RS4 某房产补环境

臭臭GE

已于 2023-10-20 13:44:46 修改

阅读量267

点赞数 1

文章标签： javascript 爬虫安全

于 2023-10-20 13:42:42 首次发布

本文链接：https://blog.csdn.net/ENCCDY/article/details/133943930

版权

本文详细描述了对RS4项目中cookie生成机制的逆向工程，通过hook定位生成函数，分析了外部链接JS和自执行函数的作用，以及如何通过补环境（如proxy和修改原型）来模拟真实浏览器环境并获取所需数据。

摘要由CSDN通过智能技术生成

声明

此帖仅为记录我的逆向学习，过程文章中所有内容仅供学习交流使用，不用于其他任何目的，严禁用于非法用途，否则由此产生的一切后果均与作者无关！

RS4特征介绍

这里我们已经确定此网址为RS4 关于RS4的一些细节特征可以移步其他帖子我们这里只做简单介绍

我们可以看到在cookie参数中有T结尾和S结尾的两个参数其中S结尾的参数为服务器返回 T参数为js生成其中还有经典debugger

cookie定位

我们已经清楚 T结尾 4开头的cookie值为js生成接下来就是找到cookie生成的入口函数这里我们使用hook来进行定位

(function (){
    'use strict'
    var _cookie = ""
    Object.defineProperty(document, 'cookie',{
        set:function (val){
            console.log('cookie set->',new Date().getTime(),val);
            debugger;
            _cookie = val
            return val
        },
        get: function (){
            return _cookie
        }
    })
})()

我们点击打开Script断点此时运行我们的hook脚本或者这边使用插件都是可以的运行成功放开断点我们发现值已经被断住了

我们往上跟栈发现这个函数是没有传入参数的但是却跟到这里了不出意外cookie的生成地址就是这里了

这里 (5)位置为假cookie生成（768，1）为真cookie生成这里我们是补环境全扣拿最后的cookie就好不用在意这个问题我们可以看到这个文件为vm 继续跟栈找到call位置

这里我们来到这个文件可以发现整个文件有三部分

分别是content标签外链js 和一个自执行函数部分在自执行函数部分我们看到了call 其中外链js中的代码将会被自执行函数还原并且执行为正常的vm文件而content也会在生成cookie的时候用到所以我们这边全扣并且做一下小小更改其中meta 标签的 content 内容是变化的外链js在不同页面也会改变自执行函数是动态变量名整体逻辑是不变的

我们既然是补环境本地准备一份全扣下来然后还要做一些更改此时我们把代码放在浏览器运行发现可以正常出值

补环境

接下来就是补环境我们挂上代理开冲

// proxy代理输出日志
function get_enviroment(proxy_array) {
    for(var i=0; i<proxy_array.length; i++){
        handler = '{\n' +
            '    get: function(target, property, receiver) {\n' +
            '        console.log("方法:", "get  ", "对象:", ' +
            '"' + proxy_array[i] + '" ,' +
            '"  属性:", property, ' +
            '"  属性类型:", ' + 'typeof property, ' +
            // '"  属性值:", ' + 'target[property], ' +
            '"  属性值类型:", typeof target[property]);\n' +
            '        return target[property];\n' +
            '    },\n' +
            '    set: function(target, property, value, receiver) {\n' +
            '        console.log("方法:", "set  ", "对象:", ' +
            '"' + proxy_array[i] + '" ,' +
            '"  属性:", property, ' +
            '"  属性类型:", ' + 'typeof property, ' +
            // '"  属性值:", ' + 'target[property], ' +
            '"  属性值类型:", typeof target[property]);\n' +
            '        return Reflect.set(...arguments);\n' +
            '    }\n' +
            '}'
        eval("tr"+"y"+"{\n" + proxy_array[i] + ';\n'
        + proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}catch (e) {\n' + proxy_array[i] + '={};\n'
        + proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}')
    }
}
proxy_array = ['window','document','navigator','location']


get_enviroment(proxy_array)

这里我们拿出几个举例比如window.top 在真实的浏览器环境中，当一个页面不是嵌套在任何iframe或其他窗口中时，window.top 默认指向自身所以我们这里直接补

window.top = window;

在我代码中 if (_$2P[_$BI][_$GJ[4]]('r') === 'm')这个地方补完一直报错这个方法未定义然后我就直接补在原型了

// 此方法不在doument或者window下调用 直接在Object.prototype原型顶部伪造
// 其下所有原型都会存在这个方法
Object.prototype.getAttribute = function (val) {
    if (val === 'r') {
        return 'm'
    }
}

正常修修补补不认识的方法去文档看看完浏览器调试最后终于也是出值了