關注微信公眾號:K哥爬蟲,QQ交流群:808574309,持續分享爬蟲進階、JS/安卓逆向等技術乾貨!
宣告
本文章中所有內容僅供學習交流,抓包內容、敏感網址、資料介面均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關,若有侵權,請聯絡我立即刪除!
逆向目標
- 目標:某創幫登入介面
- 主頁:
aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9sb2dpbi9vdGhlci1sb2dpbi5odG1s - 介面:
aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9hcGkvbG9naW4vbG9naW4= 逆向引數:
- Query String Parameters:
rnd: 0.22465933864494048 - Request Payload:
password: "25D55AD283AA400AF464C76D713C07AD"
- Query String Parameters:
準備工作
該站點的加密其實並不複雜,直接搜尋加密引數也可以很快定位到加密程式碼,但是本文主要介紹使用 Fiddler 抓包軟體,搭配外掛,使用 Hook 的方式來定位加密位置,如果遇到加密引數搜尋不到,或者搜尋結果太多的情況,Hook 是比較高效的方法,能夠幫助你快速定位加密入口,有關 Hook 的詳細知識,在 K 哥前期的文章有詳細介紹:JS 逆向之 Hook,吃著火鍋唱著歌,突然就被麻匪劫了!
本文用到的抓包軟體,可在 Fiddler 官網下載,官網提供了五個不同的版本/服務:
- Fiddler Everywhere:跨平臺抓包軟體,支援 MacOS、Windows 和 Linux,相當於 Classic 版本的改進增強版;
- Fiddler Classic:傳統的 Fiddler,僅支援 Windows,一般 Windows 使用者都是用的這個版本;
- Fiddler Jam:瀏覽器外掛,收費,主要用於網站優化、安全故障排除等;
- Fiddler Cap:專為非技術使用者而設計的輕量級抓包軟體,僅支援 Windows;
- Fiddler Core:Fiddler 核心,可嵌入的 .NET 庫,收費。
如果你是 MacOS 或者 Linux 使用者,可以選擇 Fiddler Everywhere,如果你是 Windows 使用者,建議選擇 Fiddler Classic,抓包軟體的使用方法,證照配置等等,這裡不做介紹,網上有很多教程可以參考。
需要注意的是,Fiddler 本身沒有 Hook 功能,需要自己編寫外掛,而且只有 Fiddler Classic 版本是支援外掛的,可以參考 Fiddler Classic 外掛編寫文件,也就是說 MacOS 和 Linux 使用者可能無法通過 Fiddler 外掛進行 Hook,但是不用擔心,MacOS 和 Linux 使用者可以通過編寫瀏覽器外掛的方式來進行 Hook,後續 K 哥也會寫一篇實戰文章來演示如何編寫瀏覽器外掛進行 Hook,敬請關注!
關於 Fiddler Classic 的 Hook 外掛,已經有大佬寫好了,這裡用到的是程式設計貓的外掛,要求 Fiddler Classic 的版本必須 >= v4.6.3,除了 Hook 功能以外,還有 JS 除錯、記憶體漫遊、JSON 解析、常見資料加密解密等,外掛可以在K哥爬蟲公眾號輸入關鍵字【Fiddler外掛】獲取,安裝方法在壓縮包裡也有,這裡不再贅述。
逆向過程
抓包分析
隨便輸入一個賬號密碼,點選登陸,抓包定位到登入介面為 aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9hcGkvbG9naW4vbG9naW4= ,POST 請求,Request Payload 裡,密碼 password 被加密處理了,此外,Query String Parameters 裡還帶有一個 rnd 的引數,每次請求都會改變。那麼 password 和 rnd 就是本次要逆向的目標。
引數逆向
password
我們知道在 JavaScript 中 JSON.stringify() 方法用於將 JavaScript 物件或值轉換為 JSON 字串,JSON.parse() 方法用於將一個 JSON 字串轉換為 JavaScript 物件,某些站點在向 web 伺服器傳輸使用者名稱密碼時,會用到這兩個方法,在本案例中,就用到了 JSON.stringify() 方法,針對該方法,我們編寫一個 Hook 指令碼:
(function() {
var stringify = JSON.stringify;
JSON.stringify = function(params) {
console.log("Hook JSON.stringify ——> ", params);
debugger;
return stringify(params);
}
})();整個 Hook 指令碼是一個 IIFE 立即呼叫函式表示式(也叫自執行函式、立即執行函式等),藉助 Fiddler 外掛,它可以在整個網頁載入之前執行,首先定義了一個變數 stringify 保留原始 JSON.stringify 方法,然後重寫 JSON.stringify 方法,遇到 JSON.stringify 方法就會執行 debugger 語句,會立即斷下,最後將接收到的引數返回給原始的 JSON.stringify 方法進行處理,確保資料正常傳輸。
將 Hook 指令碼放到 Fiddler 外掛裡,F12 開啟抓包,重新整理網頁,重新輸入賬號密碼點選登入,就可以看到成功斷下:
此時的 password 已經是加密後的了,想要定位到加密的地方,就需要看右邊的 Call Stack,即呼叫棧,顯示的是走到 JSON.stringify() 方法之前,依次經過了哪些函式的處理,挨個往上除錯,到 loginAction 方法時,可以看到變數 V 和 N 依次為明文賬號密碼,而後經過了 a.hex_md5(N) 處理後,密碼被加密處理了,清晰明瞭,這就是關鍵的加密入口函式。
跟進 a.hex_md5(),其實就是 hex_md5() 方法,由名稱也可以看出是個簡單的 MD5 加密,只不過後面把小寫全部轉為大寫罷了,完全可以使用 Python 來實現:
import hashlib
encrypted_password = hashlib.md5("12345678".encode('utf-8')).hexdigest().upper()
print(encrypted_password)
# 25D55AD283AA400AF464C76D713C07AD為了練習 JS 程式碼的剝離,我們將其加密程式碼剝離下來:
將整個 md5.js 檔案裡的程式碼複製下來,可以發現程式碼開頭有個 define 關鍵字,這種寫法在 JavaScript 中叫做 AMD 規範,全稱 Asynchronous Module Definition,即非同步模組載入機制;結尾有個 module.exports = j,它提供了暴露介面的方法,方便在其他檔案中呼叫,感興趣的朋友可以自行百度瞭解,在本地除錯過程中,直接刪除 define 和結尾的 module.exports = j,然後使用語句 j.hex_md5() 呼叫即可。
rnd
這個 rnd 引數是直接跟在登入 URL 後面的,一定是經過了某個方法將 rnd 引數與原始 URL 拼接在一起,所以我們可以 Hook 這個登入 URL,在 URL 生成之後斷下來,與 password 類似,編寫如下 Hook 指令碼:
(function () {
var open = window.XMLHttpRequest.prototype.open;
window.XMLHttpRequest.prototype.open = function (method, url, async) {
if (url.indexOf("rnd") != -1) {
debugger;
}
return open.apply(this, arguments);
};
})();XMLHttpRequest 物件用於在後臺與伺服器交換資料,可以同步或非同步地返回 Web 伺服器的響應,而 XMLHttpRequest.open() 方法會初始化一個請求,基本語法為:XMLHttpRequest.open(method, url, async, user, password),具體可以參考 MDN XMLHttpRequest.open(),其中的 url 引數就是發出請求的完整的 url,這裡有個原型物件 prototype,所有的 JavaScript 物件都會從一個 prototype 原型物件中繼承屬性和方法,具體可以參考菜鳥教程 JavaScript prototype 的介紹。
在以上 Hook 程式碼中,定義了一個變數 open 保留原始 XMLHttpRequest.open 方法,然後重寫 XMLHttpRequest.open 方法,判斷如果 rnd 字串值在 URL 裡首次出現的位置不為 -1,即 URL 裡包含 rnd 字串,則執行 debugger 語句,會立即斷下。
同樣的,將 Hook 指令碼放到 Fiddler 外掛裡,F12 開啟抓包,重新整理網頁,重新輸入賬號密碼點選登入,就可以看到成功斷下:
和之前查詢 password 加密入口一樣的方法,依然是檢視右邊的 Call Stack 呼叫棧,挨個往上除錯,到 a 方法的時候,可以看到有一句 a.url = c.addUrlParam(a.url, "rnd", Math.random());,在 JavaScript 中 Math.random() 函式返回介於 0(包含) ~ 1(不包含) 之間的一個偽隨機數,不難看出 rnd 的值就是一個隨機數。
那麼在 Python 中,介於 0(包含) ~ 1(不包含) 之間的一個偽隨機數可以使用 random 模組來實現:
import random
random_number = random.uniform(0, 1)
print(random_number)完整程式碼
GitHub 關注 K 哥爬蟲,持續分享爬蟲相關程式碼!歡迎 star !https://github.com/kgepachong/
以下只演示部分關鍵程式碼,不能直接執行!完整程式碼倉庫地址:https://github.com/kgepachong...
JavaScript 加密程式碼
function c(x, c) {
x[c >> 5] |= 128 << c % 32,
x[(c + 64 >>> 9 << 4) + 14] = c;
for (var a = 1732584193, _ = -271733879, y = -1732584194, d = 271733878, i = 0; i < x.length; i += 16) {
var b = a
, B = _
, D = y
, E = d;
a = h(a, _, y, d, x[i + 0], 7, -680876936),
d = h(d, a, _, y, x[i + 1], 12, -389564586),
y = h(y, d, a, _, x[i + 2], 17, 606105819),
_ = h(_, y, d, a, x[i + 3], 22, -1044525330),
a = h(a, _, y, d, x[i + 4], 7, -176418897),
d = h(d, a, _, y, x[i + 5], 12, 1200080426),
y = h(y, d, a, _, x[i + 6], 17, -1473231341),
_ = h(_, y, d, a, x[i + 7], 22, -45705983),
a = h(a, _, y, d, x[i + 8], 7, 1770035416),
d = h(d, a, _, y, x[i + 9], 12, -1958414417),
y = h(y, d, a, _, x[i + 10], 17, -42063),
_ = h(_, y, d, a, x[i + 11], 22, -1990404162),
a = h(a, _, y, d, x[i + 12], 7, 1804603682),
d = h(d, a, _, y, x[i + 13], 12, -40341101),
y = h(y, d, a, _, x[i + 14], 17, -1502002290),
_ = h(_, y, d, a, x[i + 15], 22, 1236535329),
a = g(a, _, y, d, x[i + 1], 5, -165796510),
d = g(d, a, _, y, x[i + 6], 9, -1069501632),
y = g(y, d, a, _, x[i + 11], 14, 643717713),
_ = g(_, y, d, a, x[i + 0], 20, -373897302),
a = g(a, _, y, d, x[i + 5], 5, -701558691),
d = g(d, a, _, y, x[i + 10], 9, 38016083),
y = g(y, d, a, _, x[i + 15], 14, -660478335),
_ = g(_, y, d, a, x[i + 4], 20, -405537848),
a = g(a, _, y, d, x[i + 9], 5, 568446438),
d = g(d, a, _, y, x[i + 14], 9, -1019803690),
y = g(y, d, a, _, x[i + 3], 14, -187363961),
_ = g(_, y, d, a, x[i + 8], 20, 1163531501),
a = g(a, _, y, d, x[i + 13], 5, -1444681467),
d = g(d, a, _, y, x[i + 2], 9, -51403784),
y = g(y, d, a, _, x[i + 7], 14, 1735328473),
_ = g(_, y, d, a, x[i + 12], 20, -1926607734),
a = v(a, _, y, d, x[i + 5], 4, -378558),
d = v(d, a, _, y, x[i + 8], 11, -2022574463),
y = v(y, d, a, _, x[i + 11], 16, 1839030562),
_ = v(_, y, d, a, x[i + 14], 23, -35309556),
a = v(a, _, y, d, x[i + 1], 4, -1530992060),
d = v(d, a, _, y, x[i + 4], 11, 1272893353),
y = v(y, d, a, _, x[i + 7], 16, -155497632),
_ = v(_, y, d, a, x[i + 10], 23, -1094730640),
a = v(a, _, y, d, x[i + 13], 4, 681279174),
d = v(d, a, _, y, x[i + 0], 11, -358537222),
y = v(y, d, a, _, x[i + 3], 16, -722521979),
_ = v(_, y, d, a, x[i + 6], 23, 76029189),
a = v(a, _, y, d, x[i + 9], 4, -640364487),
d = v(d, a, _, y, x[i + 12], 11, -421815835),
y = v(y, d, a, _, x[i + 15], 16, 530742520),
_ = v(_, y, d, a, x[i + 2], 23, -995338651),
a = A(a, _, y, d, x[i + 0], 6, -198630844),
d = A(d, a, _, y, x[i + 7], 10, 1126891415),
y = A(y, d, a, _, x[i + 14], 15, -1416354905),
_ = A(_, y, d, a, x[i + 5], 21, -57434055),
a = A(a, _, y, d, x[i + 12], 6, 1700485571),
d = A(d, a, _, y, x[i + 3], 10, -1894986606),
y = A(y, d, a, _, x[i + 10], 15, -1051523),
_ = A(_, y, d, a, x[i + 1], 21, -2054922799),
a = A(a, _, y, d, x[i + 8], 6, 1873313359),
d = A(d, a, _, y, x[i + 15], 10, -30611744),
y = A(y, d, a, _, x[i + 6], 15, -1560198380),
_ = A(_, y, d, a, x[i + 13], 21, 1309151649),
a = A(a, _, y, d, x[i + 4], 6, -145523070),
d = A(d, a, _, y, x[i + 11], 10, -1120210379),
y = A(y, d, a, _, x[i + 2], 15, 718787259),
_ = A(_, y, d, a, x[i + 9], 21, -343485551),
a = C(a, b),
_ = C(_, B),
y = C(y, D),
d = C(d, E)
}
return Array(a, _, y, d)
}
function a(q, c, a, x, s, t) {
return C(y(C(C(c, q), C(x, t)), s), a)
}
function h(c, h, g, d, x, s, t) {
return a(h & g | ~h & d, c, h, x, s, t)
}
function g(c, h, g, d, x, s, t) {
return a(h & d | g & ~d, c, h, x, s, t)
}
function v(c, h, g, d, x, s, t) {
return a(h ^ g ^ d, c, h, x, s, t)
}
function A(c, h, g, d, x, s, t) {
return a(g ^ (h | ~d), c, h, x, s, t)
}
function _(a, h) {
var g = b(a);
g.length > 16 && (g = c(g, a.length * U));
for (var v = Array(16), A = Array(16), i = 0; 16 > i; i++)
v[i] = 909522486 ^ g[i],
A[i] = 1549556828 ^ g[i];
var _ = c(v.concat(b(h)), 512 + h.length * U);
return c(A.concat(_), 640)
}
function C(x, c) {
var a = (65535 & x) + (65535 & c)
, h = (x >> 16) + (c >> 16) + (a >> 16);
return h << 16 | 65535 & a
}
function y(c, a) {
return c << a | c >>> 32 - a
}
function b(c) {
for (var a = Array(), h = (1 << U) - 1, i = 0; i < c.length * U; i += U)
a[i >> 5] |= (c.charCodeAt(i / U) & h) << i % 32;
return a
}
function B(c) {
for (var a = "", h = (1 << U) - 1, i = 0; i < 32 * c.length; i += U)
a += String.fromCharCode(c[i >> 5] >>> i % 32 & h);
return a
}
function D(c) {
for (var a = F ? "0123456789ABCDEF" : "0123456789abcdef", h = "", i = 0; i < 4 * c.length; i++)
h += a.charAt(c[i >> 2] >> i % 4 * 8 + 4 & 15) + a.charAt(c[i >> 2] >> i % 4 * 8 & 15);
return h
}
function E(c) {
for (var a = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/", h = "", i = 0; i < 4 * c.length; i += 3)
for (var g = (c[i >> 2] >> 8 * (i % 4) & 255) << 16 | (c[i + 1 >> 2] >> 8 * ((i + 1) % 4) & 255) << 8 | c[i + 2 >> 2] >> 8 * ((i + 2) % 4) & 255, v = 0; 4 > v; v++)
h += 8 * i + 6 * v > 32 * c.length ? S : a.charAt(g >> 6 * (3 - v) & 63);
return h
}
var F = 0
, S = ""
, U = 8
, j = {
hex_md5: function (s) {
return D(c(b(s), s.length * U)).toUpperCase()
},
b64_md5: function (s) {
return E(c(b(s), s.length * U))
},
str_md5: function (s) {
return B(c(b(s), s.length * U))
},
hex_hmac_md5: function (c, a) {
return D(_(c, a))
},
b64_hmac_md5: function (c, a) {
return E(_(c, a))
},
str_hmac_md5: function (c, a) {
return B(_(c, a))
}
};
function getSign(){
var c = (new Date).getTime();
var N = j.hex_md5(c).toUpperCase();
return N
}
function getEncryptedPassword(password) {
return j.hex_md5(password)
}
// 測試樣例
// console.log(getEncryptedPassword("12345678"))
// console.log(getSign())Python 登入關鍵程式碼
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import time
import random
import hashlib
import execjs
import requests
login_url = '脫敏處理,完整程式碼關注 GitHub:https://github.com/kgepachong/crawler'
def get_enpwd_and_sign_by_javascript(password):
with open('encrypt.js', 'r', encoding='utf-8') as f:
encrypt_js = execjs.compile(f.read())
encrypted_password = encrypt_js.call('getEncryptedPassword', password)
sign = encrypt_js.call('getSign')
return encrypted_password, sign
def get_enpwd_and_sign_by_python(password):
timestamp = str(int(time.time() * 1000))
encrypted_password = hashlib.md5(password.encode('utf-8')).hexdigest().upper()
sign = hashlib.md5(timestamp.encode('utf-8')).hexdigest().upper()
return encrypted_password, sign
def get_rnd():
rnd = 'rnd' + str(random.uniform(0, 1))
return rnd
def login(username, encrypted_password, sign, rnd):
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36'
}
json = {
"auth": {
"timestamp": str(int(time.time() * 1000)),
"sign": sign
},
"username": username,
"password": encrypted_password
}
response = requests.post(url=login_url, params=rnd, json=json, headers=headers)
print(response.json())
def main():
username = input('請輸入登入賬號: ')
password = input('請輸入登入密碼: ')
# 通過 JavaScript 程式碼獲取加密後的密碼和 sign
encrypted_password, sign = get_enpwd_and_sign_by_javascript(password)
# 通過 Python 程式碼獲取加密後的密碼和 sign
# encrypted_password, sign = get_enpwd_and_sign_by_python(password)
rnd = get_rnd()
login(username, encrypted_password, sign, rnd)
if __name__ == '__main__':
main()