前言
啥是WebAssembly就不多说了,自己去看吧。
目标网站
aHR0cHM6Ly93d3cud2FpbWFveGlhLm5ldC9sb2dpbg==
逆向目标
主要目标获取登录接口的sign
值。
调试环境
python
: 版本3.9.13
node
: 版本v18.15.0
pip isntall pyexecjs
请求分析
0x0
网站无防护,很容易就找到加密点,这里就略过,这不是本文的重点,最终发现是window.sign
进行加密的。直接在控制台敲window.sign
,然后按住Ctrl
键不放,鼠标点击一下输出的函数直接跳到加密代码位置(文件名wasm_exec_v2.js
)。
0x1
wasm_exec_v2.js
文件简单分析,没有加密,还做了浏览器和node环境的兼容,简直太nice了,也就是说node直接能跑通。关键代码分析下
if (
global.require &&
global.require.main === module &&
global.process &&
global.process.versions &&
!global.process.versions.electron
) {
if (process.argv.length != 3) {
console.error("usage: go_js_wasm_exec [wasm binary] [arguments]");
process.exit(1);
}
const go = new Go();
WebAssembly.instantiate(fs.readFileSync(process.argv[2]), go.importObject).then((result) => {
return go.run(result.instance);
}).catch((err) => {
console.error(err);
process.exit(1);
});
}
/**
查看`WebAssembly.instantiate`的`MDN`文档参数如下:
bufferSource
一个包含你想编译的 wasm 模块二进制代码的 typed array(类型数组) or ArrayBuffer(数组缓冲区)
importObject 可选
一个将被导入到新创建实例中的对象,它包含的值有函数、WebAssembly.Memory 对象等等。编译的模块中,对于每一个导入的值都要有一个与其匹配的属性与之相对应,否则将会抛出 WebAssembly.LinkError (en-US)。
也就是说:
fs.readFileSync(process.argv[2])其实是`xx.wasm`文件的二进制流`ArrayBuffer`
*/
找了一下,发下浏览器加载过一个main.wasm
。那就直接在控制台重发一下请求,为了流文件粘贴复制,直接转一下格式,用到的时候代码还原一下
fetch("https://wmx-1253696238.cos.ap-shanghai.myqcloud.com/main.wasm", {
"referrerPolicy": "strict-origin-when-cross-origin",
"body": null,
"method": "GET",
"mode": "cors",
"credentials": "omit"
}).then(res=>{
return res.arrayBuffer();
}).then(buf=>{
let data = JSON.stringify([].slice.call(new Uint8Array(buf)));
console.log(data);
copy(data);
});
// (new Uint8Array(data)).buffer; 可以通过这行转回buffer
改一下wasm_exec_v2.js文件就直接能跑出结果了
wasn_data = (new Uint8Array(
[0, 97, ...] // 上面fetch请求回来的转换后的data数组
)).buffer;
// 省略wasm_exec_v2.js内容, 下面是修复的地方
if (
global.require &&
global.require.main === module &&
global.process &&
global.process.versions &&
!global.process.versions.electron
) {
const go = new Go();
// WebAssembly.instantiate(fs.readFileSync(process.argv[2]), go.importObject).then((result) => {
WebAssembly.instantiate(wasn_data, go.importObject).then((result) => {
// return go.run(result.instance);
go.run(result.instance);
// 在此处调用加密sign方法
console.log(sign('xxx', 'xxx', 'xxx', 'xxx', '', '')); // 传入对应的加密入参,可得到加密结果
}).catch((err) => {
console.error(err);
process.exit(1);
});
}
直接跑上面的代码可得到结果node wasm_exec_v2.js
。
0x2
但是面临一个问题怎么实现python调用?WebAssembly.instantiate
是一个异步方法,在使用pyexecjs
进行执行的时候,并不能得到sign
方法,为什么得不到sgin
方法呢?查看pyexecjs
源码发现它的执行方式是起一个进程去调用node命令,每执行一次call
就起一次进程,而且call
调用的方法是直接拼接在整个js后面的,异步的WebAssembly.instantiate
还没执行完call
的方法就被调用了,当然就不行了。怎么解决这个问题呢? 起一个node
服务rpc
? 太麻烦了, 可能一天也就调用那么一两次解密。改pyexecjs
源码,让进程常驻,最后在销毁?完全可行,但是太懒不想改,以后再说吧。仔细看了看他的源码,发下了可以直接用console.log
代替js函数里面的return
值,操作如下:
function get_sign(a1, a2, a3, a4, a5, a6){
const go = new Go();
WebAssembly.instantiate(wasn_data, go.importObject).then((result) => {
go.run(result.instance);
console.log(`["ok", "` + sign(a1, a2, a3, a4, a5, a6) + `"]`);
});
}
get_sign('arg1', 'arg2', 'arg3', 'arg4', 'arg5', 'arg6');
搞定!
代码
链接:https://pan.baidu.com/s/1IReyZfDSf12XfTBzjzCzLQ?pwd=o21z
提取码:o21z
免责声明
本代码仅用于学习,下载后请勿用于商业用途,对于违反相关法律、造成危害的滥用行为,不负任何责任。
如果觉得本文不错,就请抽根华子吧