頂象驗證碼破解與研究

碼頭工人發表於2021-01-13

宣告

原創文章,請勿轉載!

1、本文內容僅限於安全研究,不公開具體原始碼。維護網路安全,人人有責。

2、如果想更系統地瞭解第三代驗證碼、更全面體會安全產品的設計,可以結合我的另幾篇篇文章
(1)《第三代驗證碼研究》https://www.cnblogs.com/boycelee/p/11363611.html(推薦)

(2)《頂象驗證碼破解與研究》https://www.cnblogs.com/boycelee/p/14269941.html

(3)《極驗驗證碼破解與研究》https://www.cnblogs.com/boycelee/p/14021048.html(推薦)

(4)《極驗無感驗證破解》https://www.cnblogs.com/boycelee/p/13951819.html

(5)《同盾小程式指紋破解》https://www.cnblogs.com/boycelee/p/13899956.html

3、本文主要通過破解協議的方式繞過頂象安全驗證,思路與網上自動化的方式有很大的不同

一、個人心路歷程

(1)頂象的驗證碼真的非常棒。在我從2018年12月開始到2019年5月持續與頂象驗證碼對抗半年。

(2)我猜在對抗期間頂象很多的防護策略都是被我逼出來的吧(哈哈哈,個人yy)

(3)js混淆與加密演算法一天更換兩次、滑塊驗證碼干擾槽等應該都是在於我對抗中升級的。

(4)一年後回頭看頂象的驗證碼產品又多了語序點選、刮刮卡驗證、空間語義驗證、亂序拼圖驗證、旋轉驗證、面積驗證等驗證碼型別,在創新方面做得非常好,應該是國內數一數二的。

(5)與頂象的對抗,使我對安全產品有了更深刻、全面的認識。

(6)以下是我與頂象的對抗過程。

極驗完整流程

二、完整流程

  • 訪問頂象官網,註冊賬號後登入控制檯,訪問“無感驗證”模組,申請開通後系統會分配一個唯一的AppId、AppSecret。

  • 當使用者滑動驗證碼通過後,驗證碼服務會生成一個token,使用者的業務請求帶上這個驗證碼token,業務系統再呼叫後臺 SDK 驗證token的有效性。

  • 頂象請求鏈路如下:

    極驗完整流程

三、例項研究

1、研究目標

當使用者滑動驗證碼通過後,驗證碼服務就會生成token,使用者攜帶token上傳至頂象服務進行驗證。我們的目標就是生成沒有被標記為異常的token。

極驗完整流程

2、案例歷史研究

2018年12月研究的是國航的手機註冊場景。不過由於國航該場景的驗證碼已經不再是滑塊,所以後續可能需要使用官網案例來具體分析。

極驗完整流程

3、官網案例分析

極驗完整流程

從請求中我們可以看出,一共是三個請求(c1、a、v1)。我們需要弄清楚這三個請求分別的含義。(從設計角度個人覺得頂象相對於極驗要簡潔一些。個人覺得頂象的設計非常棒,在做公司的安全產品時,我也會參考一些頂象的設計)

四、請求分析

1、c1請求:請求頂象伺服器,獲取c引數。

目的:此處應該是計算裝置指紋,通過裝置指紋能夠標識唯一裝置資訊

(1)請求引數示例 :

428#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

(2)請求引數資訊:

只展示部分資料

"supportAddBehavior": "ab","adblock": "adb","availResolution": "ar","canvasFP": "can","cpuClass": "cc","colorDepth": "cd","cookieEnabled": "ce","canPlayType": "cpt","collectTime": "ct","doNotTrack": "dnt","deviceMemory": "dm","languages": "lugs","mimeTypes": "mts","mediaDevices": "mds","platform": "np","supportOpenDatabase": "od","devicePixelRatio": "pr","resolution": "res","plugins": "rp","supportSessionStorage": "ss","timezoneOffset": "to","touch": "ts","userAgent": "ua","webgl": "web","webgl2": "gi"

通過加密以上作業系統與瀏覽器以及網路資料等資訊生成c1請求引數param。

(3)加密演算法

極驗完整流程

index.js?_t=xxxx中,進行每日更新。那麼該如何確保每日都能獲取到準確的加密演算法呢?通過解析原語法樹,生成我們想要的語法樹。(這個後續講)

(4)返回引數

{"data":"f8839e00435f2e05f9ed60b3d3c5498554cb367655ec6e7318adefda150437040a74963c","msg":"lid invalid","status":-4} // 會根據指紋情況對指紋進行風險等級判斷

(5)指紋本地儲存

頂象會將指紋進行多地儲存,例如cookie、Session Storage、Local Storage等

2、a請求:獲取圖片與token2

極驗完整流程

(1)請求引數示例:

de=0&wp=1&aid=dx-1547996895410-3601284-1&jsv=1.3.11.98&c=5c3c65a6uSNGXiEhdEwxwwICxBq5Qdjdky4kxjo1&ak=5f6727ec854786a86cd4c3c171d13499&s=50&h=150&w=300&_r=0.9866721061865382
  • wp:表示圖片型別。非常重要,因為通過該引數選擇圖片型別,省去了我們取轉換webp格式圖片(0表示jpg,1表示webp。目前只有chrome支援,safari不支援webp格式)。
  • aid:時間戳+隨機數+1。目前猜測其目的是number once。
  • jsv:表示版本號。
  • c:c1請求返回引數,可以理解為第一階段token1。
  • ak:appKey,頂象會為每一個接入其無感驗證碼的server提供一個appKey,以便標識他們是哪一個服務。
  • s、h、w:描述圖片的長寬等資訊。h與w非常重要,因為獲取的圖片資訊是200*400,所以我們在計算距離時,應該按比率縮小,否則滑塊無法通過。
  • _r:number once。

(2)返回引數:

{"sid":"86ae78ed0fba04f8384f3c9376271b0d","y":30,"success":true,"p1":"/dx/ib3oV3MeuO/zib3/b5cce61f91c6447bbc2f10e7836a7827.webp","p2":"/dx/ib3oV3MeuO/zib3/e34db2ab70064b2c998d14159f0b8ff8.webp","p3":"/dx/ib3oV3MeuO/zib3/50969dc0b2f14d118fcf166dc0871021.webp","msg":null,"t":null,"result":1,"type":0,"logo":null}
  • sid:token2。
  • y:y座標
  • p1:不完整圖片
  • p2:拼圖塊
  • p3:完整圖片

注意:如果該請求錯誤,可能會返回另一種圖片驗證碼(點選型別)

3、v1請求:獲取token3

(1)請求示例:

y: 30 x: 33 aid: dx-1547997910506-78792589-1 sid: 75dc20f81b2bd0ff871b9f12e54ef2c8 jsv: 1.3.11.98 c: 5c448ee09pUgUAwgiaRMmhhDea79K4O1B7oQhRh1 ak: 5f6727ec854786a86cd4c3c171d13499 ac: 492#X8Xn8AQv/Y6pdvgYXXfOuMffR/W3XjVgMOYfQntkaQbRZ/smuRlFpvD6L+qHM21JPdOjXTgzLGKauxS0c29jXCAeYaTRl589z9Ug+vZ1YDXIBNwrm8X1k6vEf3rKmrXmS2WXmFPMgH3nXX8XXXXmY8XEJ37H/cWc68WnDdW+DXSjXtXZj9c6v33n6aa6W9bhYu/c8XIXui83m5U1gFUJzxqJzxoGUqNSYXpFY2Xio3O5Ja/dw/NP2X5X3oFjcWf2r9znqaJQ2LQr7homIr5X3oFPjnXMr9znqaJQ2LQr7homIr2XsBHwJhSSRygCnh3ufTc1v/8V8YZsiz/D4raoj9XLRtOYv9a53D2kZcWV8YcHUAa/mrXmS25X3oFPjvS2r9znqaJQ2LQr7homIr5XjoFPjvrMr9DIGaUiwYmYYrXslqs+7bRz2kEuonW=
  • y:座標,a請求會返回,所以不需要自己計算。

  • x:座標,需要計算。

  • aid:時間戳+隨機數+1。目前猜測其目的是number once。

  • jsv:表示版本號。

  • c:c1請求的返回值,理解為token1

  • ak:appKey,頂象會為每一個接入其無感驗證碼的server提供一個appKey,以便標識他們是哪一個服務。

  • ac:加密資訊。包括時間戳、作業系統對應編碼、Referer、特殊加密演算法(隨機取加密演算法中一段並加密)、JSV、token(sid)、是否使用headless、瀏覽器版本、螢幕資訊、服務網址、版本、檢測是否使用webdriver等方式抓取、token、滑鼠軌跡等進行資料加密。

(2)返回示例:

{"success":true,"token":"37AD877DC3953CA1116E487DFBF6DB435DFE7C4CD204B8DC861D5857BE2FDDCF4565648C95BAFD15030AA555713B5DA1FD5D57C82427F4C7D222E5990F47AB83B3F13ED08965032CFF26FA37B82012FF","msg":null,"tp":null,"sv":null,"retry":0}

返回token則表示成功。但注意此時token未必有效,如果c1請求使用appKey與v1請求使用的不同,是無法通過check校驗的。

4、check

在獲取token之後會通過check介面,進行token時效性與正確性校驗。使用方通過呼叫頂象的open api進行token校驗。通過則說明,驗證碼完成。

五、部分服務化原始碼

greenseer.js部分服務化程式碼

function getParamUa(sid, position, referer, browserVersion) {
    var _ua = "";
    var ua = "";
    var tm = new Date().getTime();
    delete require.cache[require.resolve('../builder/dingxiang_greenseer_finish.js')];
    var encryptionFunc = require('../builder/dingxiang_greenseer_finish.js');
    var replace_encrypt = encryptionFunc.replace_encrypt;

    delete require.cache[require.resolve('../builder/dingxiang_version_finish.js')];
    var versionFunc = require('../builder/dingxiang_version_finish.js');
    var replace_version = versionFunc.replace_encrypt;
    let mouseMove = buildMouseMove(position);
    let mouseMoveEvent = buildMouseMoveEvent(mouseMove);
    let mouseDownEvent = buildMouseDownEvent(mouseMoveEvent);
    app = function (u, c) {
        var s = (0, toStr)([u].concat((0, replace_bs2)(c.length)));
        _ua += [s, c].join(""),
            ua = [replace_version.exports.version, "#", (0, replace_btoa)(_ua)].join("");
        console.log(ua);
        ua.replace("xxxxxxxxx", "");
    }
    process = function (t) {
        var c = [].slice.call(arguments);
        return t = c.length === 1 && (0, isArray)(t) ? t : c, t = (0, flatten)(t), (0, toStr)(t)
    }
    getTM = function () {
        var a = process((0, replace_bs8)(tm));
        app(1, (0, replace_encrypt.encryptTM)(a))
    }
    //瀏覽器版本
    getBR = function (browserVersion) {
        //瀏覽器版本 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.86 Safari/537.36
        //Chrome/73.0.3683.86 ,chromeVersion = "73"
        //var version = browserVersion;
        var version = browserVersion;
        console.log("version: " + version)
        var a = 3, b = [1, version], c = b[1];
        a = process(a, b[0], (0, replace_bs2)(c.length), (0, replace_bss)(c));
        app(2, (0, replace_encrypt.encryptBR)(a))
    }
    //螢幕資訊
    getSC = function () {
        //7,128,4,56,7,128,4,33,0,241,4,56,7,128,1,73,7,128,4,56
        //var n = this.process((0, getScreenInfo)());
        //var n = "8! ´:8";
        //var scValue = [[5,160],[3,132],[5,160],[3,109],[0,0],[0,0],[5,160],[1,49],[5,160],[3,132]];
        var scValue = buildSCArray();
        //var scValue = [[7,128],[4,56],[7,128],[4,33],[0,241],[4,56],[7,128],[2,5],[7,128],[0,0]];
        var n = this.process(scValue);
        app(3, (0, replace_encrypt.encryptSC)(n))
    }
    //網址
    getLO = function (referer) {
        var o = "",
            a = referer,
            i = this.process((0, replace_bs2)(a.length), (0, replace_bss)(a), (0, replace_bs2)(0), (0, replace_bss)(o));
        app(4, (0, replace_encrypt.encryptLO)(i))
    }
    //函式
    getCF = function () {
        let cfParam = buildCFParam();
        let range = Math.floor(Math.random() * 3 + 7);
        let lastIndex = Math.floor(Math.random() * (cfParam.length - 9) + 9);
        let beginIndex = lastIndex - range;
        cfParam = cfParam.slice(beginIndex, lastIndex);
        var s = this.process((0, replace_bs2)(beginIndex), (0, replace_bs2)(range), (0, replace_bss)(cfParam));
        //var s = " += t";
        app(5, (0, replace_encrypt.encryptCF)(s))
    }
    //是否開啟控制檯
    getDI = function () {
        var a = 1;
        a = process(a);
        app(6, (0, replace_encrypt.encryptDI)(a))
    }
    //檢測是否使用webdriver等方式抓取
    getEM = function () {
        var s = process((0, replace_bs4)(0));
        app(7, (0, replace_encrypt.encryptEM)(s))
    }
    //版本
    getJSV = function () {
        var o = process((0, replace_bs4)(1));
        app(8, (0, replace_encrypt.encryptJSV)(o))
    }
    //token
    getTK = function (sid) {
        var a = sid;
        a && (a = this.process((0, replace_bs2)(a.length), (0, replace_bss)(a)),
            app(9, (0, replace_encrypt.encryptTK)(a)))
    }
    getMM = function (mouseMove) {
        var v = mouseMove.eventName
            , h = mouseMove.tm
            , d = mouseMove.x
            , p = mouseMove.y
            , l = this.process((0, replace_bs4)(h)
            , (0, replace_bs2)(d)
            , (0, replace_bs2)(p)
            , (0, replace_bs2)(v.length)
            , (0, replace_bss)(v));
        console.log("mouse_mm info :" + "MM_v:" + v + " tm:" + h + " MM_getPageX:" + d + " MM_getPageY:" + p);
        this.app(11, (0, replace_encrypt.encryptMM)(l))
    }
    getMD = function (mouseDown) {
        var f = mouseDown.eventName
            , s = mouseDown.button
            , v = mouseDown.tm
            , h = mouseDown.x
            , d = mouseDown.y
            , p = this.process((0, replace_bs4)(v)
            , (0, replace_bs2)(h)
            , (0, replace_bs2)(d)
            , s
            , (0, replace_bs2)(f.length)
            , (0, replace_bss)(f));
        console.log("MD_getTarget:" + f + " MD_getButton:" + s + " MD_time:" + v + " MD_getPageX:" + h + " MD_getPageY:" + d + " MD_process:" + p);
        this.app(12, (0, replace_encrypt.encryptMD)(p))
    }
    var _sa = [];
    recordSA = function (mouseMove) {
        var i = mouseMove.tm
            , u = mouseMove.x
            , c = mouseMove.y
            , f = this.process((0, replace_bs4)(i),
            (0, replace_bs2)(u),
            (0, replace_bs2)(c));
        console.log("recordSA: " + " tm: " + i + " getPageX: " + u + " getPageY: " + c);
        _sa.push((0, replace_encrypt.encryptSA)(f))
    }
    sendSA = function (r) {
        this.app(17, r);
    }
    sendTemp = function (t) {
        var n = process((0, replace_bs2)(t.length), (0, replace_bss)(t));
        app(10, (0, replace_encrypt.encryptTEMP)(n))
    }

    var tm = getTM();
    var br = getBR(browserVersion);
    var LO = getLO(referer);
    var CF = getCF();
    var DI = getDI();
    var EM = getEM();
    var JSV = getJSV();
    var TK = getTK(sid);
    var SC = getSC();
    var MM = getMM(mouseMoveEvent[mouseMoveEvent.length - 1]);
    var MD = getMD(mouseDownEvent[0]);
    var DI = getDI();
    for (let mveIndex = mouseMoveEvent.length - 2; mveIndex >= 0; mveIndex--) {
        var MM = getMM(mouseMoveEvent[mveIndex]);
    }
    for (let mvIndex = mouseMove.length - 1; mvIndex >= 0; mvIndex--) {
        var SA1 = recordSA(mouseMove[mvIndex]);
    }
    for (let saIndex = 0; saIndex < _sa.length; saIndex++) {
        var SA2 = sendSA(_sa[saIndex]);
    }
    var temp = sendTemp(position);
    return ua;
}

Java服務化程式碼

@Override
    public CrackResult crackDingXiang(DingXiangParam dingXiangParam, Integer captchaType, String caller) throws IOException {
        Preconditions.checkNotNull(dingXiangParam, "crackDingXiang dingXiangParam is null");
        Preconditions.checkNotNull(StringUtils.isNotBlank(caller), "caller is null");

        String userAgent = HeaderBuilder.buildChrome();
        String browserVersion = getBrowserVersion(userAgent);
        dingXiangParam.setUserAgent(userAgent);
        //Lid請求
        String lidResult = getDingXiangLidFunc(dingXiangParam);
        dingXiangParam = changeDingXiangParam(dingXiangParam, lidResult);
        //C請求
        String cFunctionResult = getDingxiangCFunc(dingXiangParam);
        CFunctionResponse cFunctionResponse = buildCFunctionResponse(cFunctionResult);
        AFunctionParam aFunctionParam = buildPictureRequestParam(cFunctionResponse, dingXiangParam);
        //A請求
        String aFunctionResult = getDingXiangAFunc(aFunctionParam);
        AFunctionResponse aFunctionResponse = buildAFunctionResponse(aFunctionResult);
        //分析圖片
        PictureAnalysisParam pictureAnalysisParam = buildPictureAnalysisParam(dingXiangParam, aFunctionResponse, browserVersion);
        String pictureAnalysisResult = analysePicture(pictureAnalysisParam);
        PictureAnalysisResponse pictureAnalysisResponse = buildPictureAnalysisResponse(pictureAnalysisResult, pictureAnalysisParam);
        //V請求
        VFunctionParam vFunctionParam = buildVFunctionParam(pictureAnalysisResponse, aFunctionParam, aFunctionResponse, dingXiangParam);
        List<NameValuePair> vFunctionPostParam = buildDingXiangVFuncPostParam(vFunctionParam);
        String vFunctionResult = getDingXiangVFunc(vFunctionPostParam, dingXiangParam);
        VFunctionResponse vFunctionResponse = buildDingXiangVFuncResponse(vFunctionResult);
        CrackResult crackResult = buildCrackResult(vFunctionResponse, cFunctionResponse, dingXiangParam, captchaType);

        return crackResult;
    }

六、服務化關鍵

1、圖片還原

極驗完整流程

2、隨機加密演算法解析(重點設計部分)

加密演算法會隨著js混淆的改變而改變,如何服務化?

極驗完整流程

(1)語法樹思路

極驗完整流程

(2)舉例子

(1)未處理的index.js。

極驗完整流程

(2)建立模板並生成其語法樹。

極驗完整流程

(3)將加密演算法轉化成語法樹-> 與模板語法樹結合 -> 生成新的語法樹 -> 生成新的js檔案

極驗完整流程

(4)啟用定時任務,每天固定時間去生成新的加密演算法js檔案。

七、成果

極驗完整流程

八、頂象無感驗證流程

(1)頂象無感驗證流程圖

極驗完整流程

(2)頂象風控流程圖

極驗完整流程

九、總結

(1)頂象相對於極驗產品設計更加清晰。步驟非常明確 "裝置資料->行為資料->驗證";

(2)通過每日更新混淆js檔案、加密演算法提升破解服務化難度;

(3)通過驗證碼下發策略,進行驗證碼種類變換,提升驗證碼識別難度;

(4)驗證碼產品創新能力強;

(5)整體而言,頂象對於驗證碼的理解應該是業界領先的。

十、最後

1、目前國內在安全產品方面的文章較少,我們很難全面瞭解與學習安全產品,希望我的文章能夠幫助到更多人。

2、如果想系統地瞭解第三代驗證碼,可以結合我的另幾篇篇文章
(1)《第三代驗證碼研究》https://www.cnblogs.com/boycelee/p/11363611.html(推薦)

(2)《極驗驗證碼破解與研究》https://www.cnblogs.com/boycelee/p/14021048.html(推薦)

(3)《極驗無感驗證破解》https://www.cnblogs.com/boycelee/p/13951819.html

(4)《同盾小程式指紋破解》https://www.cnblogs.com/boycelee/category/1819211.html

3、本文不提供完整解決方案和完整資料,僅用於理論研究,維護網路安全,人人有責。

相關文章