现在一些网站对 JavaScript 代码采取了一定的保护措施,比如变量名混淆、执行逻辑混淆、反调试、核心逻辑加密等,有的还对数据接口进行了加密,这次的案例是对加速乐、AAEncode、OB 混淆方式的破解。
本文章中所有内容仅供学习交流,相关链接做了脱敏处理,若有侵权,请联系我立即删除!
目标网址:aHR0cHM6Ly93d3cubXBzLmdvdi5jbi9pbmRleC5odG1s
加速乐:加速乐是知道创宇旗下的一款网站安全防护平台产品
加速乐反爬特点:
第一次请求网站,响应状态码为 521,服务器返回的 Set-Cookie 中携带 jsluid_s 参数;
第二次请求网站,响应状态码仍为 521,Cookie 中携带 jsl_clearance_s 参数;
第三次请求网站,响应状态码 200,即可正常访问到网页内容。
下图所示,为加速乐的基本样式,521 为其明显特征,其他地方几乎看不到这个状态码:
在使用 Fiddler 对目标网站进行抓包分析之前,先 F12 打开开发者人员工具,在 Application 中清除浏览器缓存,清除可能存在的干扰方便之后调试分析:
打开 Fiddler ,对目标网站进行标记,方便查找到我们需要的内容:
开启抓包,能够发现该网站符合我们上述加速乐的特点:
我们打开第一个 521,可以看到返回的响应内容是一堆很有意思的颜表情符,这是典型的 AAEncode 加密方式的特点,并且 Set-Cookie 中携带了 jsluid_s 参数:
Set-Cookie: __jsluid_s=236185b3155a49cb575bd722bc62e6d2; max-age=31536000; path=/; HttpOnly; SameSite=None; secure
我们可以通过正则提取到 AAEncode 加密部分的内容,然后使用 execjs 模块的 eval 方法执行输出后就能得到 jsluid_s 参数的值:
import re
import requests
import execjsheaders = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36"
}
url = "aHR0cHM6Ly93d3cubXBzLmdvdi5jbi9pbmRleC5odG1s"
response = requests.get(url=url, headers=headers)js_clearance = re.findall('cookie=(.*?);location', response.text)[0]
result = execjs.eval(js_clearance).split(';')[0]
print(result)
获取到了 jsluid_s 参数的值后,我们可以携带其再次访问目标网站,就能和获取到第二层响应内容,可以看到,响应返回的 JS 文件经过了 OB 混淆,Cookie 中多了一个参数 jsl_clearance_s,我们可以推测该参数就是此 JS 文件生成的:
Cookie: __jsluid_s=236185b3155a49cb575bd722bc62e6d2; __jsl_clearance_s=1658887255.608|-1|epHb9ouMB4EutgWPsoWjiqRoqM4%3D
我们将第二层响应内容的 JS 代码复制到本地,会发现其经过了压缩,不便于调试分析,我们可以通过一些爬虫工具网站对其格式化处理,例如 爬虫工具库,稍作更改后如下为部分代码样式:
<script>
var _0x1c58 = ['wpDCsRDCuA==', 'AWc8w7E=', ......, 'HEVzUg==', 'woAhwrDDiQ==']; (function(_0x191b8d, _0x1c5888) {var _0x2a9aca = function(_0x405cb0) {while (--_0x405cb0) {_0x191b8d['push'](_0x191b8d['shift']());}};_0x2a9aca(++_0x1c5888);
} (_0x1c58, 0xcd));
...
...
</script>
一般情况下,我们得开始在开发者人员工具中全局搜索关键词或跟栈定位 JS 代码位置了,但是经过调试发现,这种方式几乎找不到该 JS 文件,所以得转变思路,我们可以将该 JS 代码保存到本地并在代码中加入 debugger; 以断点形式断到 JS 文件中,然后通过 Fiddler 进行文件替换:
以上操作完成后,清除浏览器缓存,然后打开 Fiddler 进行抓包,即可成功断住:
接下来就可以进行调试分析了,JavaScript 中一般使用 document.cookie 方法来创建 Cookie,我们可以在文件中 ctrl f 局部搜索 document,可以看到有一个结果,在这行打断点,经过调试分析,可以看到这里就是 cookie 生成的关键位置:
等号后面部分的 _0x60274b['tn'] + '=' + _0x732635[0x0] 生成了如下字符串内容,显而易见:
我们想要知道的是值是怎么生成的,所以进一步跟踪 _0x732635 的位置,通过搜索可以看到其是在第 538 行定义的,打断点调试可知:
// 该部分内容再 JS 文件的最后面
go({"bts": ["1658906704.293|0|YYj", "Jm5cKs%2B1v1GqTYAtpQjthM%3D"],"chars": "vUzQIgamgWnnFOJyKwXiGK","ct": "690f55a681f304c95b35941b20538480","ha": "md5","tn": "__jsl_clearance_s","vt": "3600","wt": "1500"
})
_0x732635 的构造,分析完了,我们现在只需要跟进 _0x14e035 就能知道 jsl_clearance_s 的具体生成逻辑,上文知道其是一个函数,具体内容如下:
function _0x14e035(_0x56cbce, _0x5e5712) {var _0x2d0a43 = _0x60274b[_0x2a9a('0xb3', '9vV&') + 's'][_0x2a9a('0x38', '9vV&') + 'th'];for (var _0x212ce4 = 0x0; _0x212ce4 < _0x2d0a43; _0x212ce4++) {for (var _0x8164 = 0x0; _0x2228a0[_0x2a9a('0x3a', 'uUBi') + 'z'](_0x8164, _0x2d0a43); _0x8164++) {var _0x2a7ea9 = _0x2228a0[_0x2a9a('0x84', ']A89') + 'o'](_0x2228a0[_0x2a9a('0x47', '8a*W') + 'x'](_0x2228a0[_0x2a9a('0xfd', 'hEgr') + 'W'](_0x5e5712[0x0], _0x60274b[_0x2a9a('0xb1', 'B%^W') + 's'][_0x2a9a('0x5a', 'ZN)]') + 'tr'](_0x212ce4, 0x1)), _0x60274b[_0x2a9a('0x45', 'XXkw') + 's'][_0x2a9a('0x5a', 'ZN)]') + 'tr'](_0x8164, 0x1)), _0x5e5712[0x1]);if (_0x2228a0[_0x2a9a('0x6d', 'U0Y3') + 's'](hash(_0x2a7ea9), _0x56cbce)) {return [_0x2a7ea9, _0x2228a0[_0x2a9a('0x9b', 'Z^dq') + 'u'](new Date(), _0x34d7a8)];}}}};
_0x56cbce 对应 ct 的值,_0x5e5712 对应 bts 的值,在第 533 行 return 处打下断点调试分析,可知 _0x2a7ea9 就是 jsl_clearance_s 的值,其定义在第 532 行:
经过分析跟踪后知道,以下三部分内容都是在对其后参数进行加法计算:
_0x2228a0[_0x2a9a('0x84', ']A89') + 'o'](_0x2228a0[_0x2a9a('0x47', '8a*W') + 'x'](_0x2228a0[_0x2a9a('0xfd', 'hEgr') + 'W']
所以我们可以将 _0x2a7ea9 的定义部分进行如下优化:
var _0x2a7ea9 = _0x5e5712[0] + _0x60274b["chars"]["substr"](_0x212ce4, 1) + _0x60274b["chars"]["substr"](_0x8164, 1) + _0x5e5712[1];
将以上内容用鼠标各自选中后会出现各自所对应的含义:
所以 jsl_clearance_s 参数的组成为:
1658906704.293|0|YYj + chars 中的两个数 + Jm5cKs%2B1v1GqTYAtpQjthM%3D
在第 532 行 if 判断语句中 跟踪 _0x2228a0 发现其是个函数,返回值为相等的两个参数,所以这里的判断逻辑为:_0x2a7ea9 的值经过 hash 方法处理后,与 ct 的值作比较,若相等,则将 _0x2a7ea9 的值作为返回值传递给jsl_clearance_s 参数,经调试分析发现 hash 对应的是字典中 ha 的值,即 MD5 加密算法,但是后面程序调试过程中发现,ha 是三种加密方式动态调整的,分别为 SHA1、SHA256、MD5,加密算法不匹配会导致程序报错,所以需要对其进行判断,以上即全部的逻辑分析,将 jsl_clearance_s 和 一开始获取到的 jsluid_s 的值传递给 cookie,携带该 cookie 即可成功访问网站,拿到正常的 html 页面。
Cookie: __jsluid_s=236185b3155a49cb575bd722bc62e6d2; __jsl_clearance_s=1658887255.714|0|bdaxwfZVODrJVQKEl3RHaOBV%2Bbw%3D
var CryptoJS = require('crypto-js');var hash = {'md5': function(a){return CryptoJS.MD5(a).toString()},'sha1': function(a){return CryptoJS.SHA1(a).toString()},'sha256': function(a){return CryptoJS.SHA256(a).toString()}
}var _0x2228a0 = {"mLZyz" : function(_0x435347, _0x8098d) {return _0x435347 < _0x8098d;},"DRnYs" : function(_0x4573a2, _0x3855be) {return _0x4573a2 == _0x3855be;},"ZJMqu" : function(_0x3af043, _0x1dbbb7) {return _0x3af043 - _0x1dbbb7;},
};function cookies(_0x60274b){var _0x34d7a8 = new Date();function _0x14e035(_0x56cbce, _0x5e5712) {var _0x2d0a43 = _0x60274b['chars']['length'];for (var _0x212ce4 = 0x0; _0x212ce4 < _0x2d0a43; _0x212ce4++) {for (var _0x8164 = 0x0; _0x2228a0["mLZyz"](_0x8164, _0x2d0a43); _0x8164++) {var _0x2a7ea9 = _0x5e5712[0] + _0x60274b["chars"]["substr"](_0x212ce4, 1) + _0x60274b["chars"]["substr"](_0x8164, 1) + _0x5e5712[1];if (hash[_0x60274b['ha']](_0x2a7ea9) == _0x56cbce) {return [_0x2a7ea9, _0x2228a0["ZJMqu"](new Date(), _0x34d7a8)];}}}}var _0x732635 = _0x14e035(_0x60274b['ct'], _0x60274b['bts']);return {'__jsl_clearance_s' : _0x732635[0]};
}
import json
import re
import requests
import execjscookies = {}
headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36"
}url = "aHR0cHM6Ly93d3cubXBzLmdvdi5jbi9pbmRleC5odG1s"
resp_first = requests.get(url=url, headers=headers)
# 获取 jsluid_s
cookies.update(resp_first.cookies)
js_clearance = re.findall('cookie=(.*?);location', resp_first.text)[0]
aa_result = execjs.eval(js_clearance).split(';')[0]
# 获取第一次响应生成的 __jsl_clearance_s 参数
cookies['__jsl_clearance_s'] = aa_result.split("=")[1]
resp_second = requests.get(url=url, headers=headers, cookies=cookies)
dd = re.findall(';go\((.*?)\)</script>', resp_second.text)[0]
# 获取字典内容
params = json.loads(dd)
with open('jiasule.js', 'r', encoding='utf-8') as f:jsl_js = f.read()
js_clearance_s = execjs.compile(jsl_js).call('cookies', params)
# 获取第二次响应生成的 js_clearance_s 参数
cookies.update(js_clearance_s)
resp_third = requests.get(url=url, headers=headers, cookies=cookies)
resp_third.encoding = 'utf-8'
print(resp_third.text)
注意:
链接做了脱敏处理,不能直接运行
执行 python 程序前关闭掉 Fiddler 抓包进程,否则会有以下报错出现:
requests.exceptions.SSLError: HTTPSConnectionPool(host='XXX', port=443)
以上是对某网站加速乐加密方式的逆向分析,如有任何见解欢迎评论区或私信指正交流~
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态