CKFinder3 破解与防破解
转自:http://www.petershi.net/ckfinder3-cracking-of
背景:后台开发时候频繁遇到图片选择组件,要求该组件可以选择服务器上已有的图片或者新上传一张图片,选择之后还要编辑裁切图片。
试用了下 CKFinder 功能不错,就是多个站点得 500 刀确实贵了点,试试看能不能绕过授权试试看。
下载然后本地服务器配置好之后,深深地感受到了试用版真的是很 Demo,网上流传有不少破解方法。然而这些方法对于最新版并没有什么用,因为,最新版的 js 代码已经加密。里面的 if 判断基本全是加密后的字符串。
本来事情就结束了,可是心中不服。
首先格式化 js 代码(工具),找到 function S(e){ }; 加密后的内容都是在调用这个方法解密字符串。这样子的话,貌似能试试看咯。即便是搞不定也能学个算法。
首先来个测试页面:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Document</title> </head> <body> <script> /* * 原解密函数 */ function S(e) { for (var t = "", n = e.charCodeAt(0), i = 1; i < e.length; ++i) t += String.fromCharCode(e.charCodeAt(i) ^ i + n & 127); return t; } // 先试两个数据找下节奏 log_info('&N[mOFC"'); log_info(';tXRS/'); /*记录测试数据*/ function log_info(words) { console.log('----------------'); var s = S(words); console.log("words: ", words, words.length); console.log("After S(e): ", s, s.length); } </script> </body> </html>
控制台输出:
words 是解密后的字符串,After S(e)是用 S 方法解密后的数据
里面有一个细节是加密后的字符串比原字符串多了一位,尝试分别删除前后一个字符看看结果:
推测除了第一位数据后面的字母是一对一的关系,删除第一位之后后面数据全乱掉,说明,第一位应该是“标志位”。
先明确下我们的目的:找到程序中判断是否购买的的判断模块,或者是判断软件是适用版本的代码,提示信息等。
现在代码被加密了,Demo 版本的提示信息显然是被加密了,要顺藤摸瓜,想想办法把提示信息找出来。代码已经写死,加密后的提示信息 通过 S 函数可以直接换还原,那么我们有没有可能推出加密算法,根据网页上显示的提示信息自己生成加密的提示信息,根据这个定位代码中哪块在判断授权。
开始正式尝试的分割线
解密算法有了,字符串结构了解了,那么接下来可以试着推一推“标志位”是怎么来的。
解密算法整理一下
function S(e) { for (var t = "", n = e.charCodeAt(0), i = 1; i < e.length; ++i) { t += String.fromCharCode(e.charCodeAt(i) ^ i + n & 127); } return t; };
for 循环里面分别对每一个字符串进行操作,确实要解密的字符串第一个字符并没有进行转换操作,这正好解释了为什么前面发现长度差 1 位的原因
// 先拎出来第一个循环
// 涉及的变量 t="" n=e[0]; // 标志位n : 字符串第一个字符的ASCII码对应值 i = 1;
算法公式(A):
t = fromCharCode(e[i] ^ i + n & 127);
为了有效防止蒙圈,根据运算符优先级,用括号框起来便于理解
t = fromCharCode(e[i] ^ ( i + ( n & 127 ) ) );
拆解:
(n & 127) 目的是保证字符在 ASCII 之内,暂时忽略细节不考虑溢出,简化成 n;
e[i] 看作是密文
设 c = String.chaCodeAt(t);
那么 c 可看作原文得到:
c = e[i] ^ ( i + n );
用人话说就是
原文 = 密文 ^ (i + “标志位”);
根据异或的特性 IF a ^ b = c THEN a ^ c = b
密文 = 原文 ^ (i + “标志位”);
进一步分析:i 在密文和原文之间,存在一对一的偏移关系,举例说:i=3, 密文[3] => 明文[3] ,因此暂且认为 (i+ “标志位”) 是个定值。
从源代码中找了两段字符,测试了下输出结果,参照下图,注意看 offset,和 offset+i,
加密字符串为 &N[mOFC" 开头字母 & 的 ASCII 值就是 38,原文就是异或了这个 offseti 的值得出 c1,原文的 ASCII 值 比如 N(78) 偏移 (39) 得到 i(105) 。
那么到此我们是有望推导出加密算法的。
显然第一个“标志位”是随机的,那么就意味着我们加密后的结果也是会非常多的。
当然好消息是要破解这个加密,找到我们想找的加密信息,不用算法也可以,因为我们已经确认了密文的结构。
比如说:密文是:This(ASCII 值:84,104,105,115)。甭管标志位怎么随机,把密文每个字符转成 ASCII 值[x1,x2,x3,x4,x5]。总有:x3-x2=104-84+1=21; x4-x3=105-104+1=2。
写个脚本穷举一下就出来了。
但是,但是,我想要加密算法。
那么就接着推吧
首先要来一个“标志位”。
ASCII 中有不少控制字符是显示不出来的,还有双引号什么的,所以不要直接和 ASCII 码死磕,把他们先撇过去,挑一些正常的。
var charset = [ "!", "#", "$", "%", "&", "'", "(", ")", "*", "+", ",", "-", ".", "/", "0", "1", "2", "3", "4", "5", "6", "7", "8", "9", ":", ";", "<", "=", ">", "?", "@", "A", "B", "C", "D", "E", "F", "G", "H", "I", "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V", "W", "X", "Y", "Z", "[", "\\", "]", "^", "_", "`", "a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "{", "|", "}", "~", ]; // 第一步先随机一个字符串 var rand = Math.ceil(Math.random() * (0 - charset.length + 1) + charset.length - 1); // 接下来逆推公式 var t = charset[rand]; var n = t.charCodeAt(0); for (var i = 0; i < e.length; ++i) { var a1 = e.charCodeAt(i); //把字母拿出来 var a2 = (i + 1) + n & 127; // 偏移量加 1 var b1 = a1 ^ a2; // a^b=c => a=b^c; t += String.fromCharCode(b1); } return t;
找几个数据试试看:
log_info_all("Hello World!"); log_info_all("This is a demo");
结果:
然后就看到了这两句话:
好的吧。
那我就不搞了。
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于