聲明 本文章中所有內容僅供學習交流,抓包內容、敏感網址、數據介面均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關,若有侵權,請聯繫我立即刪除! 本文章未經許可禁止轉載,禁止任何修改後二次傳播,擅自使用本文講解的技術而導致的任何意外,作者均不負責,若有侵權,請在公眾號【K ...
聲明
本文章中所有內容僅供學習交流,抓包內容、敏感網址、數據介面均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關,若有侵權,請聯繫我立即刪除!
本文章未經許可禁止轉載,禁止任何修改後二次傳播,擅自使用本文講解的技術而導致的任何意外,作者均不負責,若有侵權,請在公眾號【K哥爬蟲】聯繫作者立即刪除!
逆向目標
- 目標:某驗三代、四代一鍵通過模式(無感驗證)逆向分析
- 三代主頁:
aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby9mdWxscGFnZS5odG1s - 四代主頁:
aHR0cHM6Ly9ndDQuZ2VldGVzdC5jb20v
通訊流程
介面相關:
完整流程:
三代抓包情況
register-fullpage 會返回 challenge 和 gt 值,後期有用到。
get.php 會返回 c 和 s,同樣後期會用到,這個請求同樣需要 w 值,在某驗的點選滑塊里,這個請求可以不要 w 值,但在三代無感里,必須得要,不然最後是會驗證失敗的,可能不帶 w 請求,返回的 s 是個假的值,導致最後驗證失敗。
ajax.php 驗證是否成功,同樣需要 w 值,成功則會返回一個 validate。
三代逆向分析
第一個 w 值
相信看過K哥以前滑塊、點選的文章,對於定位 w 的值很熟練了,這裡也是類似的,"\u0077" 就是 "w",其值為 i + r,如下圖所示:
主要就是 r、o、i 的值,關鍵代碼:
var r = t[$_CFAGw(1326)]()
, o = $_BFx()[$_CFAGw(1367)](pe[$_CFAFP(416)](t[$_CFAGw(353)]), t[$_CFAGw(1393)]())
, i = O[$_CFAGw(1375)](o)
先看看 r,跟進去就是我們熟悉的 RSA 了,和以前的處理一樣,把代碼扣下來或者用庫都行。
同樣需要註意的是上圖中 this[$_CHCFe(1393)]() 也是個隨機字元串,會遇到多次,但整體一次驗證下來都是相同的值,不然驗證會失敗,點選、滑塊等一系列都一樣的。
然後是 o 的值,這裡和以前一樣,跟進去看仍然是 AES 加密。 t[$_CFAGw(1393)]() 依舊是隨機字元串。
中間這一串 pe[$_CFAFP(416)](t[$_CFAGw(353)]),也沒啥特別的,除了 gt 和 challenge,其他都是定值,最後面那一串 i 的值,實測寫死、置空都行。
然後繼續跟進 i,把前面 o 的值轉換成一個大的字元串,這裡也不是很複雜,直接扣代碼即可:
然後 i + r 就是 w 的值了,到這裡第一個 w 的值就搞完了。
第二個 w 值
第二個 w 的值和以往的地方都不太一樣,不過通過跟棧的方式也很容易找到,來到有個 var n = {}; 的地方,如下圖所示:
t[$_CGABi(1436)] 就是 w 值,也就是 t['$_CEDO'],前面定義了 var t = this,經過第 8215 行的 t[$_CGAAX(1462)]() 之後,就有了 w 的值,所以要跟進去重點看這一行。
如上圖所示,e、t、n、r 中涉及到一些瀏覽器環境值的計算,當然還有滑鼠移動等相關數據的計算,如下圖所示:
而實際測試發現這四個值直接置空也可以,在本例中可以,不知道是否有其他案例校驗更加嚴格,知道的朋友可以在評論區提出來,再往下,會遇到很多給變數賦值的地方,如下圖所示,G 是 MD5 方法,中間的 O[$_CGBFp(948)] 和以前類似,返回一個對象中的 res 和 end 相加,這裡就不再贅述了。
i[$_CGBGa(1415)] 這裡就是將每個變數和值挨個相加,組成一個大的字元串。
然後到 r 這裡,就多了一個 captcha_token,然後用 {} 將所有數據包了起來。
這些數據我們格式化一下,大致結構如下圖所示:
其中 ep 裡面的 ven、ren 是顯卡相關信息,fp、lp 是取了兩個滑鼠移動的位置信息,直接寫死為 null 也可以,tm 就是 window.performance.timing 的一些東西,自己隨便偽造一下就行了。
最後一步 i[$_CGDBA(1436)],隨機字元串為 key,將前面的數據 r 進行 AES 加密,得到我們最終的 w 值,如下圖所示:
三代結果驗證
四代抓包情況
load 介面返回值如下:
-
captcha_type:驗證碼類型,無感為 ai
-
gct_path:gct4 文件路徑
-
lot_number:生成 pow_msg、w 的關鍵參數
-
payload:verify 請求參數
-
datetime:ISO 8601 擴展格式的日期,生成 pow_msg 的關鍵參數
-
process_token:verify 請求參數
verify 介面返回值如下:
- captcha_id:驗證碼 id
- captcha_output:login 請求參數
- gen_time:login 請求參數
- lot_number:login 請求參數
- pass_token:login 請求參數
login 介面驗證登錄成功:
四代逆向分析
w 參數
與三代無感一樣,四代無感 w 參數同樣直接搜索 "\u0077" 即可定位到,r 為 w 參數的值:
r 參數定義在第 6237 行,內容如下:
(0,d[$_CBHHO(84)])(f[$_CBHIE(84)][$_CBHHO(562)](e), i)
d["default"])(f["default"]["stringify"](e), i)
由上可知,r 是將 i 參數和轉為字元串的 e 參數加密得到的,跟進到 d[$_CBHHO(84)] 中,加密函數定義在第 11669 行,在第 11707 行打下斷在,返回值為 r 參數的值,即 w 值:
(0,d[$_DIEHS(177)])(c) + u
d["arrayToHex")(c) + u
這裡是將 c 數組轉換成了十六進位的字元串然後加上 u 得到的 r 值,d[$_DIEHS(177)] 跟進去直接扣出來即可,c 定義在第 11705 行:
var c = s[a][$_DIEIq(1403)][$_DIEHS(1498)](e, i);
var c = s[1]["symmetrical"]["encrypt"](e, i);
e 後文分析,i 為 16 位字元串:
i 定義在第 11702 行,跟進到 d[$_DIEIq(103)] 方法中,i 為 16 位隨機數:
e 參數內容如下:
device_id、lot_number 由 load 介面返回,pow_msg 為 "1|0|md5|" + datetime + "|" + captcha_id + "|" + lot_number + "||" + 16位隨機數,pow_msg 經過 MD5 加密即為 pow_sign,"l0zs":"53502544" 為動態變化的鍵值對,在往期四代滑塊的文章中均有詳細介紹,接下來跟進到 s[a][$_DIEIq(1403)][$_DIEHS(1498)] 中,c 為 AES 加密,扣代碼或者直接引庫:
u 定義在第 11704 行,i 為十六位隨機字元串:
u = new l[($_DIEHS(84))]()[$_DIEIq(1498)](i);
u = new l["default"]()["encrypt"](i);
跟進到加密函數 l[($_DIEHS(84))] 中,在第 12725 行,於 12741 行打下斷點,可以看到這裡就是個 RSA 加密,扣代碼或者直接引庫即可:
四代結果驗證
