【24-09-02】 小H书X-s算法还原

最新推荐文章于 2024-09-14 17:27:40 发布
最新推荐文章于 2024-09-14 17:27:40 发布
阅读量642 收藏 9
点赞数 25
文章标签: 前端 python 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40360069/article/details/141873319
版权

【摸鱼–1】小H书X-s算法还原

摸鱼还原xhs X-s算法,之前核心是3des据说更新之后换到了AES算法。本文介绍一种取巧获取AES密钥的方法。

补环境实现

个人习惯使用nodejs配合chrome devtools调试,所以先简单的补充一下环境。xhs补充环境的文章很多随意找一个粘贴Proxy稍微补充一下环境,能跑出和浏览器抓包类似的结果就行。

简单总结补充的环境如下:

  1. window:[window, sdt_source_init, external]
  2. document: [createelement, documentElement, cookie, querySelectorAll]
  3. navigator: [appCodeName, appName, platform, userAgent, webdriver, cookieEnabled]
  4. localStorage: [getItem]
  5. location: [host]

大概就是上面这些简单的环境,然后运行:
在这里插入图片描述
如上图能大概得到差不多结果即可。

算法分析

因为去年分析过3des算法,所以这里省略前面输入参数计算md5以及拼接x1,x2,x3,x4等等,直接介绍取巧获取aes加密密钥的方式。

  1. 从上面补环境的脚本开始单步调试寻找有助于分析的日志断点,这里只是粗略查找了一个地方,凑合分析,如果有更精确到运算步骤的位置欢迎评论。
    在这里插入图片描述
    这里选择这个位置对o1 和 o2 进行输出,虽然缺少中间过程,但是可以看出部分逻辑,例如前面md5以及最后base64的踪迹,最关键的是可以看到aes加密过程中10轮运行的规律和iv计算的过程这部分和X音X-Argus AES部分只能说是一模一样。
  2. 取巧的方案则是实用dfa的方式得到第10轮轮钥,通过工具aesschedule还原每一轮的密钥,第一轮密钥则是初始密钥,此方法多用于白盒AES分析。
  3. 通过日志信息在代码中添加判断进入第9轮结果,接着每次随机修改第9轮结果一个字节收集数据,使用phoenixAES计算第10轮密钥。没修改一个字节应该会造成最后结果发生4字节变化,详细细节网上案例很多。
    在这里插入图片描述
  4. aes每组计算数据16字节,所以将第9轮结果挨个修改一个字节后就可以了,之所以可以这样做,是因为第一组数据是x1=md5Result,只要不修改输入数据那么aes第一组输入就是固定的,日志中一共计算了10轮也可以确定密钥的长度,并且输入数据也有和iv异或,可以确定算法是AES-128-CBC,但是初始向量是随每一组结果变化的。

测试

拿到密钥之后基本上所有算法就都明确了,写个python脚本随便测试一个接口。
在这里插入图片描述

总结

还是需要定位到能够输出计算的细节,本文使用dfa过于取巧,不具有普遍性。欢迎大佬评论能看到计算过程的断点位置。

qq_40360069
关注
某红x-s、x-s-common参数分析与纯算法还原(2024-9-1更新)
吴秋霖的博客
11-14 1万+
xhs参数研究与分析(仅供学习参考)
EIGamal加密-签名算法.pdf
07-10
3. 计算s = h^y = (g^x)^y = g^(x*y)。 4. 加密消息m为c2 = m * sc1,c1和c2构成加密结果。 **解密过程** 1. 接收者使用私钥x计算s的逆s^-1。 2. 解密为m = (c2 * s^-1) / c1,通过群运算还原出原始消息m。 **...
最新h5st4.7.4参数逆向分析与纯算法还原(含JS算法源码)
吴秋霖的博客
06-02 3411
最新h5st(4.7.4小版本)参数分析与纯算法更新还原
jsvmp逆向实战x-s、x-t算法还原
jerry3747的博客
05-26 7358
jsvmp就是将js源代码首先编译为自定义的字节码,只有对应的解释器才能执行这种字节码,这是一种前端代码虚拟化保护技术。整体架构流程是服务器端通过对JavaScript代码词法分析 -> 语法分析 -> 语法树->生成AST->生成私有指令->生成对应私有解释器,将私有指令加密与私有解释器发送给浏览器,就开始一边解释,一边执行。这些都不重要,只要知道有这么个技术就行了。
grub4dos-V0.4.6a-2017-02-04更新
03-05
2014-09-02(yaya) 1.ext4 分区支持 64 位功能,支持元块组。 2.grldr头部、grldr.mbr 支持搜索 gpt 分区的 grldr。 3.修正了 bootlace。 2014-08-17 1.修正GPT unhide/hide的BUG,现在可以正常对gpt分区进行...
各大软件公司--面试算法笔试题
04-06
{'X', 'X', 'X', 'X', 'X', 'X', 'X', 'X'}, {'o', 'o', 'o', 'o', 'o', 'X', 'X', 'X'}, {'X', 'o', 'X', 'X', 'o', 'o', 'o', 'X'}, {'X', 'o', 'X', 'X', 'o', 'X', 'X', 'o'}, {'X', 'o', 'X', 'X', 'X', '...
2021-2022计算机二级等级考试试题及答案No.18001.docx
10-30
- 内联函数主要用于频繁调用且函数体较小的情况。 - 相比于普通函数,内联函数避免了函数调用的开销,如压栈、弹栈等,从而提高程序性能。 #### 题目8: Access数据库的对象组成 - **知识点**: Access数据库由多种...
java短网址服务(TinyURL)生成算法
08-27
Java 短网址服务(TinyURL)生成算法 本文主要介绍了 Java 短网址服务生成算法的实现细节,包括生成全局唯一的数字和实现进制的转换两个关键点。生成全局唯一的数字可以使用 Redis 的 incr 操作、MySQL 的 ...
(微服务项目)新闻头条——Day1
weixin_73253843的博客
09-13 807
(微服务项目)新闻头条——Day1
2024伊语IM即时通讯源码/im商城系统/纯源码IM通讯系统安卓+IOS前端纯原生源码
翎风世界
09-10 669
2.4 node安装wget "https://nodejs.org/dist/v12.18.3/node-v12.18.3-linux-x64.tar.xz"资料参考地址:https://www.1234f.com/sj/GitHub/qtym/20240910/677.html。源码下载地址:https://www.123pan.com/s/LA1bVv-5l5Vv。备用下载地址:http://pan.1234f.com:5212/s/5PrS4。api.xxx.com接口。im.xxx.com通讯。
一文读懂 JS 中的 Set 结构
沐爸的博客
09-11 950
Set 如何使用?和 Map 有什么区别?有哪些属性和方法?又有哪些使用场景?WeakMap 又是什么?
前端】vue+html+js 实现table表格展示,以及分页按钮添加
weixin_43872912的博客
09-09 521
数据条数太多显示到页面上时可能会渲染较慢,因此需要截取数据进行展示。
JavaScript web API part1
wozhaonue_w的博客
09-09 1708
本文主要总结了JavaScript的webAPI的DOM对象,获取,修改属性,以及事件监听的一部分
react crash course 2024 (1)理论概念
最新发布
2301_78916954的博客
09-14 206
而无需写一个class。
Web server failed to start. Port XXX was already in use.
Aguai229的博客
09-11 707
如果你已经终止了占用端口的进程或修改了端口号,重启 IntelliJ IDEA 并重新启动你的应用程序。一般来说,IDEA 会在控制台输出相关的错误信息,包括被占用的端口号。如果你不想终止占用端口的进程,也可以修改应用程序的端口号。这将输出占用该端口的进程 ID(PID)。这将输出占用该端口的进程信息,包括 PID。# 终止占用端口 8080 的进程(PID 为 12345)# 终止占用端口 8080 的进程(PID 为 1234)在不同的操作系统上,查找占用端口的进程的方法有所不同。
【解决】vue 弹窗后面页面可以滚动问题
aaaa_aaab的博客
09-10 658
做web端项目过程中,发现点击弹窗后,弹窗后面的页面还可以滚动。 复现如下: 【方法1】 step1:在弹框页面使用 @mousewheel.prevent <div v-show="workShowMenu" @mousewheel.prevent > // TO DO...弹框内容 </div> 注意:该方法不适用于弹框上也有滚动条的时候,会失效。 方法2】 step1:在点击出现弹框的事件里加上这句: document.doc
vue如何获取一个元素的基本信息
致未来的你。的博客
09-09 294
假如说我们打印是一个myElement.value的形式,我们可以把该元素的DOM结构打印在我们的控制台上,但是我们想查看这元素的基本信息的时候,这里只需要打印这个定义的变量就好,这样一边看一遍获取自己想要的一些信息。PS:代码全部使用Vue3和setup语法糖来写的。这里,我们在实验的时候。
前端开发中 em/px/rem/vh/vw区别
乐辞的博客
09-09 1550
前端开发中 em/px/rem/vh/vw区别?传统的项目开发中,我们只会用到px、%、em这几个单位,它可以适用于大部分的项目开发,且拥有比较良好的兼容性;从CSS3开始,浏览器对计量单位的支持又提升到了另外一个境界,新增了rem、vh、vw、vm等一些新的计量单位;利用这些新的单位开发出比较良好的响应式页面,适应多种不同分辨率的终端,包括移动设备等
【组件】前端js HEIC/HEIF 转换为JPEG、PNG或GIF格式 苹果格式
我是Superman丶的博客
09-14 114
【组件】前端js HEIC/HEIF 转换为JPEG、PNG或GIF格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值