JS逆向:猿人学爬虫比赛第五题详细题解(下)

举报
悦来客栈的老板 发表于 2020/12/29 00:46:36 2020/12/29
【摘要】 上篇文章,我们已经找到了加密的地方,关键代码是这样的: _$Ww = _$Tk["enc"]["Utf8"]["parse"](window['_$pr']["toString"]()), _$Wu = _$Tk["AES"]["encrypt"](_$Ww, window["_$qF"], {    'mode': _$Tk["mode"]["ECB"], 'pa...

上篇文章,我们已经找到了加密的地方,关键代码是这样的:


   
  1. _$Ww = _$Tk["enc"]["Utf8"]["parse"](window['_$pr']["toString"]()),
  2. _$Wu = _$Tk["AES"]["encrypt"](_$Ww, window["_$qF"], {
  3.     'mode': _$Tk["mode"]["ECB"],
  4. 'padding': _$Tk["pad"]["Pkcs7"]
  5. }),
  6. window['_$ss'] = _$Wu["toString"]();

现在各个击破,抠出加密的函数。

这是一个很明显的AES加密,我们来看第一个参数 _$Ww 它的结果就是第一行代码,也很简单,找到 window['_$pr'] 赋值的地方即可。

全局搜索 _$pr,发现有七处地方,分别打上断点:

刷新页面,停到断点处:

这是它初始化的地方,继续执行,来到这里:

在控制台,分别输入实参和结果:

这里特别要注意,它前四次的加密在同一个地方,但是第五次换到了另外一处,因此要改变变量名及其调用。

这个时候来看加密参数和cookie值,会惊奇的发现:

1. 加密参数 m 的值,就是最后一次加密的时间戳

2.cookie字段m的值,就是最后一次函数调用的结果

现在第一个参数_$Ww 以加密的位置已经找到了,来看第二个参数 window["_$qF"],全局搜索 _$qF 定位到这里:

代码很简单,继续全局搜索 _$is,定位到了这里。

原来就是最后一个时间戳进行base64编码,取前16位作为AES的key值:

_$8K['_$qF'] = CryptoJS['enc']['Utf8'][_$UH[255]](_$8K['btoa'](_$8K['_$is']).slice(0, 16))

  

现在就剩 f 参数不知道在哪里,看起来也像个时间戳。

下面就来找找它在哪里生成的,如下图所示:

点击红色箭头处的 X,然后再点击Initiator这一列,数据接口的这一行:

有个 anonymous,跟进去看看:

注意标黄的这一行,点击 {} 进行格式化,往下翻,知道f赋值的地方:

原来是 window.$_zw[23],注意,是个全局变量,控制台输入,看看有值没:

这么一看,确实是一模一样,那 f 的值就是 window.$_zw[23]了,看看 $_zw 在哪些地方进行了赋值:

还真不少,那怎么知道第23个元素是哪个变量呢?控制台输入 $_zw 看看它的元素分别是啥:

 

以 "明说了,这个数组是指纹" 这句话,往后数相同的位移,得到了 

$_aiding.$_zw.push($_t1);

  

$_t1 就是第23个元素,来看看它赋值的地方:

只有这一句,至此,所有的加密参数都已全部知道出来,剩下的就是抠代码了。

代码怎么抠,我就不讲了。很简单的东西,不过这里有个天坑。我们在追 AES加密函数的第一个参数的时候,代码是这样的:


   
  1. _$Wa = _$f$();
  2. _$Is[_$Fe] = "m=" + b(_$Wa) + "; path=/";
  3. _$8K['_$pr']['push'](b(_$Wa));
  4. delete _$8K['_$Jy'];
  5. delete _$8K['_$tT'];
  6. _$8K['_$Jy'] = _$TT();
  7. _$8K['_$tT'] = _$TT() - _$f$();

全局变量 _$Jy' 和 _$tT 的变化会引起b函数结果的变化,因此这里要特别注意。

还有一个坑就是 window['_$6_'] 也是变化的。具体怎么变,请读者自行发现,这里不做多的讲解。

下面是福利时间,这是本人的星球,主要讲解JavaScript代码的反混淆,趁着双11,也来搞个半折优惠。

文章来源: blog.csdn.net,作者:悦来客栈的老板,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/qq523176585/article/details/109610764

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。