure

此时浏览器依然设置7070代理，burpsuite设置8080代理，同时在burpsuite增加上级代理

运行后，重新触发功能点；需要注意的是，无论是上级代理脚本还是下级代理脚本，即使是暂时不处理返回包response请求，也需要进行单独请求，否则依然会报错

首先请求发现下级代理的请求和响应都是正常的，此时对burpsuite的数据包进行拦截、重放，发现请求正常

请求路径为：

客户端 -> mitmproxy:7070（解密） -> Burp:8080 -> mitmproxy:9071（加密） -> 服务器

响应路径则应该为：

服务器 -> mitmproxy:9091（解密） -> Burp:8080 -> mitmproxy:7070（加密） -> 客户端  

所以我们只需要补充下游代理对返回包的加密流程补充，上游代理对返回包解密流程的补充，即可完成完整的请求链路，实现burpsuite的明文请求、明文响应

完整的下游代理d3.py脚本如下：

完整的上游代理en3.py脚本如下：

重新运行脚本

mitmdump -p 7070 -s d3.py --mode upstream:http://127.0.0.1:8080 --ssl-insecure

mitmdump -p 9091 -s encrypt.py --ssl-insecure

此时burpsuite发包正常

至此完成全部的解密加密流程