高校教务系统登录页面JS分析——广东工业大学

爱吃饼干的小白鼠2023-10-21 3:09

高校教务系统密码加密逻辑及JS逆向

本文将介绍高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的过程。通过本文,你将了解到密码加密的基本概念、常用加密算法以及如何通过逆向分析来破解密码。

本文仅供交流学习,勿用于非法用途。

一、密码加密基本概念

密码加密是一种保护信息安全的技术手段,它通过将明文(原始信息)转换为密文(加密后的信息),以防止未经授权的访问和篡改。常见的密码加密算法有MD5、SHA-1、SHA-256等。

1.1 加密过程

加密过程通常包括以下步骤:

  1. 密钥扩展:将密钥扩展为多个轮值,每个轮值都与明文的一部分有关。
  2. 初始轮值生成:将扩展后的密钥与轮常数进行某种运算,生成第一轮加密的密文。
  3. 多轮迭代:对密文进行多轮迭代操作,每轮操作都包括非线性函数、模运算和轮常数的变换。
  4. 最终密文:经过多轮迭代后,得到最终的密文。

1.2 解密过程

解密过程与加密过程相反,通过反向操作来恢复原始明文。通常需要知道加密时使用的密钥和算法。

二、高校教务系统密码加密逻辑分析

2.1 抓包

我们首先打开教务系统的登录页面,我们可以看到,只有学号和密码,有的高校会有验证码,或者有的高校是错误一次密码,会验证验证码。

我们打开开发者工具,尝试登录抓包,网页会返回这样的数据接口。

我们可以看到密码被加密了,我们来看看其是怎么加密的。

2.2 分析加密参数

我们接下来,就是来分析这个密码是怎么加密的。我们全局搜索password。定位到加密的位置。

我们可以看到这里的加密方法,我们直接扣下来就可以了。而且,这里也注释的特别清楚。

三、JS逆向分析方法

逆向分析是指从已知的加密文本或程序中还原出原始信息的过程。在本例中,我们将使用JavaScript编写一个简单的逆向分析工具,用于逆向高校教务系统的密码。

环境使用

  • python 3.9
  • pycharm
  • node

代码实现

我们先把这些代码扣下来,运行看看缺什么补什么。

javascript 复制代码 
var key = CryptoJS.enc.Utf8.parse(verifycode + verifycode + verifycode + verifycode);
var srcs = CryptoJS.enc.Utf8.parse(password)
var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7});
password = encrypted.ciphertext.toString();

console.log(password)

我们运行之后,发现报错,提示下面错误:

javascript 复制代码 
ReferenceError: CryptoJS is not defined

我们这里完全可以不用去扣这个,因为这个有现成的库可以使用。

安装crypto-js库

使用npm或yarn来安装crypto-js

复制代码 
npm install crypto-js

安装完成之后,我们再来运行一下代码,会提示我们用两个参数未定义,我这里就不放过程了,由于比较简单。

完整代码

javascript 复制代码 
var CryptoJS = require("crypto-js");
var password = '1234';//密码
var verifycode = '1234'//验证码


var key = CryptoJS.enc.Utf8.parse(verifycode + verifycode + verifycode + verifycode);
var srcs = CryptoJS.enc.Utf8.parse(password)
var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7});
password = encrypted.ciphertext.toString();

console.log(password)

这段代码是用JavaScript编写的,用于使用AES算法加密一个密码。它首先引入了'crypto-js'库,然后定义了一个明文密码和一个验证码。然后,它将验证码重复三次并串联起来,以创建一个16字节的密钥(这是AES-128密钥的长度)。接下来,它将明文密码转换为UTF-8格式,并使用这个密钥和ECB模式(不安全的模式)以及PKCS7填充进行加密。最后,它将加密后的密文转换回UTF-8字符串,并打印出来。

  • 我们看一下运行效果:
javascript 复制代码 
662a5aae230dd1be88bf1b8dbdb38dc0

我们看到可以实现密码加密的过程,接下来,就可以实现模拟登录了。

四、总结

本文介绍了高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的方法。通过学习这些知识,你可以更好地理解密码加密技术的原理,并掌握一定的逆向分析技巧。请注意,逆向分析可能涉及到法律问题,请在合法范围内进行研究和实践。

五、累计更新

争取到到底早日更新30所高校,大家可以在评论区留言。

往期作品可以查看专栏👇👇👇

全国高校教务系统登录页面JS分析_爱吃饼干的小白鼠的博客-CSDN博客

相关推荐
腾讯TNTWeb前端团队5 小时前
helux v5 发布了,像pinia一样优雅地管理你的react状态吧
前端·javascript·react.js
拉不动的猪9 小时前
刷刷题50(常见的js数据通信与渲染问题)
前端·javascript·面试
拉不动的猪9 小时前
JS多线程Webworks中的几种实战场景演示
前端·javascript·面试
uhakadotcom10 小时前
Astro 框架:快速构建内容驱动型网站的利器
前端·javascript·面试
uhakadotcom10 小时前
了解Nest.js和Next.js:如何选择合适的框架
前端·javascript·面试
uhakadotcom11 小时前
Remix 框架:性能与易用性的完美结合
前端·javascript·面试
uhakadotcom11 小时前
Node.js 包管理器:npm vs pnpm
前端·javascript·面试
ONE_Gua12 小时前
chromium魔改——CDP(Chrome DevTools Protocol)检测01
前端·后端·爬虫
咖啡教室12 小时前
前端开发日常工作每日记录笔记(2019至2024合集)
前端·javascript
咖啡教室12 小时前
前端开发中JavaScript、HTML、CSS常见避坑问题
前端·javascript·css
热门推荐
01我决定放弃搞 Java 了02DeepSeek各版本说明与优缺点分析03如何在WPS和Word/Excel中直接使用DeepSeek功能04汽车上的各种质量:整备质量、总质量、装载质量、簧上质量、簧下质量05RAG 实践- Ollama+RagFlow 部署本地知识库06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07【AUTOSAR 基础软件】Can模块详解(Can栈之驱动模块)08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek RAGFlow构建本地知识库系统10Mac cursor设置jdk、Maven版本