瑞數4代逆向學習

小马哥逆向發表於2024-05-09

宣告

本文章中所有內容僅供學習交流使用，不用於其他任何目的，不提供完整程式碼，抓包內容、敏感網址、資料介面等均已做脫敏處理，嚴禁用於商業用途和非法用途，否則由此產生的一切後果均與作者無關！

本文章未經許可禁止轉載，禁止任何修改後二次傳播，擅自使用本文講解的技術而導致的任何意外，作者均不負責，若有侵權，請在公眾號【小馬哥逆向】聯絡作者立即刪除！

瑞數介紹

瑞數動態安全 Botgate（機器人防火牆）以“動態安全”技術為核心，透過動態封裝、動態驗證、動態混淆、動態令牌等技術對伺服器網頁底層程式碼持續動態變換，增加伺服器行為的“不可預測性”，實現了從使用者端到伺服器端的全方位“主動防護”，為各類 Web、HTML5 提供強大的安全保護。

瑞數 Botgate 多用於政企、金融、運營商行業，曾一度被視為反爬天花板，隨著近年來逆向大佬越來越多，相關的逆向文章也層出不窮，真正到了人均瑞數的時代了，這裡也感謝諸如 Nanda、懶神等逆向大佬，揭開了瑞數神秘的面紗，總結的經驗讓後來人少走了不少彎路。

過瑞數的方法基本上有以下幾種：自動化工具（要隱藏特徵值）、RPC 遠端呼叫、JS 逆向（硬扣程式碼和補環境），本文介紹的是 JS 逆向硬扣程式碼，儘可能多的介紹各種細節。

目標網站

aHR0cDovL3d3dy5mYW5nZGkuY29tLmNuL25ld19ob3VzZS9uZXdfaG91c2VfZGV0YWlsLmh0bWw=

網站分析

https://alidocs.oss-cn-zhangjiakou.aliyuncs.com/res/J9LnWNk86QN8lvDe/img/5e9e3567-86ba-4e43-ba28-6d1766dcb647.jpeg

可見首先這是個 202 請求，其次set-cookie: FSSBBIl1UgzbN7N80S。

其次他自返回了一個cookie: FSSBBIl1UgzbN7N80S

並且的話還生成了一個 js c.FxJzG50F.dfe1675.js。

第二次

第二次需要攜帶第一次的請求已經一個新的 cookie 才能返回正常的頁面。如下圖

逆向流程分析

首先過掉無限 debugger（過不過其實無所謂，後面的分析其實這個基本上沒影響），直接右鍵 Never pause here 永不在此處斷下即可

定位 Cookie，首選 Hook 來的最快，透過 Fiddler 等抓包工具、油猴指令碼、瀏覽器外掛等方式注入以下 Hook 程式碼：

# hook cookie
(function() {
    // 嚴謹模式 檢查所有錯誤
    'use strict';
    // document 為要hook的物件 這裡是hook的cookie
 var cookieTemp = "";
    Object.defineProperty(document, 'cookie', {
  // hook set方法也就是賦值的方法 
  set: function(val) {
    // 這樣就可以快速給下面這個程式碼行下斷點
    // 從而快速定位設定cookie的程式碼
    console.log('Hook捕獲到cookie設定->', val);
                debugger;
    cookieTemp = val;
    return val;
  },
  // hook get 方法也就是取值的方法 
  get: function()
  {
   return cookieTemp;
  }
    });
})();

Hook 發現會有生成兩次 Cookie 的情況，斷下之後往上跟棧，可以看到組裝 Cookie 的程式碼，類似如下結構：

其實 我覺得補環境和正常分析區別很大。
我們不需要了解瑞數中的真假 cookie。
只需要定義出一個函式，去接受和返回 docuement.cookie即可。
在正式分析以前。我們需要固定一份靜態程式碼。因為瑞數的網站返回的內容每次都是動態的，不方便我們除錯。後續我們把這份靜態程式碼放到 node 裡就能慢慢的去補了。