宣告
本文章中所有內容僅供學習交流,抓包內容、敏感網址、資料介面均已做脫敏處理,嚴禁用于商業用途和非法用途,否則由此產生的一切后果均與作者無關,若有侵權,請聯系我立即洗掉!
本文章未經許可禁止轉載,禁止任何修改后二次傳播,擅自使用本文講解的技術而導致的任何意外,作者均不負責,若有侵權,請在公眾號【K哥爬蟲】聯系作者立即洗掉!
逆向目標
- 目標:某驗三代、四代一鍵通過模式(無感驗證)逆向分析
- 三代主頁:
aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby9mdWxscGFnZS5odG1s - 四代主頁:
aHR0cHM6Ly9ndDQuZ2VldGVzdC5jb20v
通訊流程
介面相關:
完整流程:
三代抓包情況
register-fullpage 會回傳 challenge 和 gt 值,后期有用到,
get.php 會回傳 c 和 s,同樣后期會用到,這個請求同樣需要 w 值,在某驗的點選滑塊里,這個請求可以不要 w 值,但在三代無感里,必須得要,不然最后是會驗證失敗的,可能不帶 w 請求,回傳的 s 是個假的值,導致最后驗證失敗,
ajax.php 驗證是否成功,同樣需要 w 值,成功則會回傳一個 validate,
三代逆向分析
第一個 w 值
相信看過K哥以前滑塊、點選的文章,對于定位 w 的值很熟練了,這里也是類似的,"\u0077" 就是 "w",其值為 i + r,如下圖所示:
主要就是 r、o、i 的值,關鍵代碼:
var r = t[$_CFAGw(1326)]()
, o = $_BFx()[$_CFAGw(1367)](pe[$_CFAFP(416)](t[$_CFAGw(353)]), t[$_CFAGw(1393)]())
, i = O[$_CFAGw(1375)](o)
先看看 r,跟進去就是我們熟悉的 RSA 了,和以前的處理一樣,把代碼扣下來或者用庫都行,
同樣需要注意的是上圖中 this[$_CHCFe(1393)]() 也是個隨機字串,會遇到多次,但整體一次驗證下來都是相同的值,不然驗證會失敗,點選、滑塊等一系列都一樣的,
然后是 o 的值,這里和以前一樣,跟進去看仍然是 AES 加密, t[$_CFAGw(1393)]() 依舊是隨機字串,
中間這一串 pe[$_CFAFP(416)](t[$_CFAGw(353)]),也沒啥特別的,除了 gt 和 challenge,其他都是定值,最后面那一串 i 的值,實測寫死、置空都行,
然后繼續跟進 i,把前面 o 的值轉換成一個大的字串,這里也不是很復雜,直接扣代碼即可:
然后 i + r 就是 w 的值了,到這里第一個 w 的值就搞完了,
第二個 w 值
第二個 w 的值和以往的地方都不太一樣,不過通過跟堆疊的方式也很容易找到,來到有個 var n = {}; 的地方,如下圖所示:
t[$_CGABi(1436)] 就是 w 值,也就是 t['$_CEDO'],前面定義了 var t = this,經過第 8215 行的 t[$_CGAAX(1462)]() 之后,就有了 w 的值,所以要跟進去重點看這一行,
如上圖所示,e、t、n、r 中涉及到一些瀏覽器環境值的計算,當然還有滑鼠移動等相關資料的計算,如下圖所示:
而實際測驗發現這四個值直接置空也可以,在本例中可以,不知道是否有其他案例校驗更加嚴格,知道的朋友可以在評論區提出來,再往下,會遇到很多給變數賦值的地方,如下圖所示,G 是 MD5 方法,中間的 O[$_CGBFp(948)] 和以前類似,回傳一個物件中的 res 和 end 相加,這里就不再贅述了,
i[$_CGBGa(1415)] 這里就是將每個變數和值挨個相加,組成一個大的字串,
然后到 r 這里,就多了一個 captcha_token,然后用 {} 將所有資料包了起來,
這些資料我們格式化一下,大致結構如下圖所示:
其中 ep 里面的 ven、ren 是顯卡相關資訊,fp、lp 是取了兩個滑鼠移動的位置資訊,直接寫死為 null 也可以,tm 就是 window.performance.timing 的一些東西,自己隨便偽造一下就行了,
最后一步 i[$_CGDBA(1436)],隨機字串為 key,將前面的資料 r 進行 AES 加密,得到我們最終的 w 值,如下圖所示:
三代結果驗證
四代抓包情況
load 介面回傳值如下:
-
captcha_type:驗證碼型別,無感為 ai
-
gct_path:gct4 檔案路徑
-
lot_number:生成 pow_msg、w 的關鍵引數
-
payload:verify 請求引數
-
datetime:ISO 8601 擴展格式的日期,生成 pow_msg 的關鍵引數
-
process_token:verify 請求引數
verify 介面回傳值如下:
- captcha_id:驗證碼 id
- captcha_output:login 請求引數
- gen_time:login 請求引數
- lot_number:login 請求引數
- pass_token:login 請求引數
login 介面驗證登錄成功:
四代逆向分析
w 引數
與三代無感一樣,四代無感 w 引數同樣直接搜索 "\u0077" 即可定位到,r 為 w 引數的值:
r 引數定義在第 6237 行,內容如下:
(0,d[$_CBHHO(84)])(f[$_CBHIE(84)][$_CBHHO(562)](e), i)
d["default"])(f["default"]["stringify"](e), i)
由上可知,r 是將 i 引數和轉為字串的 e 引數加密得到的,跟進到 d[$_CBHHO(84)] 中,加密函式定義在第 11669 行,在第 11707 行打下斷在,回傳值為 r 引數的值,即 w 值:
(0,d[$_DIEHS(177)])(c) + u
d["arrayToHex")(c) + u
這里是將 c 陣列轉換成了十六進制的字串然后加上 u 得到的 r 值,d[$_DIEHS(177)] 跟進去直接扣出來即可,c 定義在第 11705 行:
var c = s[a][$_DIEIq(1403)][$_DIEHS(1498)](e, i);
var c = s[1]["symmetrical"]["encrypt"](e, i);
e 后文分析,i 為 16 位字串:
i 定義在第 11702 行,跟進到 d[$_DIEIq(103)] 方法中,i 為 16 位亂數:
e 引數內容如下:
device_id、lot_number 由 load 介面回傳,pow_msg 為 "1|0|md5|" + datetime + "|" + captcha_id + "|" + lot_number + "||" + 16位亂數,pow_msg 經過 MD5 加密即為 pow_sign,"l0zs":"53502544" 為動態變化的鍵值對,在往期四代滑塊的文章中均有詳細介紹,接下來跟進到 s[a][$_DIEIq(1403)][$_DIEHS(1498)] 中,c 為 AES 加密,扣代碼或者直接引庫:
u 定義在第 11704 行,i 為十六位隨機字串:
u = new l[($_DIEHS(84))]()[$_DIEIq(1498)](i);
u = new l["default"]()["encrypt"](i);
跟進到加密函式 l[($_DIEHS(84))] 中,在第 12725 行,于 12741 行打下斷點,可以看到這里就是個 RSA 加密,扣代碼或者直接引庫即可:
四代結果驗證
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/545398.html
標籤:Python