爬虫逆向实战(28)-某税网第一步登录(sm2、sm4、HMacSHA256)

已于 2024-01-22 09:33:52 修改
阅读量3.4k 收藏 11
点赞数 6
分类专栏: 爬虫逆向实战 文章标签: 爬虫
于 2023-08-30 10:48:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44906798/article/details/132575825
版权

一、数据接口分析

主页地址:某税网

1、抓包

通过抓包可以发现登录接口是factorAccountLogin
在这里插入图片描述

2、判断是否有加密参数

  1. 请求参数是否加密?
    通过查看载荷模块可以发现有一个datagram 和 一个signature加密参数
    在这里插入图片描述
  2. 请求头是否加密?
    通过查看“标头”模块可以发现,请求头中有DeviceidentynoX-App-ClientidX-Temp-Info三个加密参数
    在这里插入图片描述
  3. 响应是否加密?
    登录失败是无加密,登录成功时datagram是加密参数
  4. cookie是否加密?

二、加密位置定位

1、加密参数以及部分请求头

(1)看启动器

查看启动器发现里面包含异步,所以无法正确找到加密位置
在这里插入图片描述

(2)搜索关键字

通过搜索关键字datagram=可以发现在请求拦截器中会对datagram进行赋值,并且此处还有signature参数以及部分请求头,所以此处大概率是加密位置。
在这里插入图片描述
在此处下断点,发现可以断住,并且生成位置就在上方,所以此处就是加密位置
在这里插入图片描述

2、请求头Deviceidentyno

搜索关键字

通过搜索关键字Deviceidentyno可以找到设置请求头的位置。
在这里插入图片描述

3、响应解密

因为定位到的加密位置是在请求拦截器中,所以解密位置大概率会在响应拦截器中,我们可以在请求拦截器的js文件中搜索interceptors.response就可以找到响应拦截器的位置。并且可以发现,在响应拦截器中确实有解密操作。
在这里插入图片描述

三、扣js代码

1、本地存储

我们在扣js代码时,可以发现网站会从本地缓存中取出一些数据,但是其中只有new_key16clientIdnatureuuid是有值的,其他都是空。同时我们可以看到,网站将new_key16取出的值赋值给了a,然后在下方代码中,又判断a是否为空,如果为空就使用Object(A["b"])()方法生成,所以我们就可以直接将这个生成方法扣出,使用这个方法生成。clientId仔细观察可以发现,这个值是固定不变的,可以写死。所以我们只需要关心natureuuid即可。
在这里插入图片描述
进入控制台的“应用”标签页中的“本地存储空间”,将本地存储全部清除
在这里插入图片描述
然后对localStorage.setItem进行hook
hook代码:

var my_setItem = localStorage.setItem;
localStorage.setItem = function (key, value) {
    if (key == 'natureuuid'){
        debugger
    }
    return my_setItem.call(localStorage, key, value);
};

运行hook代码,再次点击登录,发现可以断住
在这里插入图片描述
接着调试执行,可以发现设置natureuuid的位置,同时可以看出这段代码是在回调中执行的。
在这里插入图片描述
再次观察发包可以发现,网站是请求了一个getPublicKey接口,返回了uuidpublicKey,虽然目前来看我们没有用到publicKey,但是肯定是有用到的地方,所以我们也先保存一下。
在这里插入图片描述

2、请求流程

当我们将本地存储清空之后,再次登录可以发现,网站是发送了三个请求,先请求了getPublicKey和sendSm4这两个接口之后才请求了登录接口。
在这里插入图片描述
所以我们在请求登录之前也需要先请求这两个接口。
观察这两个接口的“载荷”,可以发现这两个接口携带的参数与登录接口是一样的,只不过其中的数据不同,同时,网站在请求前两个接口时,也会经过我们上面定位出来的加密位置,只不过datagram的生成不太一样,前两个接口只是转成了json字符串,只有登录接口才加密。
在这里插入图片描述
在观察前两个接口的发包过程时,可以发现第一个接口getPublicKey的datagram就只是一个空字典,然后转成json字符串。但是,网站在给sendSm4接口发包时,是有数据的,而且还有一个我们不知道的参数secret
在这里插入图片描述
我们通过搜索关键字的方式,搜索secret:就可以找到生成位置了,同时这个参数生成的时候还用到了之前通过请求getPublicKey接口获取到的publicKey
在这里插入图片描述

3、坑

在对这三个请求发包时,使用的new_key16以及deviceIdentyNo的值都要使用同一个。

4、加密算法

通过扣js代码可以发现,网站使用了sm2、sm4以及HmacSHA256三种加密算法,解密时使用的是sm4解密,而且这些算法都是标准算法,所以我们可以直接使用标准模块进行加解密。

四、源代码

JavaScript源码:

const {sm2, sm4} = require("sm-crypto");
const CryptoJS = require("crypto-js");

function func_i(e, t) {
    var n, a, r = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz".split(""), i = [];
    if (t = t || r.length,
        e)
        for (n = 0; n < e; n++)
            i[n] = r[0 | Math.random() * t];
    else
        for (i[8] = i[13] = i[18] = i[23] = "-",
                 i[14] = "4",
                 n = 0; n < 36; n++)
            i[n] || (a = 0 | 16 * Math.random(),
                i[n] = r[19 == n ? 3 & a | 8 : a]);
    return i.join("")
}


function object_A_d(e, t) {
    r = sm4.encrypt(e, t);
    return r
}

function object_A_i(e) {
    for (var t = "", n = 0; n < e.length; n++)
        "" === t ? t = e.charCodeAt(n).toString(16) : t += e.charCodeAt(n).toString(16);
    return t
}

function object_A_a(e, t) {
    var n = CryptoJS.HmacSHA256(e, t).toString();
    return n
}

function object_A_e(e, t) {
    r = sm4.decrypt(e, t);
    return r
}

function padZero(num) {
    return num < 10 ? "0" + num : num;
}

var clientId = 's44fftt3bc634tcab4teasbaasba7ft4'

function get_headers(natureuuid, ded) {
    if (!ded) {
        ded = func_i(32)
    }
    var t = {
        headers: {},
    }
    t.headers["deviceIdentyNo"] = ded;
    t.headers["X-APP-CLIENTID"] = clientId
    if (natureuuid) {
        t.headers["X-TEMP-INFO"] = natureuuid
    }
    return [t.headers, ded]
}
var v = 'GwdK^R4q'
function get_params(t_data, is_get_key, g) {
    if (!g) {
        g = func_i(16, 61)
    }
    var currentDate = new Date();
    var formattedDate = currentDate.getFullYear() +
        padZero(currentDate.getMonth() + 1) +
        padZero(currentDate.getDate()) +
        padZero(currentDate.getHours()) +
        padZero(currentDate.getMinutes()) +
        padZero(currentDate.getSeconds());

    c = {}

    p = g.substring(0, 8) + v
    u = ""
    c["zipCode"] = "0"
    if (is_get_key) {
        c["encryptCode"] = "0";
        c.datagram = JSON.stringify(t_data);
    } else {
        f = JSON.stringify(t_data);
        u = object_A_d(f, object_A_i(p));
        c.datagram = u;
        c["encryptCode"] = "2";
    }
    c["timestamp"] = formattedDate
    c["access_token"] = ""
    c["signtype"] = "HMacSHA256"
    c["signature"] = object_A_a(c["zipCode"] + c["encryptCode"] + u + c["timestamp"] + c["signtype"], g)
    return [c, g]
}

function func_l(e, t, a) {
    if (t) {
        var i = sm2.doEncrypt(e, t, a);
        return i
    }
    return ""
}

function get_secret(pubkey, g) {
    new_key16 = g
    secret = func_l(new_key16, pubkey, 1)
    return secret
}

function get_data(g, datagram) {
    var a = g.substring(0, 8) + v;
    return object_A_e(datagram, object_A_i(a))
}

Python源码:

"""
Date: 2023/8/29 16:25
"""
import json

import execjs
import requests


class Spider:
    def __init__(self):
        self.session = requests.session()
        self.session.headers = {
            "Accept": "application/json, text/plain, */*",
            "Accept-Language": "zh-CN,zh;q=0.9",
            "Authorization": "",
            "Cache-Control": "no-cache",
            "Connection": "keep-alive",
            "Content-Type": "application/json",
            "Origin": "https://tpass.jiangsu.chinatax.gov.cn:8443",
            "Pragma": "no-cache",
            "Referer": "https://tpass.jiangsu.chinatax.gov.cn:8443/",
            "Sec-Fetch-Dest": "empty",
            "Sec-Fetch-Mode": "cors",
            "Sec-Fetch-Site": "same-origin",
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36",
            "X-LANG-ID": "null",
            "X-NATURE-IP": "",
            "X-SM4-INFO": "0",
            "X-TICKET-ID": "null",
            "hUid": "",
            "sec-ch-ua": "^\\^Chromium^^;v=^\\^116^^, ^\\^Not)A;Brand^^;v=^\\^24^^, ^\\^Google",
            "sec-ch-ua-mobile": "?0",
            "sec-ch-ua-platform": "^\\^Windows^^"
        }
        with open('reverse.js', 'r', encoding='utf-8') as f:
            self.js_obj = execjs.compile(f.read())
        self.uuid = ''
        self.publicKey = ''
        self.g = ''
        self.ded = ''

    def get_public_key(self):
        url = "https://tpass.jiangsu.chinatax.gov.cn:8443/sys-api/v1.0/auth/oauth2/getPublicKey"
        headers2 = self.js_obj.call('get_headers', self.uuid)
        self.ded = headers2[0]
        self.session.headers = headers2[0] | self.session.headers
        data = self.js_obj.call('get_params', {}, True)
        self.g = data[1]
        response = self.session.post(url, json=data[0])
        datagram = json.loads(response.json()['datagram'])
        self.uuid = datagram['uuid']
        self.publicKey = datagram['publicKey']
        print('uuid:', self.uuid)
        print('publicKey:', self.publicKey)

    def send_sm4(self):
        url = "https://tpass.jiangsu.chinatax.gov.cn:8443/sys-api/v1.0/auth/white/sendSm4"
        headers2 = self.js_obj.call('get_headers', self.uuid, self.ded)
        self.session.headers = headers2[0] | self.session.headers
        secret = self.js_obj.call('get_secret', self.publicKey, self.g)
        data = self.js_obj.call('get_params', {'uuid': self.uuid, 'secret': secret}, True, self.g)
        response = self.session.post(url, json=data[0])

        print(response.text)
        print(response)

    def login(self):
        t_data = {
            "client_id": 's44fftt3bc634tcab4teasbaasba7ft4',
            "account": '登录用户名',
            "password": '登录密码',
            "redirect_uri": "https://etax.jiangsu.chinatax.gov.cn/sso/kxLogin/authorize",
            "creditCode": '税号'
        }
        url = "https://tpass.jiangsu.chinatax.gov.cn:8443/sys-api/v1.0/auth/enterprise/quick/factorAccountLogin"
        headers2 = self.js_obj.call('get_headers', self.uuid, self.ded)
        self.session.headers = headers2[0] | self.session.headers
        data = self.js_obj.call('get_params', t_data, False, self.g)
        response = self.session.post(url, json=data[0])

        response_data = self.js_obj.call('get_data', self.g, response.json()['datagram'])
        print(response_data)


if __name__ == '__main__':
    s = Spider()
    s.get_public_key()
    s.send_sm4()
    s.login()
夜无霄
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
js 逆向实战SM2+SM4
01-16
js 逆向实战SM2+SM4 是一篇关于 JavaScript 逆向工程实战的文章,主要介绍了 SM2SM4 国产加密算法的实现和应用。下面是相关知识点的总结: 1. JavaScript 逆向工程:文章首先介绍了 JavaScript 逆向工程的...
国家税务总局全国增值税发票查验平台站js逆向分析及全逆向算法还原
onedayismyway的博客
07-02 2万+
本文教程针对的事2021年7月2日时国税查验平台的js分析,其中版本号为V2.0.06_009。主要分析内容为key9和flwq39以及fplx这3个参数的算法,其中key9分为获取验证码阶段和查验阶段,算法有所区别,flwq39同理。 教程开始: 一、官方址 https://inv-veri.chinatax.gov.cn/index.html 二、请求分析 国税查验平台请求共分为2个,第一个请求获取验证码,第二个请求为输入验证码后查验数据并返回发票详细信息。 第一步:安装证书 基础:谷歌
国家税务总局发票查验平台爬虫
weixin_42156283的博客
10-24 9202
文章目录1.安装根证书2.反调试2.1.无限debugger第一种方案第二种方案2.2.防止代码格式化3.请求参数整体分析3.key9参数解密4.flwq39参数解密5.验证码应对方案 1.安装根证书 2.反调试 2.1.无限debugger 第一种方案 打开控制台发现出现断点 根据右侧堆栈查找debugger产生位置 可以看到有debugger字样, 该wlop.js文件是经过sojson混淆的,可以用ast进行还原,可以上搜索ob解混淆脚本, 后面会发现几乎所有js文件都是混淆过后的, 所以建
【iOS逆向与安全】上gw如何自动登录与签到SM2,SM3,SM4算法加解密
最新发布
六桥风月IT随笔
05-07 554
sm3 加密 (skey + data + timestamp)sm4 加密 发送的请问数据,密钥为: 上面随机32位字符串。sm2 加密 随机32位字符串,结果为skey。从新打开 app,即可正常打开了。2.开始frida 调试。直接使用通配符 hook。2.frida 调试。例如:发送请求数据为。
逆向工程Python爬虫——国税局发票查验平台
weixin_43102379的博客
08-31 1万+
前言 这是一篇含金量很高的干货文章,笔者将手把手带领各位一步一步地实现爬取国家税务总局全国增值税发票查验平台(以下简称“查验平台”)。这个想法诞生在19年初,当时在做一款通过扫描二维码就可以查验发票的小程序。 当时由于笔者学艺尚浅,没办法模拟请求爬取查验平台,所以最终采用的技术方案是通过web自动化测试工具selenium控制浏览器去模拟查验步骤,即使这样,开发过程也是困难重重,不过最后笔者和伙...
Post请求爬取国家税务总局纳税信用A级纳税人信息
weixin_43636302的博客
01-04 5356
效果预览 如图,目的是爬取国家税务总局2014-2018年国家税务总局各地纳税信用A级纳税人信息。 基础代码 import pandas as pd import requests URL='http://hd.chinatax.gov.cn/service/findCredit.do' HEADER = { 'Cookie':'yfx_c_g_u_id_10003701=_c...
国密sm2加密算法 前后端加密实现
阳光
07-07 3897
国密sm2加密算法,前后端实现
新手入门 | 掌握国密算法:新手指南: SM2 / SM3 / SM4密码算法详解
weixin_46796544的博客
05-23 2万+
在密码学领域,有多种加密与签名算法,它们在信息安全领域发挥着举足轻重的作用。如今,随着互联的快速发展,络安全已经成为各类信息系统完整性、可用性、保密性的重要保障,越来越多的国产密码算法得到了广泛的应用与关注。在本文中,我们将重点介绍三个经典的国产密码算法:SM2、SM3和SM4,国密是国家密码管理局正式发布的国产密码算法。本文主要针对SM2、SM3、SM4进行详细且系统的介绍,帮助大家快速掌握国密算法。国密算法是中国国家密码管理局颁布的密码算法标准,包括SM2、SM3、SM4等算法。
浅谈DES、RAS、SHA-256与SM1、SM2、SM3、SM4区别
热门推荐
jambeau的博客
08-19 4万+
我们今天浅谈一下,目前密码学中应用最为广泛的一些加密算法。并对这些算法做一些比较。 一、概念介绍。 国密算法是什么? 国密算法是由国家密码局发布,包含SM1\ SM2\ SM3\ SM4\ SSF33算法。 国际算法是什么? 国际算法由美国的安全局发布,是现今最通用的商用算法。 密码学中应用最为广泛算法都有哪些。 密码学中应用最为广泛的的三类算法包括对称算法(分组密码算法)、非对称算法(公钥密码算...
AES、SM、MD5、RSA、SHA256、DES加密工具类汇总
九离的博客
10-11 2013
有时候我们总要用到一些加解密的工具类,上一找琳琅满目,可能随机找了一个发现根本不能用,也可能找到的加密出来的密文和别的不太一样(找个在线解密工具解不出来)不标准,因此我将常用的加密工具列举出来,并在下方附上加解密的示例代码,希望可以帮到你们;AES、SM、MD5、RSA、SHA256、DES加密工具类汇总
SecurityBoot.zip_AES_SHA256_python aes rsa sm2_sm2_sm4
07-15
使用Crypto库,提供RSA,SM2,AES,SM3,SM4SHA256的使用示例,可用于安全启动
SM2Java-master.rar_SM2Java-master_Sm2 jar包_java sm2 算法_musicalls
09-23
sm2算法,常用的sm2加解密算法,通过sm3散列实现
Java实现国密SM2-SM3-Sm4加解密.zip
11-04
Java实现国密SM2-SM3-Sm4加解密
delphi调用libSmCrypto实现sm2、sm3、sm4加密解密_delphi_sm2-sm3-sm4_加密解密
09-24
支持win和linux平台,32位64位通用
基于python的多线程数据库数据录入
图灵追幕者博客录
03-01 1436
python多线程将已知数据写入到数据库中。
sm2,sm4加密(js+java)
qq_41427281的博客
09-26 4万+
一、使用 做项目时,首先采用了sm2数据传输加密,随后又改为sm4,此处使用仅为个人愚见,望与诸君共勉。 sm2,非对称加密,在后端生成两对秘钥,私钥A,公钥A,私钥B,公钥B。前端持有公钥A,私钥B,后端持有公钥B,私钥A,即前端利用js算法和公钥A对数据加密,后端利用java算法和秘钥A解密;后端利用java算法和密匙B加密,前端利用js算法和公式B对数据解密。 sm4,对称加密,在前段随机ECB模式【生成一个秘钥】,CBC模式【生成一个秘钥,和一个初始向量】,登录时采用sm2加密后传递给后台,每个客
js的sm-crypto和 java的bcprov-jdk16-1.46.jar 的sm2,sm3,sm4算法区别和修改
weixin_51225684的博客
10-12 4404
前提是java sm4加密都设置padding=true,而js设置的oadding不为'none',那么加密。java加密后的串,对比js结果多了一个'04'字符,所以js在使用的时候需要去掉04字符,串不一致,需要看一下,js和java不满16位补位问题,而在我的项目中目前版本,java的补。位是0,而js的补位是不满16位,剩余个数(16-不满16位个数),将其改为0即可。同理js加密的串对比java少了'04',所以火java使用的时候需要加上字符。·java(AppJava开发,java后台)
基于sm4国密算法,redis,验证码实现用户的登录注册功能
qq_64286820的博客
04-10 1049
通过redis,验证码,sm4国密算法实现登录注册功能
【密码算法 之八】Hash类算法(单向散列函数) MD5 \ SHA1 \ SHA224 \ SHA256 \ SHA384 \ SHA512等浅析
KXue0703的博客
03-01 5199
MD5与SHA-1算法已被攻破,不应该再用于新的用途;SHA-2与SHA-3还是安全的,可以使用。SHA-2包括:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。SHA-3包括:SHA3-224、SHA3-256、SHA3-384、SHA3-512。算法分组长度(bytes)输出长度(hash value)(bytes)是否安全SM36432安全MD46416不安全MD56416不安全SHA164。
java sm2 sm4 验签加密工具
09-18
Java是一种流行的编程语言,具有强大的功能和广泛的应用领域。而SM2SM4是中国国家密码管理局发布的密码算法,分别用于数字签名和数据加密。 在Java中,我们可以使用一些库或框架来实现SM2SM4的验签和加密功能。例如,Bouncy Castle是一个流行的密码库,它提供了丰富的密码算法支持。我们可以使用Bouncy Castle库来实现SM2SM4的验签和加密。 对于SM2的验签,我们首先需要生成公私钥对,并将公钥提供给签名者进行数字签名。然后,接收到签名后的数据和原始数据后,我们可以使用公钥来验证签名的有效性。在Java中,我们可以使用Bouncy Castle库中的相关类来实现这一过程。 对于SM4的加密,我们需要首先获取一个密钥,然后将需要加密的数据和密钥一起传入加密算法中进行加密。接收者可以使用相同的密钥进行解密。在Java中,我们可以使用Bouncy Castle库中的相关类来实现SM4的加密和解密。 需要注意的是,使用SM2SM4算法需要遵循相关的加密标准和协议,以确保安全性。在实际使用中,我们还需要考虑到密钥的保护和管理,以及对可能出现的安全漏洞进行及时更新和修复。 总而言之,通过使用Java编程语言和Bouncy Castle库,我们可以方便地实现SM2SM4的验签和加密功能,为数据的安全性提供保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值