掌上高考gkcx.eol.cn-AES,hash_hmac解密二

longouxiu

上次讲解了 掌上高考的 sign 的解密流程，这次继续讲解内容的解密流程。
看图

抓包后，分析到这个网址的内容里，text 就是一个内容加密信息。
废话不多说，流程其实和上次一样，搜索js代码，查找这个text加密的代码位置。
1  首先，我们看到上面有个method，是aes加密模式。 那我们就从这里入手，搜索这个aes

我们直接搜索获取包含aes的 js网址，从第一个打开开始查找。
很幸运，第一个就似乎就是我们要找的。
在 17879，17892 行下断点，中间随便下任何断点，然后选择文科，看效果

17879 行 ，有个 P = v.default.PBKDF2("D23ABC@#56", "secret"  这里似乎看出 D23ABC@#56 就是也key。鼠标放到P出现了 4587dc9b6a7c3e9ef3b920f994edc3a210c460977528138d41e58b9b02c94ffd  ， 这个是把 D23ABC@#56 进行了处理了。具体怎么处理不用管了，反正知道了D23ABC@#56这个就是可以就可以了。

17892 行，B = v.default.AES.decrypt(H, v.default.enc.Hex.parse(P),  这个似乎就是aes解密代码。里面的 H 应该是 解密的内容， 后面的v.default.enc.Hex.parse(P)这个就是上面提到的 key了 。做了hex处理的，所以上面的P值 4587dc9b6a7c3e9ef3b920f994edc3a210c460977528138d41e58b9b02c94ffd 还需要进行hex 处理。
再往下看          iv: v.default.enc.Hex.parse(q)       ，这个似乎就是iv 值了。我们看一下是什么？
我们把鼠标 放到 q 上，提示 bbed223ead243413369c62eefa760906，这个信息， 因为断点暂时落到了 17892，所以q 那个代码还没执行，说明这个q 就是我们要的值，不过需要进行 hex处理一下 。


到这里基本上知道了， aes 解密 处理了，aes 是256 解密模式， iv key 都用hex 直接进行的。


不知道这次有没有说清楚，不过大概分析aes解密就是这样处理的。