之前去一家公司面试的时候,面试官问到这个网站,所以回来就仔细看了一下。
主要的加密参数就key9和flwq39,其中key9直接全局搜索可以搜出来,flwq39因为关键字被unicode编码转换了所以搜不到,在分析key9的过程中很容易发现。
一 抓包
这个网站按下F12有无线debug 我们可以用以下方式去过掉:
点击consloe在下面输出代码(function(){}).constructor === Function回车;
如果返回的是true,
继续输入Function.prototype.constructor = function(){}并回车;
切换回sources选项卡,点击继续执行,无限debugger的问题就解决了。
二 分析加密参数
随便找个发票输入发票的代码和号码一会就出现验证码,这时候在network面板可以看到yzm开头的一条记录
点击这条记录可以看到全部的请求参数
经过多次请求分析其中加密参数只有key9和flwq39。这里我们全局搜索key9可以看到两条记录,逐个点进去看上下文就知道'key9': $['nnyd']['yzm'](_0x5bf6a5, _0x11290e, _0x3cf19a)这里就是该请求key9的加密参数。在两个文件定义key9的地方打上断点再次请求可以看到断点断在eab23.js这个文件的key9定义处。
可以看出_0x5bf6a5就是fpdm, _0x11290是fphm, _0x3cf19a是publickey知道了函数的参数,再找到加密函数本体就完活了。
在控制台输入 $[‘nnyd’][‘yzm’]会输出一个函数点进去就来到了这里
Asicssss.prototype.yzm这个函数就是整个key9的加密过程,把它整个复制下来保存为一个js文件,用python调用它,然后看输出缺什么补什么。
输出和抓包的请求参数对比,一致的话就算完成了。
flwq39是在分析key9的时候看上下文发现的,它们是在同一个文件内,并且有注释。
这个dp就是flwq39找到它的加密函数在
获取验证码阶段flwq39的加密函数就是yzmQuerySign(),参数settings是一个json的对象{ "url": "https://fpcy.beijing.chinatax.gov.cn:443/NWebQuery/yzmQuery?callback=jQuery36107051621522556655_1693814101308&fpdm=011001900511&fphm=13093557&r=0.690565561546489&v=2.0.14_050&nowtime=1693814871099&publickey=1693814871099&key9=870b774f368aeb012ce0f15244642a4e&_=1693814101310&", "type": "GET", "isLocal": false, "global": true, "processData": true, "async": true, "contentType": "application/x-www-form-urlencoded; charset=UTF-8", "accepts": { "*": "*/*", "text": "text/plain", "html": "text/html", "xml": "application/xml, text/xml", "json": "application/json, text/javascript", "script": "text/javascript, application/javascript, application/ecmascript, application/x-ecmascript" }, "contents": { "xml": {}, "html": {}, "json": {}, "script": false }, "responseFields": { "xml": "responseXML", "text": "responseText", "json": "responseJSON" }, "converters": { "text html": true }, "flatOptions": { "url": true, "context": true }, "jsonp": "callback", "jsonpCallback": "jQuery36107051621522556655_1693814101308", "cache": false, "dataType": "jsonp", "timeout": 5000, "dataTypes": [ "script", "json" ], "crossDomain": true, "jQuery36107051621522556655_1693814101308": true, "hasContent": false }
有用的也就是"url"和"type"。跟key9一样的思路,在控制台输入yzmQuerySign,点击输出的函数可以到
一样的整个复制下来调用,缺什么补什么。url还会用到这个js
这个里面的js代码都是ob混淆过的解密之后就会等到一串代码{ "code": "1100", "sfmc": "北京", "Ip": "https://fpcy.beijing.chinatax.gov.cn:443/NWebQuery", "address": "https://fpcy.beijing.chinatax.gov.cn:443", }, { "code": "1200", "sfmc": "天津", "Ip": "https://fpcy.tjsat.gov.cn:443/NWebQuery", "address": "https://fpcy.tjsat.gov.cn:443", }, { "code": "1300", "sfmc": "河北", "Ip": "https://fpcy.hebei.chinatax.gov.cn/NWebQuery", "address": "https://fpcy.hebei.chinatax.gov.cn", },…
到这里就全部完了。
查询的接口也是一样的,只是查询的参数多一些,其中加密的也是key9和flwq,key9是之前全局搜索出来的另一个函数$[‘nnyd’][‘cy’],flwq是vatQuerySign,思路和操作都是一样的。yzmsj是验证码请求返回的key2,index是验证码请求返回的Key3,key6是验证码请求返回包里的Key6。fplx的加密函数是alxd,参数是发票代码。
三 扣js代码时遇到的一些问题及处理方式
execjs._exceptions.ProgramError: ReferenceError: window is not defined可以在在文件前面加上
const jsdom = require("jsdom");
const { JSDOM } = jsdom;
const dom = new JSDOM();
window = dom.window;
document = window.document;
XMLHttpRequest = window.XMLHttpRequest;
execjs._exceptions.ProgramError: ReferenceError: $ is not defined主要是这个函数$.cs.encode在控制台输入可以输出它的具体函数其实是_0x2d411a,还是复制整个函数,缺什么补什么,最后把$.cs.encode都替换成_0x2d411a就行了。
四 实现
对照发票代码得到地址,算出key9和flwq发送请求得到验证码,手动输入,再带入其他的参数请求查验接口,得到返回结果。
全部代码
https://download.csdn.net/download/TTXSDEKK/88298883
3391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
