最近,偶然间看到一个这样的需求,需要在七麦网上逆向拿数据,所以我查看了一下,发现七麦网在请求时,都会在每个url后面新增一个 ?analysis=xxx 这样的键值对,显然这是经过加密的,所以这时候我的好奇心就既然出来了,决定研究研究他的加密方式。。
1、页面分析
打开七麦网,F12打开开发工具,随便查看一个请求,都可以看到确实每个请求url后都有一个经过加密的键值对
这个analysis是怎么来的呢?
第一步,按住Ctrl+F在开发工具栏搜索analysis,发现并没有找到相关的xxx.js文件处理analysis,那我们换个思路,这时候可以考虑跟踪请求调用栈,但是这样一个一个跟踪效率是很低的,所以点击第一个调用栈进入js文件
那怎么定位analysis相关的代码呢?这里我们可以借助XHR断点的方式来试试看,设置了断点后,只要代码运行过程中遇到url中包含有analysis相关的就会像DEBUG调式一样停下来
ok 刷新网页,发现断点打在了这个地方,右边Scope也看不出来什么异常
继续按着F10往下走调试,这个过程中要注意右侧Scope的值,随便放一个调试期间的截图,这时候还没相关的对analysis的处理,继续往下走
下面的图可以发现url上已经没有analysis的,说明可能要到了,继续往下走,这时候用单步调试F9就好
走到这步,右侧的Scope中发现有个字段e的值跟analysis后面跟着的值很像,显然到这里我们已经定位到了这个加密字符串产生的位置,它的主体代码就是左边圈出来的部分
第二步,打开一个可以运行js环境的工具,我这里使用的是pycharm,新建一个js文件,将上面的主体代码拷贝进去,用一个方法封装起来,参数是url
这里将一个知识点,(0, i[jt])这种形式,我们可以把它看作C语言中的逗号操作符,以最后的那位数的结果作为结果,因此可以改写成:args =i[qt](a, d),analysis=ijt
尝试运行看看,发现报错
那我们就去这个i对应的方法在哪里,鼠标移到i[jt]上,进入对应的方法,这里经过混淆,v才是i[jt]的实际方法
将整个v方法拷贝到我们的js文件,将i[jt]替换成v,为了防止后面的操作可能产生和v方法一样的变量名或者方法,我这里将v方法处理一下,然后替换,代码如下
function v(t) {
t = z[V1](t)[T](/%([0-9A-F]{2})/g, function(n, t) {
return o(Y1 + t)
});
try {
return z[Q1](t)
} catch (n) {
return z[W1][K1](t)[U1](Z1)
}
}
const obj = {}
obj.xx = v
function f1(url){
// e = (0,i[jt])((0,
// i[qt])(a, d))
e = obj.xx(i[qt](a,d))
}
url = "/index/banner"
console.log(f1(url))
在运行,还是报错
重复上面的方法,找到i对应的方法,拷贝到js,然后替换相应的i[qt]
运行报错 a is not defined
到主体代码附近找看看a相关的代码,将这些代码拷贝下来到js
分析一下a的组成
a : "Mjg=@#/index/banner@#40001143610@#3"
① Mjg= + ② @# + ③ /index/banner + ④ @# + ⑤ 40001143610 + ⑥ @# + ⑦ 3
① 先不看
②④⑥是相同的字符@#
③是url请求地址,可以知道f1方法需要传入的参数就是跟请求地址有关系了
⑤是一个11位的时间戳
⑦是一个单独的数字3
结合代码来看看哪些是固定的哪些是变化的
a = (a += v + t[Jt][T](t[Mt], _)) + (v + r) + (v + 3)
可以看到变量v固定是@#,结尾固定是数字3,所以我们可以自己定义一个变量v的值是@#
r的值是一个时间戳,在上面的代码中被赋值
那中间部分③对应的就是t[Jt][T](t[Mt], _))这块代码,结合上面改写一下变成这样
现在还剩下① 是怎么来的呢,我们将断点打在这行重新刷新网页一步步调试看看,调试过程中可能会多次进入到这个断点,要注意右侧url是不是对应的请求地址,我们以为上面那个请求地址为例
先对a赋值为[],然后继续走,走到框出来的代码的时候,发现a变成了[28]
可以知道a在经过下面这段代码的时候也经过了处理,将代码拷贝到js
运行报错 z is not defined ,z未定义
到网页代码中,鼠标移动到z看看是什么?可以看到,z是js自带的window对象,既然确实,那就补上,其实在js中window对象就是this
如果出现这样的代码zQ1,Q1的值是固定的字符串,比如"btoa",z为Window对象,可以改写成 zQ1 => btoa(t),z"encodeURIComponent" => encodeURIComponent(t)
image.png
运行 W is not defined
image.png
鼠标移到W,发现是个字符串,根据上面的说明new z[W] => new Date
继续运行,发现s未定义,重复上面的步骤,这里s的值是-314,不妨先固定写死在代码里,其实这里的s是动态变化的,但是对结果并没有影响
image.png
重复上面的步骤,将代码改写一下,变成这样
image.png
运行,发现t未定义,结合代码
image.png
发现这边t[Zt]取得值是请求参数params,那我们就在f1方法上再加一个参数
这里是return可能会影响代码继续往下执行,调整一下代码,f1方法变成这样
image.png
image.png
下面的代码看起来比较好理解,就是遍历params里的每个键值对,如果键是analysis就跳过,将其他键的值拼接成字符串
我们根据上面的操作,将 v(t)和h(n, t)的代码调整一下,如下
v(t)中的o的方法
改写一下
总的代码
function o(n) { //o是我们h中要o具体函数的实现
t = "",
['66', '72', '6f', '6d', '43', '68', '61', '72', '43', '6f', '64', '65']['forEach'](function(n) {
t += unescape("%u00" + n)
});
var t, e = t;
return String[e](n)
}
function v(t) {
t = encodeURIComponent(t)["replace"](/%([0-9A-F]{2})/g, function(n, t) {
return o("0x" + t)
});
try {
return btoa(t)
} catch (n) {
return Buffer["from"](t)["toString"]("base64")
}
}
const obj = {}
obj.xx = v
function h(n, t) {
t = t || u();
for (var e = (n = n["split"](""))["length"], r = t["length"], a = "charCodeAt", i = 0; i < e; i++)
n[i] = o(n[i][a](0) ^ t[(i + 10) % r][a](0));
return n["join"]("")
}
function f1(url,params){
var v = "@#"
var s = -314
var H = 0
var e, r = +new Date - (s || H) - 1661224081041, a = [];
var d = "xyz517cda96efgh"
if(void 0 !== params && (params !== {})){
Object["keys"](params)["forEach"](function(n) {
if (n == "analysis")
return false;
params["hasOwnProperty"](n) && a["push"](params[n])
})
}
//a : "Mjg=@#/index/banner@#40001143610@#3"
a = a["sort"]()["join"]("")
a = obj.xx(a)
a = (a += v + url + (v + r) + (v + 3))
// e = (0,i[jt])((0,
// i[qt])(a, d))
e = obj.xx(h(a,d))
return e
}
url = "/index/banner"
params = {
'cid' : 28
}
console.log(f1(url))
运行,大家可以自行去验证一下
如果运行过程发现ATOB 或者BTOA IS NOT DEFINED的问题,在js前加上以下这段
// =====================================================================
// atob 或者btoa 方法是浏览器实现的而非 js 自带,需要需要使用这两个方法需要自己实现 最前面加上这段js 就可以使用了
// 用来解决ATOB 或者BTOA IS NOT DEFINED的问题
global.Buffer = global.Buffer || require('buffer').Buffer;
if (typeof btoa === 'undefined') {
global.btoa = function (str) {
return new Buffer.from(str, "binary").toString('base64');
};
}
if (typeof atob === 'undefined') {
global.atob = function (b64Encoded) {
return new Buffer.from(b64Encoded, 'base64').toString("binary");
};
}
(function(a) {
var a = atob(a);
var b = [];
for (var i = 0; i < 32; i++) {
b.push(a[i].charCodeAt())
}
var c = [];
for (var i = 0; i < 16; i++) {
c.push(0)
}
var d = (b[0] % 8) * 2 - 1;
if (d < 0) {
d = 5
}
for (var i = 0; i < 16; i++) {
var j = (((i + 1) % 16) * d) % 16;
c[j] = b[i] ^ b[16 + i]
}
var a = '';
for (var i = 0; i < 16; i++) {
a += String.fromCharCode(c[i])
}
console.log(btoa(a))
}
)("SZZ0XDbSPf3OdgwIM2axNScLRZjRvmgmcr7S6J/d9dA=");
// =====================================================================
