WebAssembly(wasm)逆向记录

最新推荐文章于 2024-07-26 00:22:37 发布
最新推荐文章于 2024-07-26 00:22:37 发布
阅读量1.8k 收藏 12
点赞数 4
文章标签: wasm javascript 爬虫 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangch135/article/details/131247658
版权

前言

啥是WebAssembly就不多说了,自己去看吧。

目标网站

aHR0cHM6Ly93d3cud2FpbWFveGlhLm5ldC9sb2dpbg==

逆向目标

主要目标获取登录接口的sign值。

调试环境

python: 版本3.9.13
node: 版本v18.15.0
pip isntall pyexecjs

请求分析

0x0

网站无防护,很容易就找到加密点,这里就略过,这不是本文的重点,最终发现是window.sign进行加密的。直接在控制台敲window.sign,然后按住Ctrl键不放,鼠标点击一下输出的函数直接跳到加密代码位置(文件名wasm_exec_v2.js)。

0x1

wasm_exec_v2.js文件简单分析,没有加密,还做了浏览器和node环境的兼容,简直太nice了,也就是说node直接能跑通。关键代码分析下

	if (
		global.require &&
		global.require.main === module &&
		global.process &&
		global.process.versions &&
		!global.process.versions.electron
	) {
		if (process.argv.length != 3) {
			console.error("usage: go_js_wasm_exec [wasm binary] [arguments]");
			process.exit(1);
		}

		const go = new Go();
		WebAssembly.instantiate(fs.readFileSync(process.argv[2]), go.importObject).then((result) => {
			return go.run(result.instance);
		}).catch((err) => {
			console.error(err);
			process.exit(1);
		});
	}
/**
查看`WebAssembly.instantiate`的`MDN`文档参数如下:
bufferSource
一个包含你想编译的 wasm 模块二进制代码的 typed array(类型数组) or ArrayBuffer(数组缓冲区)

importObject 可选
一个将被导入到新创建实例中的对象,它包含的值有函数、WebAssembly.Memory 对象等等。编译的模块中,对于每一个导入的值都要有一个与其匹配的属性与之相对应,否则将会抛出 WebAssembly.LinkError (en-US)。


也就是说:
fs.readFileSync(process.argv[2])其实是`xx.wasm`文件的二进制流`ArrayBuffer`
*/

找了一下,发下浏览器加载过一个main.wasm。那就直接在控制台重发一下请求,为了流文件粘贴复制,直接转一下格式,用到的时候代码还原一下

fetch("https://wmx-1253696238.cos.ap-shanghai.myqcloud.com/main.wasm", {
  "referrerPolicy": "strict-origin-when-cross-origin",
  "body": null,
  "method": "GET",
  "mode": "cors",
  "credentials": "omit"
}).then(res=>{
    return res.arrayBuffer();
}).then(buf=>{
    let data = JSON.stringify([].slice.call(new Uint8Array(buf)));
    console.log(data);
    copy(data);
});


// (new Uint8Array(data)).buffer; 可以通过这行转回buffer

改一下wasm_exec_v2.js文件就直接能跑出结果了

wasn_data = (new Uint8Array(
    [0, 97, ...]    // 上面fetch请求回来的转换后的data数组
)).buffer;

// 省略wasm_exec_v2.js内容, 下面是修复的地方


    if (
        global.require &&
        global.require.main === module &&
        global.process &&
        global.process.versions &&
        !global.process.versions.electron
    ) {

		const go = new Go();
		// WebAssembly.instantiate(fs.readFileSync(process.argv[2]), go.importObject).then((result) => {
		WebAssembly.instantiate(wasn_data, go.importObject).then((result) => {
			// return go.run(result.instance);
			go.run(result.instance);
			// 在此处调用加密sign方法
			console.log(sign('xxx', 'xxx', 'xxx', 'xxx', '', ''));  // 传入对应的加密入参,可得到加密结果
		}).catch((err) => {
			console.error(err);
			process.exit(1);
		});
	}

直接跑上面的代码可得到结果node wasm_exec_v2.js

0x2

但是面临一个问题怎么实现python调用?WebAssembly.instantiate是一个异步方法,在使用pyexecjs进行执行的时候,并不能得到sign方法,为什么得不到sgin方法呢?查看pyexecjs源码发现它的执行方式是起一个进程去调用node命令,每执行一次call就起一次进程,而且call调用的方法是直接拼接在整个js后面的,异步的WebAssembly.instantiate还没执行完call的方法就被调用了,当然就不行了。怎么解决这个问题呢? 起一个node服务rpc? 太麻烦了, 可能一天也就调用那么一两次解密。改pyexecjs源码,让进程常驻,最后在销毁?完全可行,但是太懒不想改,以后再说吧。仔细看了看他的源码,发下了可以直接用console.log代替js函数里面的return值,操作如下:

function get_sign(a1, a2, a3, a4, a5, a6){
    const go = new Go();
   WebAssembly.instantiate(wasn_data, go.importObject).then((result) => {
       go.run(result.instance);
       console.log(`["ok", "` + sign(a1, a2, a3, a4, a5, a6) + `"]`);
   });  
}
get_sign('arg1', 'arg2', 'arg3', 'arg4', 'arg5', 'arg6');

搞定!

代码

链接:https://pan.baidu.com/s/1IReyZfDSf12XfTBzjzCzLQ?pwd=o21z
提取码:o21z

免责声明

本代码仅用于学习,下载后请勿用于商业用途,对于违反相关法律、造成危害的滥用行为,不负任何责任。
如果觉得本文不错,就请抽根华子吧
请添加图片描述

huangch135
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
171229 逆向-WebAssembly逆向(1)
whklhhhh的博客
12-30 6563
1625-5 王子昂 总结《2017年12月29日》 【连续第455天总结】 A. 34c3ctf - wasm B. 搜索一下题目,得到WebAssembly的关键词 WebAssembly 主要试图解决现有技术的一些问题: JavaScript:性能不够理想,以及语言本身的一堆坑(这个大家都懂) Flash:私有技术(而且漏洞一堆),并且是纯二进制格式 Sil
什么是WebAssembly(Wasm)?
热门推荐
西京刀客
03-04 3万+
文章目录WebAssembly是什么?WebAssemblyJavaScript WebAssembly是什么? WASM是什么?带你了解WebAssembly的前世今生 参考URL: http://www.mabiji.com/webassembly/wasm.html WebAssembly是什么?WebAssembly即WASMWebAssembly是一种新的编码格式并且可以在浏览器中运行,WASM可以与JavaScript并存,WASM更类似一种低级的汇编语言。 WebAssembly(又名w
Webassembly 学习手册(一)
最新发布
龙哥盟
07-26 1028
本书介绍了 WebAssembly,这是一项新颖而令人兴奋的技术,能够在浏览器中执行除 JavaScript 以外的其他语言。本书描述了如何从头开始构建一个 C/JavaScript 应用程序,使用 WebAssembly,并将现有的 C++代码库移植到浏览器中运行的过程,借助 Emscripten 的帮助。WebAssembly 代表了 Web 平台的重要转变。作为诸如 C、C++和 Rust 等语言的编译目标,它提供了构建新型应用程序的能力。
分析 WebAssembly 二进制文件 - Wasm 逆向工程
u014643814的博客
04-18 3329
我们最近发表了一篇关于WebAssembly (Wasm)的安全问题和基本概念的博文。作为后续,这篇文章将介绍 Wasm 应用程序的逆向工程。考虑一下您遇到未知 Wasm 应用程序的场景,您需要弄清楚它的作用。你将如何分析它?目前几乎没有任何关于该主题的有用文档,因此我们决定部分填补这一空白。 Wasm 应用程序可以通过不同的方式进行分析。今天我们将通过一个非常简单的应用程序来介绍 Chrome 内置的 Wasm 调试功能。随着我们的进行,一些理论将被介绍。 想要直接了解更多技术内容的不耐烦的读者可以从附录
JS逆向之wasm逆向(二进制)
weixin_44504978的博客
11-22 1953
于是我跟着断点调试到了这里 这里是一个switch代码 至于是上面switch我这里就不多说了 o=i.sign o=i.sign实在case=4这里的 case的e.next是4说明0走完就走4 n.e(2284).then(n.bind(n, 22284));说明着代码就是我们的i函数 但是他又是异步的 我们就很难去调试他这个过程;最终我们看到了这里 这里就是我们我们上面提到的问题 有 WebAssembly有fetch API加载 这里就完全是一个wasm加密的特征啦。
WebAssembly 的手动逆向工程:静态代码分析
u014643814的博客
04-18 1077
在我们上一篇关于 WebAssembly (Wasm) 的博客中,我们初步了解了一个未知的 Wasm 二进制文件,并对其进行了一些行为分析。今天我们将继续研究相同的 Wasm 样本,但会更深入。我们将通过查看 Wasm 文本格式来手动分析它。 为了能够手动分析 Wasm 文本格式,我们需要先学习更多理论。我们之前的博客文章描述了如何处理内存和数据。在此基础上,我们将介绍一些对逆向工程 Wasm 有用的附加概念,然后应用新获得的知识来分析 Wasm 样本。 注意:这篇文章是一个系列的一部分。该系列的.
wasm逆向学习之旅
weixin_47115747的博客
07-03 1384
函数接受一个。
wasm-examples:WebAssembly示例
01-30
各种WebAssembly的示例。可以使用以下激进版浏览器运行。 黄色的Chrome( ) 紫色的Safari( ) 深蓝色的Firefox( ),依然需要开启flag 改头换面的IE( ) 除了上边几个激进的浏览器,在主流版本里开启flag也是...
京麒CTF2024-Re-easy-wasm(wasm逆向分析)
05-26
【标题】"京麒CTF2024-Re-easy-wasm(wasm逆向分析)" 提供了一个挑战,该挑战聚焦于WebAssembly(WASM)的逆向工程。WebAssembly是一种低级的虚拟机指令集,允许开发者用C、C++、Rust等高级语言编写的代码在浏览器...
wasm:快速Pascal(Delphi)WebAssembly解释器
04-05
WebAssembly(WASM)是一种低级的虚拟指令集,它被设计用来在现代浏览器中运行高性能的代码。WASM提供了一种方式,让开发者可以用C、C++甚至其他支持编译到WASM的语言,如Pascal(Delphi),来编写在网页上运行的...
Rust webassembly wasm-bindgen的 async/await 特性来实现异步编程的示例
mengyouyouzi的专栏
04-14 302
本文将介绍一个使用 Rust wasm-bindgen的 async/await 特性来实现异步编程的示例,示例中使用了。将 Rust 代码编译成了 WebAssembly 模块,并在 Node.js 中运行。命令编译 WebAssembly 模块。函数启动一个新的异步任务并返回其结果,命令执行 JavaScript 代码。中引入编译好的模块,并分别调用。函数是实际执行的异步任务,而。函数中启动了一个新的异步任务。,该任务会先执行,输出从 0。中添加必要的依赖,包括。,然后等待一段时间后输出。
wasmtime-py:由Wasmtime支持的Python WebAssembly运行时
05-14
wasmtime-py Python嵌入 项目 安装 要安装wasmtime-py ,请在终端中运行以下命令: $ pip install wasmtime 该软件包当前在x86_64 Windows,macOS和Linux上支持Python 3.6+的64位版本 用法 在此示例中,我们编译并实例化一个WebAssembly模块,并从Python中使用它: from wasmtime import Store , Module , Instance , Func , FuncType store = Store () module = Module ( store . engine , """ (module (func $hello (import "" "hello")) (func (export "run") (call $hello)) ) """
electronic-wasm-rust-example:最小的Electron + WebAssembly(WASM)+:crab:Rust示例
02-04
电子波生锈的例子 最小的Electron + WebAssembly(WASM)+ Rust示例。 此示例应用程序基于: 防锈设置 安装Rust 添加WASM目标, rustup target add wasm32-unknown-unknown 安装wasm-bindgen,与此版本相同, cargo install -f --version 0.2.47 wasm-bindgen-cli NPM设定 安装Node.js和NPM 克隆此存储库git clone git@github.com:anderejd/electron-wasm-rust-example.git 输入新
pywasm:一个用纯 Python 编写的 WebAssembly 解释器
05-30
pywasm:一个用纯 Python 编写的 WebAssembly 解释器。 用纯Python编写的WebAssembly解释器。 目前使用的 wasm 版本是: 。 就像 Firefox 或 Chrome 一样。 安装 $ pip3 install pywasm 一些简单的例子 首先我们需要一个 wasm 模块! 获取我们的./examples/fib.wasm文件并将副本保存在本地机器上的新目录中。 注意: fib.wasm是由从./examples/fib.c编译的。 现在,直接从底层源编译和实例化 WebAssembly 模块。 这是使用pywasm.load方法实现的。 import pywasm # pywasm.on_debug() runtime = pywasm . load ( './examples/fib.wasm' ) r = runtime . ex
wasm逆向——(极客大挑战2021wasm
weixin_52369224的博客
11-28 7070
WebAssembly是一种全新的Web编程语言,但是与JavaScript不同,它不是一种让你直接手动编写的语言,而是C / C ++,Rust,C#和TypeScript等不断增加的上层语言的编译目标。 wasm是基于堆栈的虚拟机的二进制指令格式 wabt包安装 尝试了gitclone的方法,一直没安装成功,尝试: sudo apt install wabt 我的环境:ubuntu20.4 WABT(我们将其称为“ wabbit”)是用于WebAssembly的一套工具,包括: wa.
python wasm_WASM逆向分析
weixin_39580042的博客
12-10 932
wasm是基于堆栈的虚拟机的二进制指令格式。在这次比赛中遇到,记录一下。IDA反编译插件食用方法:install the python module:python.exe setup.py installmanually install the WebAssembly file loader:mv loaders\wasm_loader.py %IDADIR%\loaders\wasm_loade...
JS逆向之wasm逆向(二)
weixin_44504978的博客
11-23 873
写完之后执行就拿到了sign方法 和其他几个我们需要执行的方法 o方法非常的简单 我这里怎么还原的 你们随便调试一下就知道了。这里下面就继续跟着我们咋天调试的步伐继续还原 还原b方法 b方法里面取值的一些方法就不一一调试了 里面的方法非常的简单。感兴趣的朋友去可以看看这个网站 里面有滑块 debugger 还有wasm 这些都值得去练习和玩玩的。这个网站我们后面可以继续讲他的debugger 和滑块和登录加密。上一篇我们把定位和原理讲得差不多了 现在讲这个我们怎么去调用他;下面是我们改写的代码。
WASM反编译,WASM逆向
小朱的专栏
03-15 1万+
/Users/bj/gitlab/Application/articleFetch/wabt/bin/wasm-decompile test.wasm -o test.o
python爬虫之wasm逆向 wasm逆向 超详细
m0_46631208的博客
11-18 5641
前言:wasm简介,在js逆向中,遇到wasm加密,wasm是通过字节码以二进制格式传输,由于模块的结构,可以通过浏览器并行编译,以便进一步加快速度。 一.问题: 在请求链接上,发现有签名,咋一看像个时间戳进行处理后的数据。 二.解决: 1.全局搜索sign(定位技巧),轻松找到sign,向上看使用$wasm进行加密。 2.在谷歌中可以看见wasm源码,在火狐中看到就是base64编码,解码后看到的是一串乱码。 谷歌查看: 火狐查看: 3.先把wasm文件...
网页中的JavaScript(js)和WebAssembly(wasm),在wasm里如何开线程
05-28
WebAssembly(wasm)中,由于其底层是基于字节码的虚拟机,它本身并不支持多线程,但是可以通过JavaScript来实现多线程的功能。具体来说,可以通过Web Worker API来在WebAssembly中开启多个线程。 Web Worker是一种可以在后台运行的JavaScript线程,它可以与其他线程并行工作。通过Web Worker API,我们可以在WebAssembly中创建一个Worker线程,将计算任务分配给Worker线程,从而实现多线程计算。 具体步骤如下: 1. 在主线程中创建一个Worker对象,并将WebAssembly模块传递给Worker线程; 2. 在Worker线程中接收WebAssembly模块,并将其实例化为一个WebAssembly实例; 3. 在Worker线程中定义一个函数,用于接收主线程传递过来的数据,进行计算,并将计算结果返回给主线程; 4. 在主线程中调用Worker线程的postMessage方法,将计算任务传递给Worker线程; 5. 在主线程中定义一个函数,用于接收Worker线程返回的计算结果。 需要注意的是,由于WebAssemblyJavaScript之间的数据传输需要使用TypedArray对象,因此需要保证主线程和Worker线程之间的数据传输类型一致。 下面是一个简单的例子,演示了如何在WebAssembly中开启一个Worker线程: ```javascript // 在主线程中创建一个Worker对象 const worker = new Worker('worker.js'); // 在Worker线程中接收WebAssembly模块,并将其实例化为一个WebAssembly实例 worker.postMessage({ type: 'init', wasmModule: wasmModule }); // 在主线程中调用Worker线程的postMessage方法,将计算任务传递给Worker线程 worker.postMessage({ type: 'calculate', data: data }); // 在主线程中定义一个函数,用于接收Worker线程返回的计算结果 worker.onmessage = function(event) { if (event.data.type === 'result') { // 处理计算结果 } }; ``` 在Worker线程中,我们需要监听message事件,接收主线程传递过来的消息,并根据消息类型进行相应的处理。下面是一个简单的Worker线程示例: ```javascript // 在Worker线程中接收WebAssembly模块,并将其实例化为一个WebAssembly实例 let wasmInstance; onmessage = function(event) { if (event.data.type === 'init') { wasmInstance = new WebAssembly.Instance(event.data.wasmModule); } if (event.data.type === 'calculate') { const data = event.data.data; // 在Worker线程中定义一个函数,用于接收主线程传递过来的数据,进行计算,并将计算结果返回给主线程 const result = wasmInstance.exports.calculate(data); postMessage({ type: 'result', result: result }); } }; ``` 在上面的示例中,我们在Worker线程中定义了一个名为calculate的函数,用于接收主线程传递过来的数据,进行计算,并将计算结果返回给主线程。在实际应用中,需要根据具体的业务逻辑来定义Worker线程中的函数。 需要注意的是,由于WebAssembly目前仍然处于发展阶段,它的多线程支持也在不断改进中,因此在实际应用中需要仔细评估多线程的使用场景和效果。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值