渗透测试之AES加密参数与踩坑记录

文章预览

扫码领资料 获网安教程 文章来源: https: //xz.aliyun.com/t/15031 介绍：又一次公司的测内网系统项目的出现了流量加密，于是进行前端调试js逆向后对其流量反解密进行渗透（一次简单记录分享，大佬勿喷） 登录系统后，查看了历史数据包，基本上都是 /api/xxx/xxx?params=加密数据 这样的接口，所以就怀疑系统对流量做了加密，于是在前端调试开始找加密代码。 # 其中一个数据包展示 GET /api/foidisplay/mzhyxyhhxjbxx/getBqCountBy?params=% 2 BkrOw% 2 Fizxq 2 qXvIYnwWiEoShthvEcp% 2 F% 2 Brera 6 frw 9 lbc 9 k 8 B 4 aEDqui 9 BIDQLuR 5 I 3 zAOCIaIykTiQmZxaGjXA% 3 D% 3 D HTTP/ 1.1 Host: target.com Authorization: Bearer 7 c 28172 e-e 9 a 9-404 d -899 a-e 5 b 720 f 3 a 90 e 首先 F12 在下图处（当时的图找不到了）添加一个接口为断点，当系统访问到这个接口时就会触发断点，这时我们就可以开始进行断点调试开始找加密代 ………………………………