AST还原实战|使用AST还原猿人学第16题js混淆代码

最新推荐文章于 2024-05-03 11:08:18 发布
最新推荐文章于 2024-05-03 11:08:18 发布
阅读量1.7k 收藏 2
点赞数 1
文章标签: js javascript java python web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/123675843
版权

上周直播讲解了第16题混淆js的还原,本文再做个补充,方便星友们学习AST插件的编写技巧。

一.实战网址

https://match.yuanrenxue.com/match/16

二.加密参数分析

抓包,分析接口数据:

562ffe279e427b90395a47e23a265c6a.png

点击去,即可发现加密参数 m 及 t 赋值的地方:

d8526e9123ec8aeb0d417966146d0c67.png

在 r.m = n[e(528)](btoa, p_s) 这行代码打上断点,再次请求,断住后,控制台输入 btoa并回车,双击下面的代码,来到这里:

dc32dc2132d6e7cf0eaf6ba3434f98c4.png

代码往上翻,把整个 732 相关的代码抠下来,并保存到js文件中。

三.解混淆分析

代码扣下来格式化,看着有点像 ob 混淆,但与常规的还是有点区别,用我那个一键还原无法还原,不过没关系,见招拆招就好。

分析混淆文件,看到了这些函数调用:

439e6ac8d0e3fcd944fd49a04a9b2f1e.png

之前的文章也讲过,像这种 函数调用,其实参为字面量,大概率是可以进行还原的,因此我们先进行还原?

不慌,我们看看它的函数定义在哪里:

47e759156526e71a737c971436143bd6.png

可以看到,函数定义 l ,然后 l 又赋值给了e,看到这种情况,我们可以先将e替换成l,即还原重复定义的变量。

AST源代码如下:

//删除重复定义且未被改变初始值的变量
const deleteRepeatDefine = {
  "VariableDeclarator|FunctionDeclaration"(path)
  {
    let {node,scope,parentPath} = path;
    
    if (path.isFunctionDeclaration())
    {
      scope = parentPath.scope;
    }
    let name = node.id.name;
    const binding = scope.getBinding(name);
    if (path.isFunctionDeclaration())
    {
      if(!binding || binding.constantViolations.length > 1)
      {
        return;
      }
    }
    else
    {
      if(!binding || !binding.constant) return;
    }
    
    scope.traverse(scope.block,{
      VariableDeclarator(path)
      {
        let {node,scope} = path;
        let {id,init} = node;
        if (!types.isIdentifier(init,{name:name})) return;
        
        const binding = scope.getBinding(id.name);
        
        if (!binding || !binding.constant) return;
      
        scope.rename(id.name,name);
        path.remove();
      },
    })
    
    scope.crawl();     
  },
   
}

还原后效果如下:

6ddd3cfffcec2d6dc581880b13dd3cdf.png

这样,就把之前的那些不同的函数名全部变成 l了,方便我们进一步分析。

这个时候,我们把l的函数声明 及其环境依赖复制到还原的ast代码中,注意,这里需要进行代码压缩,因为进行格式化后运行,容易导致内存溢出。

PS:不用管ob混淆检测了什么,直接对其检测的代码进行格式万事大吉

压缩后的代码如下:

var r,o,a,s;_0x34e7=["AqLWq","0zyxwvutsr","TKgNw","eMnqD","thjIz","btoa","MNPQRSTWXY","oPsqh","niIlq","evetF","LVZVH","fYWEX","kmnprstwxy","aYkvo","tsrqpomnlk","HfLqY","aQCDK","lGBLj","test","3210zyxwvu","QWK2Fi",'return /" ',"hsJtK","jdwcO","SlFsj","OWUOc","LCaAn","[^ ]+)+)+[","FAVYf","2Fi+987654","floor","join","EuwBW","OXYrZ","charCodeAt","SkkHG","iYuJr","GwoYF","kPdGe","cVCcp","INQRH","INVALID_CH","charAt","push","apply","lalCJ","kTcRS",'+ this + "',"ykpOn","gLnjm","gmBaq","kukBH","dvEWE","SFKLi","^([^ ]+( +","qpomnlkjih","^ ]}","pHtmC","length","split","ABHICESQWK","FKByN","U987654321","lmHcG","dICfr","Szksx","Bgrij","iwnNJ","jihgfdecba","GfTek","gfdecbaZXY","constructo","QIoXW","jLRMs"],a=_0x34e7,s=function(e){for(;--e;)a.push(a.shift())},(o=(r={data:{key:"cookie",value:"timeout"},setCookie:function(e,o,t,r){r=r||{};for(var n=o+"="+t,i=0,u=e.length;i<u;i++){var a=e[i];n+="; "+a;var c=e[a];e.push(c),u=e.length,!0!==c&&(n+="="+c)}r.cookie=n},removeCookie:function(){return"dev"},getCookie:function(e,o){var t,r=(e=e||function(e){return e})(new RegExp("(?:^|; )"+o.replace(/([.$?*|{}()[]\/+^])/g,"$1")+"=([^;]*)"));return t=133,s(++t),r?decodeURIComponent(r[1]):void 0},updateCookie:function(){return new RegExp("\\w+ *\\(\\) *{\\w+ *['|\"].+['|\"];? *}").test(r.removeCookie.toString())}}).updateCookie())?o?r.getCookie(null,"counter"):r.removeCookie():r.setCookie(["*"],"counter",1);var l=function(e,o){return _0x34e7[e-=188]};

现在就可以愉快的进行 函数表达式的还原了,代码如下:

const callToLiteral = 
{
  CallExpression(path)
  {
    let {scope,node} = path;
    
    let {callee,arguments} = node;
    
    if (!types.isIdentifier(callee,{name:"l"}) ||
       arguments.length != 1 ||  !types.isNumericLiteral(arguments[0]))
    {
      return;
    }
    
    let arg = arguments[0].value;
    
    let value = l(arg);
    
    path.replaceWith(types.valueToNode(value));
    
    scope.crawl();


  },
}

运行上面的插件后,混淆代码变成了这样:

4686ed4948c16cab040a0f90b864757e.png

字面量全部还原了。

熟悉ob混淆的朋友都知道,在还原函数调用后,接下来就是还原object对象与控制流,这里发现控制流是for循环:

34894a4dfc89662a77bddb5e2448812a.png

而一般的 ob混淆都是while 混淆,因此想用我的一键还原,还需要把这里的控制流改一下,即for循环改为 符合ob混淆的while循环。

AST代码如下:

const obForToObWhile = 
{
  ForStatement(path)
  {
    let {scope,node} = path;
   
    let {init,test,update,body} = node;
    if (!types.isVariableDeclaration(init) ||
       test != null || update != null)
    {
      return;
    }
    path.insertBefore(init);
    
    let whileNode = types.WhileStatement(types.BooleanLiteral(true),body);
    
    path.replaceWith(whileNode);
    
    scope.crawl();
    
  }
}

这个插件运行后,就可以愉快的使用星球里的一键还原脚本了,还原结果如下:

93769878a3a4b03abfff562ec867d305.png

可以看到btoa函数定义在这里,在删除一些垃圾代码后,723 这个代码最终变成了这样:

var f = "U9876543210zyxwvutsrqpomnlkjihgfdecbaZXYWVUTSRQPONABHICESQWK2Fi+9876543210zyxwvutsrqpomnlkjihgfdecbaZXYWVUTSRQPONABHICESQWK2Fi";


function d(e) {
    e = e || 32;
    var l = "ABCDEFGHJKMNPQRSTWXYZabcdefhijkmnprstwxyz2345678";
    var s = l["length"];
    var c = "";


    for (i = 0; i < e; i++) {
        c += l["charAt"](Math["floor"](Math["random"]() * s));
    }


    return c;
}


function btoa(e) {
    if (/([^\u0000-\u00ff])/["test"](e)) {
        throw new Error("INVALID_CHARACTER_ERR");
    }


    for (var o, a, s, l = 0, c = []; l < e["length"]; ) {
        switch (a = e["charCodeAt"](l),
        s = l % 6) {
        case 0:
            delete window;
            delete document;
            c["push"](f["charAt"](a >> 2));
            break;


        case 1:


            c["push"](f["charAt"]((2 & o) << 3 | a >> 4));


            break;


        case 2:
            c["push"](f["charAt"]((15 & o) << 2 | a >> 6));
            c["push"](f["charAt"](a & 63));
            break;


        case 3:
            c["push"](f["charAt"](a >> 3));
            break;


        case 4:
            c["push"](f["charAt"]((o & 4) << 6 | a >> 6));
            break;


        case 5:
            c["push"](f["charAt"]((o & 15) << 4 | a >> 8));
            c["push"](f["charAt"](a & 63));
        }


        o = a;
        l++;
    }


    0 == s ? false || (c["push"](f["charAt"]((o & 3) << 4)),
    c["push"]("FM")) : s == 1 && (c["push"](f["charAt"]((15 & o) << 2)),
    c["push"]("K"));
    return d(15) + window["md5"](c["join"]("")) + d(10);
}
;

整个代码,就剩md5这个函数未定义了,因此在网站上把md5所在的代码也扣下来,按照上面的方式进行还原,也可以得到一个十分清爽的代码,再次不作重复讲解。

好了,文章就讲解到这里,不懂的随时群里问,反混淆后的代码我放在星球里了,需要的自取:

https://t.zsxq.com/BIEQbqZ

感谢阅读,再见!

悦来客栈的老板
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AST混淆js还原工具2.2(20230203)
02-03
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.反混淆后尽量接近源码的可读性 介绍 1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.修复已知bug,增加功能与兼容性
AST还原实战|某reese84参数混淆代码还原分析
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
07-28 1745
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1. 需求分析最近关于 reese84 参数的需求比较旺盛,主要是因为某个购票网站吧。目标网站:https://www.flyscoot.com/en抓包可以看到有一个混淆代码js:它由两个自执行函数组成,第二段混淆代码看变量名即可猜出是ob混淆,直接拿ob混淆...
AST混淆js还原工具2.0.zip
04-20
1.基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+, 2.对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。 3.对1.0版本已存在的错误进行修复 4.针对最新的https://obfuscator.io/混淆规则进行针对性处理 5.提升部分功能的兼容性 6.新增三元表达式转if-else功能,解决原版涉及的作用域问 目前可处理2022-4-20当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
AST混淆js还原工具.zip
09-23
基于丁仔大佬js还原工具进行的二次开发,增加功能多达10+,对丁仔大佬已开发的功能进行优化及修改,兼容更多可能,提升兼容性。目前可处理2021-9-23当前最新的https://obfuscator.io/中的混淆规则,是js逆向与爬虫工程师的应对js混淆的不二神器
JS混淆-AST还原案例
热门推荐
十一姐的博客
03-12 1万+
目录一、js混淆了解1、为什么要混淆?2、常见的混淆模样二、AST初步认识三、解混淆常用的方法 一、js混淆了解 1、为什么要混淆js混淆的作用:为了防止爬虫通过分析js内容,轻易的还原出网站的加密逻辑,而做出的安全防御手段之一,常常将一个逻辑简单的可能十几行算法代码思路,通过变量混淆替换、增加冗余无效代码、增加无限debugger反调试功能、增加多层的套娃式if~else代码、以及埋陷阱等混淆成几千行的js代码,给人第一印象难读,对入门分析者造成恐惧心理 如图,我们常见的ob混淆就是这个原理,左侧也
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码
Tips的博客
04-29 4943
什么是 AST AST(Abstract Syntax Tree),中文抽象语法树,简称语法树(Syntax Tree),是源代码的抽象语法结构的树状表现形式,树上的每个节点都表示源代码中的一种结构。语法树不是某一种编程语言独有的,JavaScriptPythonJava、Golang 等几乎所有编程语言都有语法树。 小时候我们得到一个玩具,总喜欢把玩具拆解成一个一个小零件,然后按照我们自己的想法,把零件重新组装起来,一个新玩具就诞生了。而 JavaScript 就像一台精妙运作的机器,通过 AST
如何用AST还原某音的JSVMP
sergiojune
03-01 4906
这个网站要找的是X-Bogus和_signature这两个参数的生成,如何去修复他们生成的这个jsvmp呢
AST还原实战|万能数组还原插件:让工具帮你节约时间
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
05-03 2273
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!昨天群友丢过来一个混淆js,问我怎么还原,下面是部分代码:通篇下来,都是这种数组调用,这种对我来说不要太简单,但是据他说,他是手动替换,足足需要花19个小时:像这种大的数组,其元素全部被替换了,不用ast,如果写正则也很简单,不过我还是选择了最简单粗...
转换ast的在线网站
梦Dancing的博客
05-27 1281
AST explorer
AST还原实战|某芯片网站中级混淆js还原思路分析
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
01-10 1724
✧✧本篇文章只用于学习交流,切勿用于商业用途,如果侵犯权益,请与作者联系,本人会在第一时间将其删除。✧✧一.js地址'aHR0cHM6Ly93d3cudGkuY29tLmNuL3JBUy...
AST混淆js还原工具2.3(20231219)
12-19
混淆工具主要实现的目的 1.尽量保证原来js文件的可执行性 2.反混淆后尽量接近源码的可读性 介绍 01 功能优化:删除if中的假分支,修改不兼容的部分 02 新增功能:对解密函数的二次封装,提取所有二次封装的函数名称...
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码.doc
07-08
逆向进阶,利用 AST 技术还原 JavaScript 混淆代码.doc
AST实战|手把手教你还原ob混淆:ob混淆代码特征
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-24 3338
ob混淆过的代码有那些特征?特征一:大数组 +移位自执行函数 +解密字符串函数。下面的代码是一个之前我在官网上混淆的一个例子:‍可以看到,大数组为变量_0x33fc,移位自执行函数...
AST实战|免安装一键还原ob混淆详细使用教程
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
04-09 3754
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.环境安装在nodejs官网下载最新稳定版并安装:下载地址:https://nodejs.org/en/安装成功后,在命令行模式输入 node,如果有版本号显示,则表示安装成功。二.下载项目项目地址:https://github.com/Tsaibo...
AST还原实战|猿人学第混淆代码还原详解
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
05-06 2033
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.实战地址https://match.yuanrenxue.com/match/2二.混淆js分析与还原上面的网站打开后,按下F12,停留在debugger位置,往上一层堆栈,可以看到混淆js,格式化,然后复制下来,从头看到尾,大致的阅读下js,寻...
爬虫 JavaScript 逆向进阶!利用 AST 技术还原混淆代码
静觅
05-08 3348
这是「进击的Coder」的第 617篇技术分享作者:K 小哥来源:K 哥爬虫“ 阅读本文大概需要 47分钟。 ”目录文章较长,可作为 AST Babel 入门手册,强烈建议收藏!什么是 ASTAST(Abstract Syntax Tree),中文抽象语法树,简称语法树(Syntax Tree),是源代码的抽象语法结构的树状表现形式,树上的每个节点都表示源代码中的一种...
AST基础知识|Scope和Binding常用方法及属性总结
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-16 1354
.....在本文中,选出部分常用的属性和方法供大家参考,更多的知识请自行学习源码。表示当前作用域下的所有node,参考上面的 this.block = node;输出当前每个变量的作用域信息。调用后直接打印,不需要加打印函数重构scope,在某种情况下会报错,不过还是建议在每一个插件的最后一行加上。修改当前作用域下的的指定的变量名,oldname、newname表示替换前后的变量名,为字符串。
AST还原实战|小妙招,使用AST来格式化JSON数据
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
02-13 807
关注它,不迷路。 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1. 需求分析假如你有一些被压缩了的JSON数据,而找不到好的网站来进行格式化,不妨使用babel库的格式化功能来进行展开。2. 前后比对还原前:{"status": "1", "state": "success", "data": [{"value": 2366...
vue快速入门(五十)重定向
最新发布
不起眼小菜菜的博客
05-03 324
注释很详细,直接上代码……
AST 混淆还原入门
09-03
AST混淆还原是指通过对JavaScript代码的抽象语法树(AST)进行还原,来反混淆经过混淆处理的代码AST混淆还原入门可以通过以下几个步骤实现: 1. 了解抽象语法树(AST):抽象语法树是用于表示代码结构的一种数据结构。它将代码转换为树状结构,每个节点代表代码的不同部分。了解AST的基本概念和节点类型对于进行混淆还原非常重要。 2. 学习JavaScript语法:要进行AST混淆还原,需要对JavaScript的语法有一定的了解。熟悉JavaScript的语法规则和常见的代码结构将有助于理解和还原混淆代码。 3. 使用AST还原工具:在进行AST混淆还原时,可以使用一些开源的AST还原工具,如丁仔大佬的AST还原工具。这些工具可以将混淆后的代码转换为AST,然后通过对AST进行分析和还原,最终得到可读性较高的代码。 4. 学习AST还原技术:了解AST还原的原理和技术对于深入理解和应用AST还原工具非常重要。可以学习一些AST还原的基本技术,如遍历AST、修改AST节点等,以及一些高级的AST还原技术,如模式匹配、符号执行等。 5. 实践与练习:通过实践与练习,逐渐提升对AST混淆还原的理解和技巧。可以选择一些混淆代码进行还原,尝试使用AST还原工具进行还原,并对还原结果进行分析和验证。 需要注意的是,AST混淆还原是一个复杂的过程,对于不同的混淆代码可能会有不同的还原策略和技术。因此,除了入门的基础知识外,还需要不断学习和积累经验,才能在实际应用中取得更好的效果。<span class="em">1</span> #### 引用[.reference_title] - *1* [AST混淆js还原工具2.2(20230203)](https://download.csdn.net/download/jia666666/87413335)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值