關注微信公眾號:K哥爬蟲,持續分享爬蟲進階、JS/安卓逆向等技術乾貨!
宣告
本文章中所有內容僅供學習交流,抓包內容、敏感網址、資料介面均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關,若有侵權,請聯絡我立即刪除!
逆向目標
- 目標:網洛者反反爬蟲練習平臺第二題:JJEncode 加密
- 連結:http://spider.wangluozhe.com/...
- 簡介:本題和第一題類似,都是要求採集100頁的全部數字,並計算所有資料加和,第二題使用的演算法是 SHA1 魔改版,另外主要還有一個 JJEncode 加密
JJEncode 簡介
JJEncode 最初是由日本作者 Yosuke HASEGAWA 於 2009 年開發的一個 web 程式,它可以將任意 JavaScript 編碼為僅使用 18 個符號的混淆形式 []()!+,\"$.:;_{}~=,線上體驗地址:https://utf-8.jp/public/jjenc... ,如果你想深入探究其原理,可以在K哥爬蟲公眾號回覆【JJEncode】獲取其詳細原理介紹的PDF。
作者有提示:JJEncode 易於解碼,它不是實用的混淆,只是一個編碼器,JJEncode 太有特點了,很容易被檢測,而且還瀏覽器依賴,程式碼不能在某種瀏覽器上執行。它的缺點是壓棧很嚴重,如果 JS 很大,去做加密可能記憶體溢位,所以只適合核心功能加密,事實上 JJEncode 商用的還是很少,不過認識一下並沒有什麼壞處。
正常的一段 JS 程式碼:
alert("Hello, JavaScript" )經過 JJEncode 混淆(自定義變數名為 $)之後的程式碼:
$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"(\\\"\\"+$.__$+$.__$+$.___+$.$$$_+(![]+"")[$._$_]+(![]+"")[$._$_]+$._$+",\\"+$.$__+$.___+"\\"+$.__$+$.__$+$._$_+$.$_$_+"\\"+$.__$+$.$$_+$.$$_+$.$_$_+"\\"+$.__$+$._$_+$._$$+$.$$__+"\\"+$.__$+$.$$_+$._$_+"\\"+$.__$+$.$_$+$.__$+"\\"+$.__$+$.$$_+$.___+$.__+"\\\"\\"+$.$__+$.___+")"+"\"")())();JJEncode 解混淆的方式很簡單,以下介紹幾種常見的方法:
- 使用線上工具直接解密,比如:http://www.hiencode.com/jjenc...
- JJEncode 的程式碼通常是一個自執行方法(IIFE),去掉程式碼最後面的
()後,放到瀏覽器裡面去直接執行就可以看到原始碼 - 線上除錯,在 JJEncode 程式碼第一行下斷點,然後一步一步執行,最終也會在虛擬機器(VM)裡看到原始碼
逆向引數
逆向的目標主要是翻頁介面 _signature 引數,呼叫的加密方法仍然是 window.get_sign(),和第一題是一樣的,本文不再贅述,不清楚的可以去看 K 哥上期的文章。
跟進 2.js 之後會發現是一個 JJEncode 混淆:
我們將其中混淆的部分,去掉最後的 () 放到瀏覽器控制檯執行一下(建議單開一個無痕視窗,有時候可能會有影響),就可以看到原始碼了,點選原始碼來到虛擬機器(VM),整個原始碼就展現在我們面前了:
除了直接去掉 () 執行以外,我們還可以在混淆程式碼第一行下斷點,然後單步跟進,最後同樣也會得到原始碼,如下圖所示:
看原始碼就很簡單了,就是一個魔改的 SHA1 匿名函式,將其程式碼 copy 下來改寫一下即可,配合 Python 程式碼攜帶 _signature 挨個計算每一頁的資料,最終提交成功:
完整程式碼
GitHub 關注 K 哥爬蟲,持續分享爬蟲相關程式碼!歡迎 star !https://github.com/kgepachong/
以下只演示部分關鍵程式碼,不能直接執行! 完整程式碼倉庫地址:https://github.com/kgepachong...
JavaScript 加密程式碼
/* ==================================
# @Time : 2021-12-10
# @Author : 微信公眾號:K哥爬蟲
# @FileName: challenge_2.js
# @Software: PyCharm
# ================================== */
var hexcase = 0;
var chrsz = 8;
function hex_sha1(s) {
return binb2hex(core_sha1(AlignSHA1(s)));
}
function sha1_vm_test() {
return hex_sha1("abc") == "a9993e364706816aba3e25717850c26c9cd0d89d";
}
function core_sha1(blockArray) {
var x = blockArray;
var w = Array(80);
var a = 1732584173;
var b = -271733877;
var c = -1752584194;
var d = 271733878;
var e = -1009589776;
for (var i = 0; i < x.length; i += 16) {
var olda = a;
var oldb = b;
var oldc = c;
var oldd = d;
var olde = e;
for (var j = 0; j < 80; j++) {
if (j < 16)
w[j] = x[i + j];
else
w[j] = rol(w[j - 3] ^ w[j - 8] ^ w[j - 14] ^ w[j - 16], 1);
var t = safe_add(safe_add(rol(a, 5), sha1_ft(j, b, c, d)), safe_add(safe_add(e, w[j]), sha1_kt(j)));
e = d;
d = c;
c = rol(b, 30);
b = a;
a = t;
}
a = safe_add(a, olda);
b = safe_add(b, oldb);
c = safe_add(c, oldc);
d = safe_add(d, oldd);
e = safe_add(e, olde);
}
return new Array(a, b, c, d, e);
}
function sha1_ft(t, b, c, d) {
if (t < 20) {
return (b & c) | ((~b) & d);
}
if (t < 40) {
return b ^ c ^ d;
}
if (t < 60) {
return (b & c) | (b & d) | (c & d);
}
return b ^ c ^ d;
}
function sha1_kt(t) {
return (t < 20) ? 1518500249 : (t < 40) ? 1859775393 : (t < 60) ? -1894007588 : -899497514;
}
function safe_add(x, y) {
var lsw = (x & 0xFFFF) + (y & 0xFFFF);
var msw = (x >> 16) + (y >> 16) + (lsw >> 16);
return (msw << 16) | (lsw & 0xFFFF);
}
function rol(num, cnt) {
return (num << cnt) | (num >>> (32 - cnt));
}
function AlignSHA1(str) {
var nblk = ((str.length + 8) >> 6) + 1;
var blks = new Array(nblk * 16);
for (var i = 0; i < nblk * 16; i++) {
blks[i] = 0;
}
for (i = 0; i < str.length; i++) {
blks[i >> 2] |= str.charCodeAt(i) << (24 - (i & 3) * 8);
}
blks[i >> 2] |= 0x80 << (24 - (i & 3) * 8);
blks[nblk * 16 - 1] = str.length * 8;
return blks;
}
function binb2hex(binarray) {
var hex_tab = hexcase ? "0123456789ABCDEF" : "0123456789abcdef";
var str = "";
for (var i = 0; i < binarray.length * 4; i++) {
str += hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8 + 4)) & 0xF) + hex_tab.charAt((binarray[i >> 2] >> ((3 - i % 4) * 8)) & 0xF);
}
return str;
}
function getSign() {
return hex_sha1(Date.parse(new Date).toString());
}
// 測試輸出
// console.log(getSign())Python 計算關鍵程式碼
# ==================================
# --*-- coding: utf-8 --*--
# @Time : 2021-12-10
# @Author : 微信公眾號:K哥爬蟲
# @FileName: challenge_2.py
# @Software: PyCharm
# ==================================
import execjs
import requests
challenge_api = "http://spider.wangluozhe.com/challenge/api/2"
headers = {
"Content-Type": "application/x-www-form-urlencoded; charset=UTF-8",
"Cookie": "將 cookie 值改為你自己的!",
"Host": "spider.wangluozhe.com",
"Origin": "http://spider.wangluozhe.com",
"Referer": "http://spider.wangluozhe.com/challenge/2",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36",
"X-Requested-With": "XMLHttpRequest"
}
def get_signature():
with open('challenge_2.js', 'r', encoding='utf-8') as f:
ppdai_js = execjs.compile(f.read())
signature = ppdai_js.call("getSign")
print("signature: ", signature)
return signature
def main():
result = 0
for page in range(1, 101):
data = {
"page": page,
"count": 10,
"_signature": get_signature()
}
response = requests.post(url=challenge_api, headers=headers, data=data).json()
for d in response["data"]:
result += d["value"]
print("結果為: ", result)
if __name__ == '__main__':
main()