高校教务系统登录页面JS分析——西安外国语大学教务系统
高校教务系统密码加密逻辑及JS逆向
本文将介绍高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的过程。通过本文,你将了解到密码加密的基本概念、常用加密算法以及如何通过逆向分析来破解密码。
本文仅供交流学习,勿用于非法用途。
一、密码加密基本概念
密码加密是一种保护信息安全的技术手段,它通过将明文(原始信息)转换为密文(加密后的信息),以防止未经授权的访问和篡改。常见的密码加密算法有MD5、SHA-1、SHA-256等。
1.1 加密过程
加密过程通常包括以下步骤:
- 密钥扩展:将密钥扩展为多个轮值,每个轮值都与明文的一部分有关。
- 初始轮值生成:将扩展后的密钥与轮常数进行某种运算,生成第一轮加密的密文。
- 多轮迭代:对密文进行多轮迭代操作,每轮操作都包括非线性函数、模运算和轮常数的变换。
- 最终密文:经过多轮迭代后,得到最终的密文。
1.2 解密过程
解密过程与加密过程相反,通过反向操作来恢复原始明文。通常需要知道加密时使用的密钥和算法。
二、高校教务系统密码加密逻辑分析
2.1 抓包
我们首先打开西安外国语大学教务系统的教务系统的登录页面,我们直接百度搜索这个学校的教务系统就可以看到,点进去之后,我们可以看到,只有学号和密码,有的高校会有验证码,或者有的高校是错误一次密码,会验证验证码。
我们打开开发者工具,尝试登录抓包,网页会返回这样的数据接口。我们用户名和密码都是默认输入1234,你也可以输入其他的。
2.2 分析加密参数
我们接下来,就是来分析这个密码是怎么加密的。我们全局搜索password。定位到加密的位置。我们这里只有这个密码参数被加密了.
我们看到这里,就知道网站是用哈希加密算法,我们已经遇到了很多次了,我早就简单带过了,不会的可以看之前的文章。
三、JS逆向分析方法
逆向分析是指从已知的加密文本或程序中还原出原始信息的过程。在本例中,我们将使用JavaScript编写一个简单的逆向分析工具,用于逆向高校教务系统的密码。
环境使用
- python 3.9
- pycharm
- node
实现代码
这里的代码比较简单,而且又是常规加密,我们只要调用crypto-js库就好了,不用自己扣代码。
var CryptoJS = require("crypto-js");var a = CryptoJS.SHA1('e09eb802-c594-4b35-bbf1-6f904359c02a-'+'1234').toString();
console.log(a)这段代码是使用CryptoJS库进行SHA1哈希加密的示例。首先,通过require("crypto-js")引入CryptoJS库。然后,使用CryptoJS.SHA1()方法对字符串'00c7c6b1-8f30-4dd9-b45d-ae5c1f186c9e-12345'进行SHA1哈希加密。最后,将加密结果转换为字符串并输出到控制台。
安装crypto-js库
使用npm或yarn来安装crypto-js:
npm install crypto-js我们看一下运行效果:
3e9c82035b78c47609eeb455abecafb12a7612d6
哈希加密
哈希加密是一种将任意长度的消息(明文)压缩成固定长度的哈希值(密文)的算法。哈希函数将输入明文经过一系列计算后,输出一个固定长度的密文,该密文通常用于验证数据完整性和防篡改。哈希加密算法的特点是不可逆,即无法从密文还原出明文,也就是说,每个不同的明文输入都会得到一个唯一的密文输出。常见的哈希加密算法有MD5、SHA-1、SHA-2等。
SHA-1简介
SHA-1是一种密码学哈希函数,它接受任意长度的输入(消息),并生成一个固定大小(160位)的输出,称为哈希值。SHA-1加密的过程包括以下几个步骤:
- 填充:首先对输入消息进行填充,以确保其长度是512位的倍数。这是通过添加一个1位,后跟零,直到长度比512的倍数少64位为止来完成的,最后64位保留为原始消息的长度。
- 分成块:然后将填充的消息分成512位块。
- 初始化:160位消息摘要初始化为由SHA-1算法指定的固定值。
- 压缩:然后通过迭代一个压缩函数来处理每个块,将当前块与当前消息摘要组合起来,以生成新的消息摘要。该过程为每个块重复执行,每次更新消息摘要。
- 最终化:一旦所有块都已处理完,就通过将原始消息的长度附加到消息摘要上,并应用最终哈希操作来获取最终消息摘要。
生成的哈希值可用于数据完整性、数字签名和其他安全应用程序。然而,正如前面提到的,SHA-1不再被认为对抗碰撞攻击是安全的,应该被更新和更强的哈希算法如SHA-2或SHA-3替代。
四、总结
本文介绍了高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的方法。通过学习这些知识,你可以更好地理解密码加密技术的原理,并掌握一定的逆向分析技巧。请注意,逆向分析可能涉及到法律问题,请在合法范围内进行研究和实践。
五、累计更新
争取到到底早日更新30所高校,大家可以在评论区留言。前期更的可能会多一点,有的学校教务系统都没有加密,我这里就不写了,还有,部分学校的教务系统已经和我之前写的是一样的,我也不重复赘述了。
往期作品可以查看专栏👇👇👇
全国高校教务系统登录页面JS分析_爱吃饼干的小白鼠的博客-CSDN博客
高校教务系统登录页面JS分析——西安外国语大学教务系统
高校教务系统密码加密逻辑及JS逆向
本文将介绍高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的过程。通过本文,你将了解到密码加密的基本概念、常用加密算法以及如何通过逆向分析来破解密码。
本文仅供交流学习,勿用于非法用途。
一、密码加密基本概念
密码加密是一种保护信息安全的技术手段,它通过将明文(原始信息)转换为密文(加密后的信息),以防止未经授权的访问和篡改。常见的密码加密算法有MD5、SHA-1、SHA-256等。
1.1 加密过程
加密过程通常包括以下步骤:
- 密钥扩展:将密钥扩展为多个轮值,每个轮值都与明文的一部分有关。
- 初始轮值生成:将扩展后的密钥与轮常数进行某种运算,生成第一轮加密的密文。
- 多轮迭代:对密文进行多轮迭代操作,每轮操作都包括非线性函数、模运算和轮常数的变换。
- 最终密文:经过多轮迭代后,得到最终的密文。
1.2 解密过程
解密过程与加密过程相反,通过反向操作来恢复原始明文。通常需要知道加密时使用的密钥和算法。
二、高校教务系统密码加密逻辑分析
2.1 抓包
我们首先打开西安外国语大学教务系统的教务系统的登录页面,我们直接百度搜索这个学校的教务系统就可以看到,点进去之后,我们可以看到,只有学号和密码,有的高校会有验证码,或者有的高校是错误一次密码,会验证验证码。
我们打开开发者工具,尝试登录抓包,网页会返回这样的数据接口。我们用户名和密码都是默认输入1234,你也可以输入其他的。
2.2 分析加密参数
我们接下来,就是来分析这个密码是怎么加密的。我们全局搜索password。定位到加密的位置。我们这里只有这个密码参数被加密了.
我们看到这里,就知道网站是用哈希加密算法,我们已经遇到了很多次了,我早就简单带过了,不会的可以看之前的文章。
三、JS逆向分析方法
逆向分析是指从已知的加密文本或程序中还原出原始信息的过程。在本例中,我们将使用JavaScript编写一个简单的逆向分析工具,用于逆向高校教务系统的密码。
环境使用
- python 3.9
- pycharm
- node
实现代码
这里的代码比较简单,而且又是常规加密,我们只要调用crypto-js库就好了,不用自己扣代码。
var CryptoJS = require("crypto-js");var a = CryptoJS.SHA1('e09eb802-c594-4b35-bbf1-6f904359c02a-'+'1234').toString();
console.log(a)这段代码是使用CryptoJS库进行SHA1哈希加密的示例。首先,通过require("crypto-js")引入CryptoJS库。然后,使用CryptoJS.SHA1()方法对字符串'00c7c6b1-8f30-4dd9-b45d-ae5c1f186c9e-12345'进行SHA1哈希加密。最后,将加密结果转换为字符串并输出到控制台。
安装crypto-js库
使用npm或yarn来安装crypto-js:
npm install crypto-js我们看一下运行效果:
3e9c82035b78c47609eeb455abecafb12a7612d6
哈希加密
哈希加密是一种将任意长度的消息(明文)压缩成固定长度的哈希值(密文)的算法。哈希函数将输入明文经过一系列计算后,输出一个固定长度的密文,该密文通常用于验证数据完整性和防篡改。哈希加密算法的特点是不可逆,即无法从密文还原出明文,也就是说,每个不同的明文输入都会得到一个唯一的密文输出。常见的哈希加密算法有MD5、SHA-1、SHA-2等。
SHA-1简介
SHA-1是一种密码学哈希函数,它接受任意长度的输入(消息),并生成一个固定大小(160位)的输出,称为哈希值。SHA-1加密的过程包括以下几个步骤:
- 填充:首先对输入消息进行填充,以确保其长度是512位的倍数。这是通过添加一个1位,后跟零,直到长度比512的倍数少64位为止来完成的,最后64位保留为原始消息的长度。
- 分成块:然后将填充的消息分成512位块。
- 初始化:160位消息摘要初始化为由SHA-1算法指定的固定值。
- 压缩:然后通过迭代一个压缩函数来处理每个块,将当前块与当前消息摘要组合起来,以生成新的消息摘要。该过程为每个块重复执行,每次更新消息摘要。
- 最终化:一旦所有块都已处理完,就通过将原始消息的长度附加到消息摘要上,并应用最终哈希操作来获取最终消息摘要。
生成的哈希值可用于数据完整性、数字签名和其他安全应用程序。然而,正如前面提到的,SHA-1不再被认为对抗碰撞攻击是安全的,应该被更新和更强的哈希算法如SHA-2或SHA-3替代。
四、总结
本文介绍了高校教务系统的密码加密逻辑以及使用JavaScript进行逆向分析的方法。通过学习这些知识,你可以更好地理解密码加密技术的原理,并掌握一定的逆向分析技巧。请注意,逆向分析可能涉及到法律问题,请在合法范围内进行研究和实践。
五、累计更新
争取到到底早日更新30所高校,大家可以在评论区留言。前期更的可能会多一点,有的学校教务系统都没有加密,我这里就不写了,还有,部分学校的教务系统已经和我之前写的是一样的,我也不重复赘述了。
往期作品可以查看专栏👇👇👇
全国高校教务系统登录页面JS分析_爱吃饼干的小白鼠的博客-CSDN博客