關注微信公眾號:K哥爬蟲,持續分享爬蟲進階、JS/安卓逆向等技術干貨!
宣告
本文章中所有內容僅供學習交流,抓包內容、敏感網址、資料介面均已做脫敏處理,嚴禁用于商業用途和非法用途,否則由此產生的一切后果均與作者無關,若有侵權,請聯系我立即洗掉!
逆向目標
- 目標:網洛者反反爬蟲練習平臺第四題:JSFuck 加密
- 鏈接:http://spider.wangluozhe.com/challenge/4
- 簡介:本題仍然是要求采集100頁的全部數字,并計算所有資料加和,需要摳出原始碼進行計算,主要使用了 JSFuck 加密
JSFuck 簡介
JSFuck、AAEncode、JJEncode 都是同一個作者,JSFuck 由日本的 Yosuke HASEGAWA 在 2010 創造,它可以將任意 JavaScript 編碼為僅使用 6 個符號的混淆形式 []()!+,2012 年,Martin Kleppe 在 GitHub 上創建了一個 jsfuck 專案和一個 JSFuck.com 網站,其中包含使用該編碼器實作的 Web 應用程式,JSFuck 可用于繞過對網站上提交的惡意代碼的檢測,例如跨站點腳本(XSS)攻擊,JSFuck 的另一個潛在用途在于代碼混淆,目前的 jQuery 就已經有經過 JSFuck 混淆后的功能齊全的版本,
在線體驗地址:https://utf-8.jp/public/jsfuck.html http://www.jsfuck.com/
正常的一段 JS 代碼:
alert(1)
經過 JSFuck 混淆之后的代碼類似于:
[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]][([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+!+[]]+(+[![]]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]+(+(!+[]+!+[]+!+[]+[+!+[]]))[(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([]+[])[([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]][([][[]]+[])[+!+[]]+(![]+[])[+!+[]]+((+[])[([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[+!+[]+[+!+[]]]+(!![]+[])[!+[]+!+[]+!+[]]]](!+[]+!+[]+!+[]+[!+[]+!+[]])+(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]])()((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]]+[])[+!+[]+[!+[]+!+[]+!+[]]]+[+!+[]]+([+[]]+![]+[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]])[!+[]+!+[]+[+[]]])
JSFuck 中常見的元素、數字、符號轉換如下表,更多元素可參考 JSFuck 官方 GitHub 或 JSFuck 維基百科:
| Value | JSFuck |
|---|---|
| false | ![] |
| true | !![] or !+[] |
| NaN | +[![]] |
| undefined | [][[]] |
| Infinity | +(+!+[]+(!+[]+[])[!+[]+!+[]+!+[]]+[+!+[]]+[+[]]+[+[]]+[+[]]) |
| Array | [] |
| Number | +[] |
| String | []+[] |
| Boolean | ![] |
| Function | []["filter"] |
| eval | []["filter"]["constructor"]( CODE )() |
| window | []["filter"]["constructor"]("return this")() |
| + | (+(+!+[]+(!+[]+[])[!+[]+!+[]+!+[]]+[+!+[]]+[+[]]+[+[]])+[])[!+[]+!+[]] |
| . | (+(+!+[]+[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+[!+[]+!+[]]+[+[]])+[])[+!+[]] |
| 0 | +[] |
| 1 | +!![] or +!+[] |
| 2 | !![]+!![] or !+[]+!+[] |
| 3 | !![]+!![]+!![] or !+[]+!+[]+!+[] |
| a | (![]+[])[+!+[]] |
| d | ([][[]]+[])[!+[]+!+[]] |
| e | (!![]+[])[!+[]+!+[]+!+[]] |
| f | (![]+[])[+[]] |
我們以字母 a 為例,來演示一遍其混淆的流程:
"false"[1]:字母 a 取自字串 false,在 false 中,a 的索引值是 1;(false+[])[1]:false 可以寫成 false+[],即布爾常量 false 加上一個空陣列;(![]+[])[1]:false 又可以寫成 ![],即否定應用于空陣列;(![]+[])[+true]:1 是一個數字,我們可以把它寫成 +true;(![]+[])[+!![]]:由于 false 是 ![],所以 true 就是 !![],生成最侄訓淆代碼,
JSFuck 解混淆方法
JSFuck 在呼叫方法時通常都是通過 Function(xxx)() 和 eval(xxx) 的形式來執行,因此 JSFuck 常見解混淆的方式如下:
- 使用在線工具直接解密,比如:https://lelinhtinh.github.io/de4js/ ;
- 針對 Function 的情況,復制代碼最外層倒數第二個括號內的內容,放到瀏覽器里面去直接執行就可以看到原始碼;
- 針對 eval 的情況,復制代碼最外層最后一個括號內的內容,放到瀏覽器里面去直接執行就可以看到原始碼;
- 使用 Hook 的方式,分別 Hook Function 和 eval,列印輸出原始碼;
- 使用 AST 進行解混淆,AST 的教程 K 哥后續也會寫,本文不詳細介紹,
如前面 alert(1) 的混淆代碼,復制最外層最后一個括號內的內容到瀏覽器,就可以看到源代碼:
逆向引數
逆向的目標主要是翻頁介面 _signature 引數,呼叫的加密方法仍然是 window.get_sign(),和前面幾題是一樣的,本文不再贅述,不清楚的可以去看 K 哥上期的文章,
繼續跟進,會發現是一個 JSFuck 混淆:
我們將這段代碼復制出來,放到編輯器里面,這里以 PyCharm 為例,由于我們要選中匹配括號里的內容,所以我們可以設定一下 PyCharm 括號匹配高亮為紅色,便于我們查找,依次點擊 File - Settings - Editor - Color Scheme - General - Code - Matched brace,設定 Background 為顯眼的顏色:
此時我們選中最后一個括號,往上找,就可以非常明顯地看到與之匹配的另一個括號,如下圖所示:
我們將括號里面的內容復制出來(可以包含括號,也可以不包含),放到瀏覽器控制臺運行一下,就可以看到原始碼了:
除了這種方法以外,我們還可以使用 Hook 的方式,直接捕獲原始碼然后列印輸出,注意到這段混淆代碼最后沒有 () 括號,那就是 eval 的方式執行的,我們撰寫 Hook eval 代碼如下:
eval_ = eval;
eval = function (a){
debugger;
return eval_()
}
// 另外提供一個 Hook Function 的代碼
// Function.prototype.constructor_ = Function.prototype.constructor;
// Function.prototype.constructor = function (a) {
// debugger;
// return Function.prototype.constructor_(a);
// };
重繪網頁,直接斷下,此時 a 的值就是原始碼:
將原始碼復制下來,本地分析一下:
(function () {
let time_tmp = Date.now();
let date = Date.parse(new Date());
window = {};
let click = window.document.onclick;
let key_tmp;
let iv_tmp;
if (!click) {
key_tmp = date * 1234;
} else {
key_tmp = date * 1244;
}
if (time_tmp - window.time < 1000) {
iv_tmp = date * 4321;
} else {
iv_tmp = date * 4311;
}
const key = CryptoJS.enc.Utf8.parse(key_tmp);
var iv = CryptoJS.enc.Utf8.parse(iv_tmp);
(function tmp(date, key, iv) {
function Encrypt(word) {
let srcs = CryptoJS.enc.Utf8.parse(word);
let encrypted = CryptoJS.AES.encrypt(srcs, key, {
iv: iv,
mode: CryptoJS.mode.CBC,
padding: CryptoJS.pad.Pkcs7
});
return encrypted.ciphertext.toString().toUpperCase();
}
window.sign = Encrypt(date);
})(date, key, iv);
})();
可以看到就是一個 AES 加密,這里主要注意有兩個 if-else 陳述句,第一個判斷是否存在 window.document.onclick,第二個是時間差的判斷,我們可以在控制臺去嘗試取一下 window.document.onclick 和 window.time,看一下到底走的是 if 還是 else,在本地把這兩個值也補全即可,實際上經過K哥測驗 window.document.onclick 為 null,然后不管是走 if 還是 else 都是可以拿到結果的,所以對于本題來說,兩個 window 物件都無所謂,直接去掉,key_tmp 和 iv_tmp 任意取值都可以,
自此本題分析完畢,本地改寫之后,配合 Python 代碼攜帶 _signature 挨個計算每一頁的資料,最終提交成功:
完整代碼
GitHub 關注 K 哥爬蟲,持續分享爬蟲相關代碼!歡迎 star !https://github.com/kgepachong/
以下只演示部分關鍵代碼,不能直接運行! 完整代碼倉庫地址:https://github.com/kgepachong/crawler/
JavaScript 加密代碼
/* ==================================
# @Time : 2021-12-13
# @Author : 微信公眾號:K哥爬蟲
# @FileName: challenge_4.js
# @Software: PyCharm
# ================================== */
var CryptoJS = require('crypto-js')
let date = Date.parse(new Date());
window = {};
let key_tmp = date * 1234;
// let key_tmp = date * 1244;
let iv_tmp = date * 4321;
// let iv_tmp = date * 4311;
const key = CryptoJS.enc.Utf8.parse(key_tmp);
var iv = CryptoJS.enc.Utf8.parse(iv_tmp);
(function tmp(date, key, iv) {
function Encrypt(word) {
let srcs = CryptoJS.enc.Utf8.parse(word);
let encrypted = CryptoJS.AES.encrypt(srcs, key, {
iv: iv,
mode: CryptoJS.mode.CBC,
padding: CryptoJS.pad.Pkcs7
});
return encrypted.ciphertext.toString().toUpperCase();
}
window.sign = Encrypt(date);
})(date, key, iv);
function getSign() {
return window.sign
}
// 測驗輸出
// console.log(getSign())
Python 計算關鍵代碼
# ==================================
# --*-- coding: utf-8 --*--
# @Time : 2021-12-13
# @Author : 微信公眾號:K哥爬蟲
# @FileName: challenge_4.py
# @Software: PyCharm
# ==================================
import execjs
import requests
challenge_api = "http://spider.wangluozhe.com/challenge/api/4"
headers = {
"Content-Type": "application/x-www-form-urlencoded; charset=UTF-8",
"Cookie": "將 cookie 值改為你自己的!",
"Host": "spider.wangluozhe.com",
"Origin": "http://spider.wangluozhe.com",
"Referer": "http://spider.wangluozhe.com/challenge/4",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36",
"X-Requested-With": "XMLHttpRequest"
}
def get_signature():
with open('challenge_4.js', 'r', encoding='utf-8') as f:
ppdai_js = execjs.compile(f.read())
signature = ppdai_js.call("getSign")
print("signature: ", signature)
return signature
def main():
result = 0
for page in range(1, 101):
data = https://www.cnblogs.com/ikdl/p/{"page": page,
"count": 10,
"_signature": get_signature()
}
response = requests.post(url=challenge_api, headers=headers, data=https://www.cnblogs.com/ikdl/p/data).json()
for d in response["data"]:
result += d["value"]
print("結果為: ", result)
if __name__ == '__main__':
main()
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/390227.html
標籤:Python
上一篇:帶反斜杠的字串到字典
下一篇:如何通過索引值從字典中洗掉專案?