關注微信公眾號:K哥爬蟲,持續分享爬蟲進階、JS/安卓逆向等技術干貨!
宣告
本文章中所有內容僅供學習交流,抓包內容、敏感網址、資料介面均已做脫敏處理,嚴禁用于商業用途和非法用途,否則由此產生的一切后果均與作者無關,若有侵權,請聯系我立即洗掉!
逆向目標
- 目標:某投資領域 SAAS 系統 PEDATA MAX 資訊,回傳結果加密
- 主頁:
aHR0cHM6Ly9tYXgucGVkYXRhLmNuL2NsaWVudC9uZXdzL25ld3NmbGFzaA== - 介面:
aHR0cHM6Ly9tYXgucGVkYXRhLmNuL2FwaS9xNHgvbmV3c2ZsYXNoL2xpc3Q= - 逆向引數:請求回傳的加密結果,
data: "L+o+YmIyNDE..."
抓包分析
我們在首頁,點擊查看全部24小時資訊,往下拉,資訊是以 Ajax 形式加載的,我們選中開發者工具 XHR 進行篩選,很容易找到一個 list 請求,其回傳值 data 是一串經過加密后的字串,exor 不知道是啥,但是后面可能有用,ts 是時間戳,如下圖所示:
Payload 里的引數沒有什么特別的,就是一些翻頁資訊,我們再看看請求 header,這里注意 Cookie 和 HTTP-X-TOKEN 兩個引數,訪問這個頁面需要登錄賬號,一般來說,Cookie 是用來標識不同用戶的,但經過 K 哥測驗發現,此案例中,這個 HTTP-X-TOKEN 引數才是用來識別用戶的,所以不需要 Cookie 也行,隨便提一嘴,Cookie 中我們經常看到有 Hm_lvt_xxx 和 Hm_lpvt_xxx 是用于百度聯盟廣告的資料統計的,與爬蟲無關,
加密逆向
我們注意到回傳的是一個字典,在獲取到加密資料后,肯定會有一個取值的程序,所以我們直接搜索鍵,搜索 exor 結果只有一個:
這里 e.data 就是回傳的字典,e.data.data、e.data.exor 依次取加密值和 exor,這里就可以猜測是將加密值取出來進行解密操作了,我們在此函式結尾處也打個斷點,看看這段代碼執行完畢后,data 的值是否變成了明文:
不出所料,Object(p["y"])(e.data.data, e.data.exor) 這段代碼就是解密函式了,Object(p["y"]) 其實是呼叫了 M 方法,跟進去看看:
傳入的 t 和 n 分別是加密值和 exor,最后回傳的 JSON.parse(c) 就是解密結果:
關鍵代碼:
function M(t, n) {
var a = L(Object(s["a"])(), n)
, r = Y(B(t), a)
, c = o.a.gunzipSync(e.from(r)).toString("utf-8");
return JSON.parse(c)
}
挨個函式扣下來,簡單的就不講了, 其中 Object(s["a"]),選中它,其實是呼叫了 c 方法,跟進 c 方法,實際上是取了 loginToken,這個 loginToken 就是我們前面分析的請求頭中的 HTTP-X-TOKEN,包含了你的登錄資訊,
拓展知識:window.localStorage 屬性用于在瀏覽器中存盤鍵值對形式的資料,localStorage 與 sessionStorage 類似,區別在于:localStorage 中的資料可以長期保留,沒有過期時間,直到被手動洗掉,sessionStorage 的資料僅保存在當前會話中,在關閉視窗或標簽頁之后將會洗掉這些資料,
再往下看,有個 o.a.gunzipSync(),先放一下,先看看傳入的引數 e.from(r),跟進看可能看不出來什么,直接對比 r 和 e.from(r),會發現都是 Uint8Array 的資料,一模一樣的,如下圖所示:
再來看看 o.a.gunzipSync(),實際上呼叫的是 chunk-vendors.js 里的匿名函式,不知道這個 JS 不要緊,我們注意到 chunk-vendors.js 里面的代碼有超過14萬行,再加上這個奇怪的名字,什么模塊供應商,不難想到這是一個系統或者第三方生成的 JS,事實上它是 vue 應用程式構建程序中創建的檔案,對于我們爬蟲工程師來講,粗暴的將其理解為類似 jquery.js 一樣的東西也行,我們一般是不會去扣 jquery.js 里面的代碼的,同樣這個 chunk-vendors.js 也不可能傻傻的去扣,
我們重點看看這個函式名,gunzipSync,其他不認識,但認識 zip 吧,可以聯想到應該與壓縮有關,不了解同樣不要緊,直接使出百度大法:
這直接給出了 nodejs 里面的實作方法,用的是 zlib 模塊,隨便找個示例看看用法:
var zlib = require('zlib');
var input = "Nidhi";
var gzi = zlib.gzipSync(input);
var decom = zlib.gunzipSync(new Buffer.from(gzi)).toString();
console.log(decom);
進一步學習,我們可以知道 zlib.gunzipSync() 方法是 zlib 模塊的內置應用程式編程介面,用于使用 Gunzip 解壓資料塊,傳入的資料可以是 Buffer、TypedArray、DataView、ArrayBuffer、string 型別,在官方檔案中我們可以看到更新歷史里面,在 v8.0.0 以后,傳入的資料就支持 Uint8Array 了:
結合前面我們對 r 值的分析,所以在 nodejs 里,直接把 r 值傳入到 zlib.gunzipSync() 方法里就可以了,將用到的 L、V、B 三個方法扣出來,然后配合 zlib 庫,改寫一下就能拿到解壓后的資料了:
function getDecryptedData(encryptedData, exor, loginToken) {
var a = L(loginToken, exor);
var r = Y(B(encryptedData), a)
var decryptedData = https://www.cnblogs.com/ikdl/archive/2022/01/06/zlib.gunzipSync(r).toString();
return decryptedData
}
完整代碼
GitHub 關注 K 哥爬蟲,持續分享爬蟲相關代碼!歡迎 star !https://github.com/kgepachong/
以下只演示部分關鍵代碼,不能直接運行! 完整代碼倉庫地址:https://github.com/kgepachong/crawler/
JavaScript 加密代碼
/* ==================================
# @Time : 2021-12-31
# @Author : 微信公眾號:K哥爬蟲
# @FileName: main.js
# @Software: PyCharm
# ================================== */
var zlib = require('zlib');
function L(e, t) {
if ("1" == t)
return [7, 65, 75, 31, 71, 101, 57, 0];
for (var n = [], a = 0, r = t.length; a < r; a += 2)
n.push(e.substr(1 * t.substr(a, 2), 1).charCodeAt());
return n
}
function Y(e, t) {
for (var n, a = new Uint8Array(e.length), r = 0, c = e.length; r < c; r++)
n = t[r % t.length],
a[r] = e[r].charCodeAt() ^ n;
return a
}
function B(e) {
var t, n, a, r, c, u, i, o = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=", s = "", f = 0;
e = e.replace(/[^A-Za-z0-9\+\/\=]/g, "");
while (f < e.length)
r = o.indexOf(e.charAt(f++)),
c = o.indexOf(e.charAt(f++)),
u = o.indexOf(e.charAt(f++)),
i = o.indexOf(e.charAt(f++)),
t = r << 2 | c >> 4,
n = (15 & c) << 4 | u >> 2,
a = (3 & u) << 6 | i,
s += String.fromCharCode(t),
64 != u && (s += String.fromCharCode(n)),
64 != i && (s += String.fromCharCode(a));
return s
}
function getDecryptedData(encryptedData, exor, loginToken) {
var a = L(loginToken, exor);
var r = Y(B(encryptedData), a)
var decryptedData = https://www.cnblogs.com/ikdl/archive/2022/01/06/zlib.gunzipSync(r).toString();
return decryptedData
}
Python 示例代碼
# ==================================
# --*-- coding: utf-8 --*--
# @Time : 2021-12-31
# @Author : 微信公眾號:K哥爬蟲
# @FileName: main.py
# @Software: PyCharm
# ==================================
import execjs
import requests
news_est_url = "脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler"
login_token = "token 換成你自己的!"
headers = {
"Accept": "application/json, text/plain, */*",
"Content-Type": "application/json",
"Host": "脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler",
"HTTP-X-TOKEN": login_token,
"Origin": "脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler",
"Referer": "脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36"
}
def get_decrypted_data(encrypted_data, exor):
with open('pedata_decrypt.js', 'r', encoding='utf-8') as f:
pedata_js = f.read()
decrypted_data = https://www.cnblogs.com/ikdl/archive/2022/01/06/execjs.compile(pedata_js).call('getDecryptedData', encrypted_data, exor, login_token)
return decrypted_data
def get_encrypted_data():
data = https://www.cnblogs.com/ikdl/archive/2022/01/06/{"type": "",
"module": "LP",
"page":
{
"currentPage": 1,
"pageSize": 10
}
}
response = requests.post(url=news_est_url, headers=headers, json=data).json()
encrypted_data, exor = response["data"], response["exor"]
return encrypted_data, exor
def main():
encrypted_data, exor = get_encrypted_data()
decrypted_data = https://www.cnblogs.com/ikdl/archive/2022/01/06/get_decrypted_data(encrypted_data, exor)
print(decrypted_data)
if __name__ =='__main__':
main()
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/404331.html
標籤:其他