某讯滑动验证码协议分析
一如既往的先抓包。
这是其登录接口,登录接口中的这个值通过搜索可以发现,它是滑块认证成功后才返回的。
所以,今天主要就是分析这个接口。
这个接口的参数多达39个。以下是此接口部分截图
虽然参数很多,但是大部分都是无用参数,可固定,有些参数在其它接口也能直接找到。真正需要分析,需要计算的,也就只有5个左右。
其中 acaecd 这个参数跟滑动轨迹有关。 这个key的名字,也就是acaecd并不是固定的,它这个键也是从其它接口中返回的。我们重点分析这个参数的值。
控制台直接搜索这个接口便可直接定位到相关代码
接口参数一目了然,其中我们要分析的参数就在红框的地方生成的。继续跟进去。
它这里会先判断有无这个函数,如果有继续调用r.getData(!0).继续跟进。
一进去会发现这个大的函数。 可以在红框下方打断点,观察这个函数生成的值。
可以发现t中的cd这个值跟我们最后想要的值已经很接近了,可以先记录下来。至于它怎么生成这一长串的,目前并不清楚。
这里cd的那一长串字符赋值给c。 后面又进行了一些操作。重点在操作u的那几行。直接跳过去看。
u也是从t中取得,此处的一些混淆可以直接替换掉,如果你清楚是在干嘛的话,也可以不替换。这里在对u进行截取。这里其实我们也不用怎么关心。直接看下面一行加密部分。
我们可以看到这个函数对u进行了加密。下一步又和前面生成的那一长串拼接起来了。我们可以记录下这个值。后面通过抓包对比,发现最后生成的结果确实是这两个部分拼接起来的值。
接下来我们就着重分析下这个后面的加密函数。
这个函数就是做了一层包装,其实U是真正执行的函数,u当成参数传进去。
追到U函数里面去。
前面是一大堆定义变量,直接拉到函数末尾。
关键点就在这里,其中我已经把这里的混淆美化过了。一些加密的点,直接替换掉了,方便分析
解读一下这里的代码。
这里就是一个for循环,结束条件是 c<n.length,(别问我直接知道的,鼠标放上去,你就能看到函数的作用了),每次 c+=8;
这里我们监控一下n的值,以及它生成的结果。
加密前的明文 和 加密后的结果一览无余。
其中_0x5b382a这个函数是真正加密的函数, _0x12407f这个函数以及 _0x1a3bcd这两个函数对原字符串做了一些变换。
我对这个函数进行了相关美化。把它用python复现就是这样
这里加try的原因是有时候参数n的值不满4位会报错。在js中并不会报数组越界异常。
_0x1a3bcd 美化后的js函数
python还原的话直接把这部分用js2py调用,其中里面的c,u,r,e,o等都是固定值。因为js中的位移以及抑或操作跟python中有点不太一样,有点坑,为了保险起见直接用js2py调用即可。
最后的加密函数 _0x5b382a
python还原后
加密过程的话就围绕前面的那个for循环串起来就可以了。
我们可以看到整个过程加密了这些值。上一行是加密结果,下一行是加密的值
其中右下角slideValue这个值是我们的滑块轨迹信息。其它的参数大多可以固定部分需要随机变化。
观察轨迹整个数组,发现只有第一组数字比较大。比较特殊,可单独生成。
找规律第一组数猜测是 其实点击的坐标点, x坐标,y坐标,第三个数是相对时间。可以随机。但是不要太大,在这个值附近随机就可以了。
从第一组数往后都是相对偏移。拿一组数举例子
[1,0,6] 1,是相对上一次移动的横坐标距离,0是相对上一次移动的纵坐标距离,6是相对上一次移动的时间差。
整个过程中我发现x的前面部分的值一直在0、1、2几个数之间变化,后面部分放缓在0和1之间变化。
y值则可以一直固定为0不变。相对时间的话也是前面数值比较小,后面数值比较大。数值越小说明移动的越快,越大说明移动的越慢。
我们把数组中的第一个数全部加起来发现,这个数是要大于缺口距离的,比原先多了40。这里的40其实是滑块的宽度,也就是说它的计算值是到滑块右侧的距离。
如图所示
整个加起来的距离其实是这个距离。
成功获取ticket:
注意点:
1. 图片识别缺口,完事以后注意网页缩放问题。
2. 美化代码以及替换代码注意修改完毕及时校验。
3. 有些参数在控制台搜不到,建议在charles等抓包工具中搜索。
4. js中的位移以及异或运算使用python复现有些坑,建议直接使用js2py等库执行js
彩蛋:
某讯的滑块协议好像存在漏洞,不需要滑也能直接获取ticket。
960
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
