xhsvmp分析1-vmp入口定位方法

最新推荐文章于 2024-07-16 15:20:16 发布
最新推荐文章于 2024-07-16 15:20:16 发布
阅读量342 收藏 1
点赞数 6
文章标签: javascript 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lei00773/article/details/136271420
版权

最近观看了志远大佬关于某书vmp思路分析的公开课,感觉有了新的思路,特此进行整理,这一篇重点记录参数入口方法定位的思路,望懂行的大佬轻喷。

网址:aHR0cHM6Ly93d3cueGlhb2hvbmdzaHUuY29tL2V4cGxvcmU=
接口:aHR0cHM6Ly9lZGl0aC54aWFvaG9uZ3NodS5jb20vYXBpL3JlZGNhcHRjaGEvdjIvZ2V0Y29uZmln

思路一:志远大佬视频中的方法(比较通用且快速的方法,推荐:⭐⭐⭐⭐⭐)

1. 通过查看x-s参数可以发现XYW_之后的内容为base64加密数据,使用atob方法进行节能能得到一个json字符串内容
2. 查看内容发现内部包含payload项,因x-s为json字符串经base64加密而来,可以判断必定使用JSON.stringify方法进行对象转字符串操作,
   此处可以对JSON.stringify方法进行hook获取参数生成位置
3. hook方法如下
4. 有了hook方法,接下来需要定位何时hook,那么肯定需要定位何时下hook
直接搜索"/api/redcaptcha/v2/getconfig",发现在vendor-dynamic.cc05cd1.js内定义了变量
     redConfig = "/api/redcaptcha/v2/getconfig",继续搜索redConfig,发现只有一处用到该变量,在方法
     function verifyInit_ConfigHttp() {
            var t;
            return browser.ZP.http.post(concat_default()(t = "".concat(getRedHost())).call(t, redConfig), {}, {
                withCredentials: !0,
                transform: !1
            })
        }
     内,此处直接在return出下断点,然后进行hook即可
5. hook后通过跟栈信息可以发现参数生成入口在vendor-dynamic.cc05cd1.js内
   l = (a && void 0 !== window._webmsxyw ? window._webmsxyw : encrypt_sign)(s, i) || {};
                e.headers["X-t"] = l["X-t"],
                e.headers["X-s"] = l["X-s"]
   位置,即l包括了生成的x-s,x-t参数,最后跟栈可发现在window._webmsxyw方法内,而window._webmsxyw方法在6e0d0a976c31ec4cf07d8dfaea68aefe79a8c678.js文件内,通过查看该js文件可以发现为一个jsvmp流程

JSON.stringify_ = JSON.stringify;
JSON.stringify = function () {
  if (arguments[0]&&arguments[0]['payload']) {
      debugger
  }
  let temp = JSON.stringify_.apply(this,arguments)
  return temp
  
}

思路二:比较取巧的思路(不一定通用,推荐:⭐⭐⭐)

直接全局搜索X-s可以找到几个关键位置,全部在vendor-dynamic.cc05cd1.js文件内,全部下断点,刷新页面可在
l = (a && void 0 !== window._webmsxyw ? window._webmsxyw : encrypt_sign)(s, i) || {};
处成功断住程序,表示此处即为x-s生成参数入口位置

思路三:硬刚的思路(一定能找到,但是效率较低,推荐:⭐⭐⭐⭐)

通过观察栈,以及跟栈打断点的方式可以定位带关键位置在vendor-dynamic.cc05cd1.js文件内的u内的fulfilled方法内,关键代码如下,
此处e内包含了headers信息,并且携带了X-s数据,而上一步为被循环调用的方法,t(e, i, o);
由此可以断定,X-s一定在循环执行的t方法内生成,而t为传入参数,直接监控e可发现第五次调用的时候会生成X-s参数,
因此单步执行此处断点,能进入到方法signAdaptor内,最后会跳如xsXt方法,观察可知关键函数仍为window._webmsxyw

u = {
    fulfilled: function (e) {
        e !== o && (0,
            S.ZK)("[Http Warning] config reference has been changed during dispatch interceptor");
        var r = t(e);
        if (!r || !r.then)
            throw new Error("[Http Exception] send must return a promise object");
        return r
    }
};
        
p = function(t) {
                return function(e) {
                    return t ? t(e, i, o) : e
                }
            };

function signAdaptor(t, e) {
            return signAdaptor_awaiter(this, void 0, void 0, (function() {
                return signAdaptor_generator(this, (function(r) {
                    return xsXt(t, e),
                    xsCommon(t, e),
                    [2, e]
                }
                ))
            }
            ))
        };

function xsXt(t, e) {
            var r = e.url
              , n = e.params
              , o = e.paramsSerializer
              , i = e.data
              , a = t.configInit
              , u = t.xsIgnore
              , c = t.autoReload;
            if (!(!some_default()(u).call(u, (function(t) {
                return index_of_default()(r).call(r, t) >= 0
            }
            )) && shouldSign(r)))
                return e;
            c && signLackReload();
            try {
                var s = getRealUrl(r, n, o)
                  , l = (a && void 0 !== window._webmsxyw ? window._webmsxyw : encrypt_sign)(s, i) || {};
                e.headers["X-t"] = l["X-t"],
                e.headers["X-s"] = l["X-s"]
            } catch (f) {}
            return e
        };

视频连接:

https://www.bilibili.com/video/BV1DA4m137ua/?vd_source=ef8c870f1871754d3268729bd72f9086#reply209530914496

下一篇会整理视频中插桩的思路

宿命齿轮
关注
webmsxyw x-s分析
李玺
05-21 3898
通过webmsxywx生成的x-s分析
[2024.3.28]xhs旋转验证码的图片解码hook思路分享
weixin_45161860的博客
03-28 922
【代码】[2024.3.28]xhs旋转验证码的图片解码hook思路分享。
xs _webmsxyw 纯算法还原盗用代码请注明出处搬来搬去真的很下头!
weixin_39010615的博客
05-22 3702
webmsxyw xs x-s
x-s、x-t、x-s-common、x-b3-traceid 签名算法分析记录(2024/8/28)
小鱼神1024的博客
06-19 4885
我们在请求header中发现,有很多请求都带有`x-s`、`x-t`、`x-s-common`、`x-b3-traceid`这四个参数的值是动态变化的,所以我们猜测这四个参数应该是加密参数。
【2023-06-05】最新x-s(window._webmsxyw)
热门推荐
骑毛驴的猴的博客
08-18 1万+
小红书接口x-s,x-t参数解析
jsvmp逆向实战x-s、x-t算法还原
jerry3747的博客
05-26 7364
jsvmp就是将js源代码首先编译为自定义的字节码,只有对应的解释器才能执行这种字节码,这是一种前端代码虚拟化保护技术。整体架构流程是服务器端通过对JavaScript代码词法分析 -> 语法分析 -> 语法树->生成AST->生成私有指令->生成对应私有解释器,将私有指令加密与私有解释器发送给浏览器,就开始一边解释,一边执行。这些都不重要,只要知道有这么个技术就行了。
新版某书X-s,X-t签名算法研究2023-5-16
byc6352的专栏
05-16 1214
新版某书X-s,X-t签名算法研究,反爬策略,教学指导,javaScript算法 2023-5-16
被动MIMO雷达网络的混合BP-VMP-EP定位算法。
03-06
通过以上知识点,我们可以看出混合BP-VMP-EP算法结合了多种信号处理和统计推断方法,旨在改进传统的两步定位方法,提高目标定位的准确性和效率。同时,该算法在确保较高定位精度的同时,还考虑到了实际应用中对通信...
M45PE80-VMP6G的技术参数
12-11
产品型号:M45PE80-VMP6G位密度:8M结构:×8扇区(BYTE):65536页(BYTE):256接口:SPI工作电压(V):2.7~3.6静态电流(uA):50时钟速率:25MHz页写/扇区擦除周期(ms):1.2/10擦写寿命(次):100000数据保存时间(年):20封装/温度...
易语言-VMP保护程序 dll exe合成一个程序
06-25
5. **反调试与反静态分析**:为了防止逆向工程师使用调试器或静态分析工具,VMP保护会加入各种反调试和反静态分析的机制,例如检测调试器的存在,改变指令执行流程,或者使用自定义的加密算法保护关键数据。...
broker-VMP-GA:动态云应用代理的遗传算法
05-02
【broker-VMP-GA:动态云应用代理的遗传算法】是一个基于Java的项目,它在Eclipse Juno IDE环境下开发,使用的是Java jdk 1.6.21版本。这个项目的核心目标是通过遗传算法(Genetic Algorithm,GA)来优化云应用代理的...
【某书】新版x-s纯算法,纯分享
weixin_42934880的博客
05-25 1961
试了下cookie只要a1和web_session就行了,a1就是上面的x3,写死也行。看着一些固定值陷入了沉思,试着查了一下,发现是一个。新版x-s,x-t加密,XYW_后面那段是base64,处理下得到。x1=get直接md5(url的路径部分),post就再拼接参数。的加密,就直接捞js源码咯,魔改了一下就成功了(●’◡’●)!那么找payload的加密就行了。x3=可以写成undefined。ps:sign还是可以用的目前。
jsvmp某书x-s算法分析还原
m0_38098782的博客
05-15 1700
分析推到过程大部分靠着经验而言,需要对常见的加密算法有所了解,根据算法的特征识别可以节约大量的时间。合适的插桩位置,可以事半功倍
小红书逆向案例之补环境
yumo_henxun的博客
06-17 2023
因为源代码载荷的JSON格式 **“content-type”**是可以读取到的,但是如果我们用是Python的json序列化的dumps格式是会报错,有些网站可能做了识别机制。需要添加一下 delete global ,原因是有些网站会分析global这个单词有没有生效 global is not defined, 他们会加一个if判断,因为我们用的环境是node提供的global,如果判断正常他们会返回一些假的数据源,如果判断报错那就返回真的数据。所以需要把不必要的符号之类改成相对于的就好。
x-s参数逆向
bboysteed的博客
06-23 1666
x-s参数加密分析
某局jsvmp算法分析(一.寻找调用方法
m0_75266682的博客
03-19 1389
就在断点的那一刻,我们看到了,参数已经如同星辰般在内存的宇宙中排列成型,此时,是时候追溯旅程,沿着栈的踪迹向前探寻。下图(2.3.1)这一发现如同星辰般闪耀,它证明了一个真理:那个参数,她确实就在这片独特的作用域里,静静等候着我,就像是宝藏的守护者,只向真正的勇者展露身姿。在已知当前算法难度较大,且藏在jsvmp中的前提下,就让我们以探索的名义,承载着知识的火焰,在这熠熠生辉的技术领域中,勇敢前行。现在,就让我们在代码的海洋中,迎着晨曦的光芒,单步向前,深入其中,直到揭开最终的秘密。下图(2.1.2)。
XHS X-s(XS)纯算逆向
最新发布
2401_86344989的博客
07-16 1358
XHS xs纯算逆向
xhs shield分析-MD5篇
weixin_42545308的博客
12-17 2521
案例:小H书,版本:6.90.0 本文主要讲述了小H书的shield算法的分析过程,以及用py复原算法时所遇到的坑。关于调试方面,frida足以,虽然麻烦了点。如果能用ida调试就最好,不过他的反调试我没有过多的研究,就没有走ida动态调试这条路。看到还有很多大佬用unidbg的,这个工具我还没有做过多的了解。因为看到了一个改内核可以绕过所有反调试的,之前尝到了ida动态调试的甜头,所以打算试试这一招。话不多说,开始分析。 复原shield,两个native函数,initialize、intercept是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值