AST反混淆实战:猿人学爬虫比赛第二题详细题解

最新推荐文章于 2024-06-17 16:59:28 发布
最新推荐文章于 2024-06-17 16:59:28 发布
阅读量2.6k 收藏 8
点赞数 2
文章标签: python js javascript java nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/109507934
版权

缘起

应星友要求,写下此文,哎,有钱能使鬼推磨。

实战地址:

http://match.yuanrenxue.com/match/2

抓包分析

由于谷歌浏览器某些请求不会显示,建议使用火狐浏览器来抓包分析。

这是一个典型的cookie反爬,最后一个红框处是数据接口。如果不看题目,有经验的人一眼就能看出来。

第一次请求,返回的是一段js代码:

第二次请求的是同一地址,这时候带上了cookie:

根据经验,第二次请求的cookie,肯定是第一次请求计算的,因为第一次请求结果中并没有直接设置cookie。

注意记录此时的 cookie 值:

m : "9c8b2ba4362ff5a7023d8db7041dcd04|1603517539000"

|后面明显是个时间戳

AST化简代码,静态分析

将第一次请求的js代码保存为encode.js,去掉 script标签。

保存后,使用一键解ob混淆工具还原代码,命令:

node decode_obfuscator.js encode.js

打开保存后的结果 decode_result.js,代码很短,一下就看到了 cookie设置的地方:

是在 _0x721154 这个函数里设置的,后面直接就调用了,实参是 函数 _0x5015e3 ,它的返回值是一个 时间戳,也就是 |后面的值

把 _0x721154 这个函数改造一下,去掉DOM相关的操作,让它直接返回结果:

function _0x721154(_0x1243f6, _0x167ea5) {
    return "m" + _0x3445fe() + "=" + _0x531a93(_0x1243f6) + "|" + _0x1243f6 + "; path=/";
  }

现在实参明确了,返回结果也明确了,先来看 _0x3445fe 这个函数

去除垃圾代码

_0x3445fe 这个函数 定义如下:

function _0x3445fe(_0x22e65, _0x533ac1) {
    var _0x537cb8 = 0;


    var _0x385b2c = _0x2d77f8(this, function () {
      var _0x245ea0 = function () {
        var _0x56862a = _0x245ea0["constructor"]("return /\" + this + \"/")()["compile"]("^([^ ]+( +[^ ]+)+)+[^ ]}");


        return !_0x56862a["test"](_0x385b2c);
      };


      return _0x245ea0();
    });


    _0x385b2c();


    _0x449be1();


    qz = [10, 99, 111, 110, 115, 111, 108, 101, 32, 61, 32, 110, 101, 119, 32, 79, 98, 106, 101, 99, 116, 40, 41, 10, 99, 111, 110, 115, 111, 108, 101, 46, 108, 111, 103, 32, 61, 32, 102, 117, 110, 99, 116, 105, 111, 110, 32, 40, 115, 41, 32, 123, 10, 32, 32, 32, 32, 119, 104, 105, 108, 101, 32, 40, 49, 41, 123, 10, 32, 32, 32, 32, 32, 32, 32, 32, 102, 111, 114, 40, 105, 61, 48, 59, 105, 60, 49, 49, 48, 48, 48, 48, 48, 59, 105, 43, 43, 41, 123, 10, 32, 32, 32, 32, 32, 32, 32, 32, 104, 105, 115, 116, 111, 114, 121, 46, 112, 117, 115, 104, 83, 116, 97, 116, 101, 40, 48, 44, 48, 44, 105, 41, 10, 32, 32, 32, 32, 32, 32, 32, 32, 32, 32, 32, 32, 125, 10, 32, 32, 32, 32, 125, 10, 10, 125, 10, 99, 111, 110, 115, 111, 108, 101, 46, 116, 111, 83, 116, 114, 105, 110, 103, 32, 61, 32, 39, 91, 111, 98, 106, 101, 99, 116, 32, 79, 98, 106, 101, 99, 116, 93, 39, 10, 99, 111, 110, 115, 111, 108, 101, 46, 108, 111, 103, 46, 116, 111, 83, 116, 114, 105, 110, 103, 32, 61, 32, 39, 402, 32, 116, 111, 83, 116, 114, 105, 110, 103, 40, 41, 32, 123, 32, 91, 110, 97, 116, 105, 118, 101, 32, 99, 111, 100, 101, 93, 32, 125, 39, 10];
    eval(_0x19be63(qz));


    try {
      if (global) {
        console["log"]("\u4EBA\u751F\u82E6\u77ED\uFF0C\u4F55\u5FC5python\uFF1F");
      } else {
        while (1) {
          console["log"]("\u4EBA\u751F\u82E6\u77ED\uFF0C\u4F55\u5FC5python\uFF1F");
          debugger;
        }
      }
    } catch (_0x1d08b1) {
      return navigator["vendorSub"];
    }
  }

来看 _0x385b2c 这个函数:

var _0x385b2c = _0x2d77f8(this, function () {
      var _0x245ea0 = function () {
        var _0x56862a = _0x245ea0["constructor"]("return /\" + this + \"/")()["compile"]("^([^ ]+( +[^ ]+)+)+[^ ]}");


        return !_0x56862a["test"](_0x385b2c);
      };


      return _0x245ea0();
    });


    _0x385b2c();

这个函数在声明之后马上就执行了,没有实参,虽然有返回值,但是并没有赋值给其他变量。 再看函数体,没有对任何全局变量进行操作,因此,可以直接进行删除!

按照这个思路,后面的 _0x449be1(); 调用同样可以删除,没啥用。

再看 try语句:

    try {
      if (global) {
        console["log"]("\u4EBA\u751F\u82E6\u77ED\uFF0C\u4F55\u5FC5python\uFF1F");
      } else {
        while (1) {
          console["log"]("\u4EBA\u751F\u82E6\u77ED\uFF0C\u4F55\u5FC5python\uFF1F");
          debugger;
        }
      }
    } catch (_0x1d08b1) {
      return navigator["vendorSub"];
    }

浏览器环境没有 global 这个对象,那就会执行 catch语句,返回了:

navigator["vendorSub"]

这个值,直接在控制台运行得出它是一个空值。因此,直接替换成这样就好:

return "";

这样就清爽多了:

function _0x3445fe(_0x22e65, _0x533ac1) {
    var _0x537cb8 = 0;
    qz = [10, 99, 111, 110, 115, 111, 108, 101, 32, 61, 32, 110, 101, 119, 32, 79, 98, 106, 101, 99, 116, 40, 41, 10, 99, 111, 110, 115, 111, 108, 101, 46, 108, 111, 103, 32, 61, 32, 102, 117, 110, 99, 116, 105, 111, 110, 32, 40, 115, 41, 32, 123, 10, 32, 32, 32, 32, 119, 104, 105, 108, 101, 32, 40, 49, 41, 123, 10, 32, 32, 32, 32, 32, 32, 32, 32, 102, 111, 114, 40, 105, 61, 48, 59, 105, 60, 49, 49, 48, 48, 48, 48, 48, 59, 105, 43, 43, 41, 123, 10, 32, 32, 32, 32, 32, 32, 32, 32, 104, 105, 115, 116, 111, 114, 121, 46, 112, 117, 115, 104, 83, 116, 97, 116, 101, 40, 48, 44, 48, 44, 105, 41, 10, 32, 32, 32, 32, 32, 32, 32, 32, 32, 32, 32, 32, 125, 10, 32, 32, 32, 32, 125, 10, 10, 125, 10, 99, 111, 110, 115, 111, 108, 101, 46, 116, 111, 83, 116, 114, 105, 110, 103, 32, 61, 32, 39, 91, 111, 98, 106, 101, 99, 116, 32, 79, 98, 106, 101, 99, 116, 93, 39, 10, 99, 111, 110, 115, 111, 108, 101, 46, 108, 111, 103, 46, 116, 111, 83, 116, 114, 105, 110, 103, 32, 61, 32, 39, 402, 32, 116, 111, 83, 116, 114, 105, 110, 103, 40, 41, 32, 123, 32, 91, 110, 97, 116, 105, 118, 101, 32, 99, 111, 100, 101, 93, 32, 125, 39, 10];
    eval(_0x19be63(qz));
    
    return "";
  }

这个函数后面是一个 定时器语句,因为后面有调用 _0x3445fe 这个函数,因此这行调用也可以删除:

setInterval(_0x3445fe(), 500);

定你妹呀!

运行得到结果

好了,经过上面的操作,似乎可以运行了。注意加打印并传入实参,方便比对结果:

console.log(_0x721154("1603517539000"));

将上面的代码添加到自执行函数的最好一行,运行报错:

报错位置在 _0x3445fe 函数的 下面代码处:

eval(_0x19be63(qz));

有个history,估计也是dom相关的,先屏蔽掉,再运行:

不报错了,比对之前的cookie值,一模一样。

这就出结果了,简直不要太简单。完!

悦来客栈的老板
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
电工题解第二章 正弦交流电路.doc
11-26
电工题解第二章 正弦交流...本资源摘要信息涵盖了电工题解第二章正弦交流电路的主要知识点,旨在帮助读者深入理解正弦交流电路的基本概念、基本定律和基本分析方法,并能够应用这些知识点来分析和解决实际问
电工题解:第七章 半导体器件修改.doc
11-26
【电工题解:第七章半导体器件修】的文档涵盖了半导体器件的基础知识,特别是关于PN结、二极管、稳压管、三极管以及场效应管的介绍。以下是这些知识点的详细说明: 1. **PN结与二极管**: - PN结是由P型半导体和...
猿人第二
m0_62945506的博客
12-28 602
打开f12进入浏览器控制台,发现进入了无限debuger,那么直接在控制台中输入Function.prototype.constructor = function(){}回车,解决无限debuger。通过fd抓包发现他是进行了两次请求,先返回的是一对script的标签定义的js代码,第二次返回的才是正常的html代码。网络上搜索了一下这是ob混淆,直接用他自带的ob混淆工具,下图为script包含的部分js代码格式化的样子。那剩下的就是直接看每个函数都在干什么就可以啦,
猿人第一详细
weixin_44492045的博客
07-17 352
猿人第一题解思路及代码
AST混淆实战|手把手教你彻底还原PX3混淆代码(三)
最新发布
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
06-17 428
关注它,不迷路。 本文章中所有内容仅供习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1.继续分析之前写了下面的两篇文章:AST混淆实战|手把手教你彻底还原PX3混淆代码(一)AST混淆实战|手把手教你彻底还原PX3混淆代码(二)这两步处理之后,类atob函数的还原告一段落了,然后,依然还很多引用的位置没有还原,如:这里的u函数就是类atob函...
python如何解决js逆向混淆?
naer_chongya的博客
05-30 1769
JavaScript混淆是一种保护网站安全的技术,混淆可将代码进行多种变形和加密,使得 JavaScript 代码变得难以阅读和理解。但是,通过 Python 脚本、正则表达式、AST 分析和 JavaScript Beautifier,我们可以为大多数混淆技术找到解决方案,并使代码更易于阅读和理解。在这样的情况下,解密 JavaScript 代码需要更高级的技术和更深入的理解。最后,我们返回格式化后的代码。基于 AST混淆混淆器可以分析代码抽象语法树,并使用各种技术来重构代码,使其难以理解和修改。
AST混淆js代码——猿人竞赛第二
Huangqingmeng的博客
06-12 1161
猿人js比赛第二还原分析
AST混淆实战:obfuscator解混淆四步走
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-11 4100
第一步处理CallExpression下图是某个被obfuscator工具混淆了的代码部分截图:这里有很多的CallExpression,诸如:_0x552e53('3$kU...
猿人爬虫比赛题解.zip
10-01
【标】:“猿人爬虫比赛题解.zip”是一个包含比赛项目源代码的压缩文件,专门用于解析和解决爬虫比赛中的问。这个压缩包很可能是为了帮助参赛者理解比赛要求、提供基础代码框架或者展示优秀的解决方案。通过...
电工题解:第八章 交流放大电路.doc
11-26
【电工题解:第八章 交流放大电路】 交流放大电路是电子技术中核心的一环,主要用于放大交流信号。在本章中,我们将探讨以下几个重要知识点: 1. **交流放大电路的基本构成**: - 偏置形式:确定三极管的工作...
电工题解:第三章 三相交流电路.doc
11-28
《电工题解:第三章 三相交流电路》 三相交流电路是电力系统的基础,广泛应用于工业、商业和家庭用电。本章主要探讨了对称三相电源的特性和三相负载的不同连接方式,以及相关的功率计算。 对称三相电源由三个...
猿人js逆向第二补环境js
05-21
猿人js逆向第二完整补环境js文件
爬虫 JavaScript 逆向进阶!利用 AST 技术还原混淆代码
静觅
05-08 3537
这是「进击的Coder」的第 617篇技术分享作者:K 小哥来源:K 哥爬虫“ 阅读本文大概需要 47分钟。 ”目录文章较长,可作为 AST Babel 入门手册,强烈建议收藏!什么是 ASTAST(Abstract Syntax Tree),中文抽象语法树,简称语法树(Syntax Tree),是源代码的抽象语法结构的树状表现形式,树上的每个节点都表示源代码中的一种...
Python爬虫从入门到精通:(45)JS逆向:空中网逆向分析:js混淆_Python涛哥
tao5090694的博客
11-12 4157
我们来看下空中网的逆向分析 js逆向分析 抓包后,经过分析,我们看到password在一个login-handler xxx.js文件中 我们点进去搜索password: 但我们看到,password在一段很长的文本中。 这里就涉及到了js混淆js混淆: 什么是js混淆: 将js核心的相关代码进行变相的加密,加密后的数据就是js混淆之后的结果。 js混淆混淆的线上工具(不理想) 浏览器自带的混淆工具设置(推荐) 开发者工具中的Sourse -> settings -&gt
Python操作ASTJS混淆
李玺
10-24 4743
通过生成语法树(AST),可快速修改代码中的一些混淆处理,从而简化代码,便于后续分析。
python爬虫正则表达式
qq_59931372的博客
02-04 2409
还不会正则表达式?博主带你会正则表达式,以及正则表达式在爬虫中的实战
AST混淆实战:4行代码解决obfuscator解密函数复赋值问
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
12-09 3577
前天打了个 安卓逆向+ JavaScript 逆向组合课的广告,今天写在原创的东西,以飨读者。更新了obfuscator 混淆工具更新了,地址https://obfuscator....
python代码混淆加密
好好学习,天天向上
11-24 3527
混淆 为了增加代码阅读的难度, 源代码的混淆非常必要, 一个在线的Python代码混淆网站. http://pyob.oxyry.com/ 代码混淆库 pyobfuscate 不支持python3 python2 pyobfuscate.py malicious.py > malicious_obfuscated.py 利用 AST 混淆源码 AST,即抽象语法树,它可以将源代码以树状结构表示。Python 内置了 ast 模块,该模块通过内置函数 compile() 和 parse() 将 P
python爬虫处理js混淆加密_Python爬虫进阶 | Js混淆总结
weixin_39599046的博客
11-25 445
eval把一段字符串当做js代码去执行eval(function(){alert(100);return 200})()例子: 漫画柜,空中网变量名混淆把变量名、函数名、参数名等,替换成没有语义,看着又很像的名字。_0x21dd83、_0x21dd84、_0x21dd85用十六进制文本去表示一个字符串\x56\x49\x12\x23利用JS能识别的编码来做混淆JS是Unicode编码,本身就能识别...
"电工题解:第三章 三相交流电路中的基本要求与计算方法
电工题解:第三章 三相交流电路 第三章中介绍了三相交流电路的基本要求和基本内容,重点包括对称三相电源及其相电压、线电压的表示方法,三相负载星形接法电路的计算,三相负载三角形接法电路的计算,以及三相...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值