JS逆向 - 某团Mtgsig1.2 (补环境)

已于 2025-04-30 23:28:01 修改
阅读量614 收藏 2
点赞数 5
分类专栏: 爬虫逆向 爬虫 文章标签: javascript 开发语言 ecmascript
于 2025-04-30 23:18:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53444631/article/details/147640641
版权

文章目录

概要

提示:仅供学习,不得用做商业交易,如有侵权请及时联系

逆向:某团Mtgsig1.2 (补环境)

URL: aHR0cHM6Ly9hY2NvdW50LmRpYW5waW5nLmNvbS9wY2xvZ2luP3JlZGlyPWh0dHBzOi8vbS5kaWFucGluZy5jb20vZHBob21l

目标:请求头Mtgsig

在这里插入图片描述

整体架构流程

提示:全扣补环境

1、分析加密入口:搜索 H5guard.sign
2、将整个文件扣下:
url:aHR0cHM6Ly9hcHBzZWMtbW9iaWxlLm1laXR1YW4uY29tL2g1Z3VhcmQvSDVndWFyZC5qcz92PTE3NDYwMjEzODMyNzk=

3、初始化加密环境:

在这里插入图片描述

技术名词解释

提示:检测环境数组

直接找到a6生成的位置,以为a6参与了环境计算: gG就是环境数组

在这里插入图片描述

这里直接展示一下我补的浏览器环境,基本上跟浏览器一致了

{
  //版本号
  k1: '3.1.0',
  //时间戳
  k5: 1746020851587,
  //随机生成
  sessionId: '5f0eae8fc7e443d9877edb598c683bcd',
  // getfp生成的WEBDFPID 后面一段值
  k2: '1745824008886IMQOYUOfd79fef3d01d5e9aadc18ccd4d0c95074463',
  // // getfp生成的WEBDFPID 前面一段值
  k3: 'u53zvu029uuw5730z5x026729ww0x6w48032y11148x979589u2vv091',
  k123: {
    k7: 16,
    k24: 5,
    k27: 5,
    k28: 3,
    k29: 3,
    k30: 5,
    k45: 7,
    k52: 5,
    k53: 5,
    k54: 5,
    k55: 5,
    k56: 5,
    k57: 5,
    k58: 5,
    k59: 5,
    k62: 16,
    k63: 5,
    k70: 0,
    k72: 3
  },
  // Navigator.platform
  k25: 'Win32',
  k27: '',
  k68: [ 0, 0, 0, 0, 0 ],
  // sessionStorage、localStorage、indexedDB、openDatabase、chrome、document、plugins、getOwnPropertyDescriptor、permissions、createElement、WebGLRenderingContext、getContext、AudioContext
  k50: '00ceea200',
  k61: 0,
  reload: [Function (anonymous)],
  k0: 1746020851,
  k7: '',
  k62: '',
  k63: '',
  k52: [],
  k53: [],
  k54: [],
  k55: [],
  k56: [],
  k57: [],
  k58: [],
  k59: [],
  // href 和 origin
  k6: [
    'https://脱敏/pclogin',
    'https://脱敏/'
  ],
  // navigator的属性或方法 、history的属性或方法 、window的属性或方法
  k8: 'ffffffffffffffffffffff3ffffffffffdfbfffffffffffffffffffffffffc',
  //document.readyState / performance.timing.domContentLoadedEventStart/domContentLoadedEventEnd/domLoading
  k9: 'loading|0|0|1746020851601',
  //[[screen["width"], screen["height"]], [screen["availWidth"], screen["availHeight"]], screen["colorDepth"], screen["pixelDepth"]]
  k11: [ [ 1536, 864 ], [ 1536, 824 ], 24, 24 ],
  //document["documentElement"]["clientWidth"] / window["innerWidth"]
  k12: [ 1536, 715 ],
  //window["sessionStorage"]
  k13: 1,
  //window["localStorage"]
  k14: 1,
  //window["pageYOffset"]
  k15: 0,
  //window["document"]["body"]["scrollTop"]
  k16: 0,
  //window["devicePixelRatio"]
  k17: 1.25,
  //window["length"]
  k18: 0,
  //window["performance"]["memory"]["jsHeapSizeLimit"]
  k19: 2172649472,
  //navigator["languages"]
  k20: [ 'zh-CN', 'zh' ],
  //navigator["language"]
  k21: 'zh-CN',
  //navigator["deviceMemory"]
  k22: 8,
  //navigator["hardwareConcurrency"]
  k23: 8,
  //navigator["doNotTrack"]
  k24: '',
  //window["navigator"]["plugins"] /name
  k26: [
    'PDF Viewer',
    'Chrome PDF Viewer',
    'Chromium PDF Viewer',
    'Microsoft Edge PDF Viewer',
    'WebKit built-in PDF'
  ],
  //navigator["oscpu"]
  k28: null,
  //navigator["cpuClass"]
  k29: null,
  //avigator["vendorSub"]
  k30: '',
  //navigator["maxTouchPoints"]
  k31: 0,
  //navigator["vendor"]
  k32: 'Google Inc.',
  //navigator["cookieEnabled"] ? "yes" : ""
  k33: 'yes',
  // canvas.toDAataUrl
  k34: 'data:image/png;base64,xxx',
  //对canvas指纹进行魔改md5加密
  k36: '174b4e8b63ec5d15ad9da6186992f4bc',
  // navigator["userAgent"]
  k37: 'Mozilla/5.0 xxx/537.36',
  //history["length"]
  k38: 3,
  //getParameter   --- UNMASKED_VENDOR_WEBGL
  k39: 'Google Inc. (Intel)',
  // getParameter    --- UNMASKED_RENDERER_WEBGL
  k40: 'ANGLE (Intel, Intel(R) UHD Graphics (0x00008A56) Direct3D11 vs_5_0 ps_5_0, D3D11)',
  // getParameter    ---- VENDOR
  k41: 'WebKit',
  // getParameter    ---- RENDERER
  k42: 'WebKit WebGL',
  // getParameter    ---- VERSION
  k43: 'WebGL 1.0 (OpenGL ES 2.0 Chromium)',
  k45: '',
  // matchMedia
  k46: 'srgb',
  // new Date()["getTimezoneOffset"]()
  k48: -480,
  // timeZone
  k49: 'Asia/Shanghai',
  // sessionStorage /localStorage/indexedDB
  k51: '1|1|1',
  // tostring检测、多层tostring
  k64: {
    parse: {
      function: 'function parse() { [native code] }',
      toString: [Object]
    },
    stringify: {
      function: 'function stringify() { [native code] }',
      toString: [Object]
    },
    decodeURI: {
      function: 'function decodeURI() { [native code] }',
      toString: [Object]
    },
    decodeURIComponent: {
      function: 'function decodeURIComponent() { [native code] }',
      toString: [Object]
    },
    encodeURI: {
      function: 'function encodeURI() { [native code] }',
      toString: [Object]
    },
    encodeURIComponent: {
      function: 'function encodeURIComponent() { [native code] }',
      toString: [Object]
    },
    escape: {
      function: 'function escape() { [native code] }',
      toString: [Object]
    },
    unescape: {
      function: 'function unescape() { [native code] }',
      toString: [Object]
    },
    atob: {
      function: 'function atob() { [native code] }',
      toString: [Object]
    },
    btoa: {
      function: 'function btoa() { [native code] }',
      toString: [Object]
    }
  },
  // document["getElementsByTagName"]("script") / getAttribute -src
  k65: [
    '//脱敏/js/xxx.min.js',
    'https://脱敏/yoda.xxx.js',
    '//脱敏/async_dependencies.xxx.js',
    '//脱敏/logan_2.1.5.js',
    '//脱敏/owl_1.9.3.js',
    '//脱敏/lx.js',
    'https://脱敏/xxx/xxx.js'
  ],
  // 检测bom原型和原型链上的toString 和 getOwnPropertyDescriptor
  k66: {
    Window: {
      function: 'function Window() { [native code] }',
      typeof: 'function',
      Object: [Object],
      toString: [Object]
    },
    Navigator: {
      function: 'function Navigator() { [native code] }',
      typeof: 'function',
      Object: [Object],
      toString: [Object]
    },
    window: {
      function: '[object Window]',
      typeof: 'object',
      Object: [Object],
      toString: [Object]
    },
    navigator: {
      function: '[object Navigator]',
      typeof: 'object',
      Object: [Object],
      toString: [Object]
    }
  },
  // 三个对象的configurable
  k67: { location: false, document: false, top: false },
  // RTCPeerConnection异步加载的onicecandidate事件
  k44: '1020839364',
  // encry加密得到
  k71: 'fuTAVPQM5XjsHGg6Vc==',
  k72: '',
  // getfp 进行dom操作创建标签span,字体判断得到
  k10: 'Arial,Courier,Courier New,Georgia...............',
  // span offsetWidth  offsetHeight ["monospace", "sans-serif", "serif"] 对比计算得到
  k60: 'ffff7ffff8',
  k4: 1746020851755,
  // OfflineAudioContext异步操作事件得到
  k35: '124.04347527516074',
  // navigator["getBattery"] 异步操作得到
  k47: [ 0.99, true, 'Infinity' ]
}

函数保护,过多层tostring

!(function () {
    "use strict";
    const $toString = Function.toString;
    const myFunction_toString_symbol = Symbol('('.concat('', ')_', (Math.random() + '').toString(36)));
    const mytoString = function () {
        return typeof this == 'function' && this[myFunction_toString_symbol] || $toString.call(this);
    };

    function set_native(func, key, value) {
        Object.defineProperty(func, key, {
            "enumerable": false,
            "configurable": true,
            "writable": true,
            "value": value
        })
    };
    delete Function.prototype['toString'];
    set_native(Function.prototype, "toString", mytoString);
    set_native(Function.prototype.toString, myFunction_toString_symbol, "function toString() { [native code] }");
    this.func_set_native = function (func) {
        set_native(func, myFunction_toString_symbol, `function ${myFunction_toString_symbol, func.name || ''}() { [native code] }`)
    }
}).call(globalThis);

补充点:RTCPeerConnection、getBattery、OfflineAudioContext三个异步

offauidio = proxy({
    createOscillator: function createOscillator() {
        return proxy({
            frequency: {
                setValueAtTime: function setValueAtTime() { },
            },
            connect: function connect() { },
            start: function start() { },
            disconnect:function disconnect() { }
        }, 'OscillatorNode')
    },
    createDynamicsCompressor: function createDynamicsCompressor() {
        return proxy({
            connect: function connect() { },
            threshold: {
                setValueAtTime: function setValueAtTime() { },
            },
            knee: {
                setValueAtTime: function setValueAtTime() { },
            },
            ratio: 0,
            reduction: {
                setValueAtTime: function setValueAtTime() { },
            },
            attack: {
                setValueAtTime: function setValueAtTime() { },
            },
            release: {
                setValueAtTime: function setValueAtTime() { },
            },
            disconnect:function disconnect() { }
        }, 'DynamicsCompressorNode')
    },
    currentTime: 0,
    destination: {},
    startRendering: function startRendering() { },
}, 'OfflineAudioContext');
Object.defineProperty(offauidio, 'oncomplete', {
    set: function (func) {
        func({
            renderedBuffer: {
                getChannelData: function () {
                	return new Float32Array([...]);
                },
            }
        })
        return func
    }
})
OfflineAudioContext = function OfflineAudioContext() {
    return offauidio
}
// 创建电池管理器对象原型 
const BatteryManager = {
    level: 1,
    charging: true,
    chargingTime: 0,
    dischargingTime: Infinity,
    onchargingchange: null,
    onlevelchange: null,
    toString: function() {
      return `BatteryManager {
        charging: ${this.charging}, 
        level: ${this.level}, 
        chargingTime: ${this.chargingTime}, 
        dischargingTime: ${this.dischargingTime} 
      }`
    }
  }
getBattery = function getBattery() {
     return Promise.resolve({
         __proto__: BatteryManager,
         // 动态参数配置(示例值)
         level: 0.99,
         charging: true,
         dischargingTime: 'Infinity' // 2小时放电时间 
       })
 }
 RTCPeerConnection = function RTCPeerConnection() {
    return proxy({
        createDataChannel: function createDataChannel() { },
        createOffer: function createOffer() {
            this.onicecandidate({
                candidate:{
                    "candidate": "candidate:1020839364 1 udp 1677729535 xxxx 56455 typ srflx raddr 0.0.0.0 rport 0 generation 0 ufrag 7Ocn network-cost 999",
                    "sdpMid": "0",
                    "sdpMLineIndex": 0,
                    "usernameFragment": "7Ocn"
                }
            });
            return new Promise(function (resolve, reject) {
                resolve(proxy({
                    type: 'offer',
                    sdp: 'offerSdp',
                    then: function then() {
                        
                    },
                }, 'RTCSessionDescription'));
            });
        },
        setLocalDescription: function setLocalDescription() {
            
        },
    }, 'RTCPeerConnection');
};
webkitRTCPeerConnection = RTCPeerConnection;

Object.getOwnPropertyDescriptor检测点:

Object.getOwnPropertyDescriptor_ = Object.getOwnPropertyDescriptor;
Object.getOwnPropertyDescriptor = function getOwnPropertyDescriptor(obj, prop) {
    var desc = Object.getOwnPropertyDescriptor_(obj, prop);
    if (obj + '' === '[object Window]' && prop === 'location') {
        return {
            configurable: false,
            enumerable: true,
            get: {location(){}}.location,
            set:{location(){}}.location
        };
    }
    if (obj + '' === '[object Window]' && prop === "document") {
        return {
            configurable: false,
            enumerable: true,
            get: {document(){}}.document,
            set:undefined
        };
    }
    if (obj + '' === '[object Window]' && prop === "top") {
        return {
            configurable: false,
            enumerable: true,
            get: {top(){}}.top,
            set:undefined
        };
    }
    return desc;
}

这里说一下XML怎么补,不会补就第三方库

XMLHttpRequest = require('xmlhttprequest').XMLHttpRequest
XMLHttpRequest.prototype = new XMLHttpRequest();

技术细节

提示:补了一辈子,环境与浏览器都一致了,就是过不了,最后发现js中有空行,离谱
在这里插入图片描述

结果

在这里插入图片描述

小结

提示:学习交流群+v主页(+知识星球交流学习)

js逆向进阶篇-某团酒店
博客
04-29 618
就弄好了,由于整个过程太长了,如果整个环境的过程全都写下来就太耗时间了,所以就把环境的部分省略了,里面的环境校验不严格,所以对于环境不是很熟练的小伙伴可以在脱离环境框架的情况下拿这个练练手,熟悉下环境的流程。接下来我们看最后一个参数。,很直观的就可以看出应该是这三个参数需要我们逆向,先来一个个定位,一开始肯定是先全局搜索,看看能不能搜到,依次来搜索下试试,经过一番搜索之后发现只有。可以看到这里就已经有结果了,到这里差不多就结束了,有兴趣的小伙伴也可以继续往下分析,看下。
JS逆向环境】最新mtgsig参数分析与算法还原
吴秋霖的博客
07-09 3904
mtgsig参数环境还原,含完整流程与算法详情
某团mtgsig1.2简单分析
m0_62206938的博客
08-22 877
【代码】某团mtgsig1.2简单分析。
最新逆向小程序mtgsig1.2记录分析
a2796421056的博客
09-12 1471
define用于定义模块。当你有一个JavaScript文件,它包含了一些函数、变量或对象,并且你想在其他地方重用这些代码时,你可以使用define来定义一个模块。define依赖项数组:一个字符串数组,列出了模块所依赖的其他模块。工厂函数:一个函数,当所有依赖项都加载完成后,该函数会被调用。这个函数应该返回一个值,这个值就是这个模块的输出(即它的“导出”)。
某团 mtgsig1.2 | sdkVersion: 3.0.0 签名算法分析记录(2025/1/9)
小鱼神1024的博客
01-09 1891
最近听星球小伙伴说,mtgsig签名算法升级到1.2了,出于学习目的,于是乎,我决定重新分析记录一下,希望能帮助到有需要的小伙伴。
某评 mtgsig1.2 vx 小程序加密分析
Know_nothing_的博客
08-16 2275
某评vx小程序 mtgsig1.2 逆向分析
某团某点评mtgsig1.2 && H5guard加密算法剖析
qq_39802740的博客
04-09 979
某点评mtgsig1.2环境算法简单分析。
某团mtgsig1.1 && H5guard加密算法剖析
qq_39802740的博客
03-14 840
仅供研究学习使用。 今天带来的是某团headers中mtgsig参数的逆向。 目标站:商家后台登陆 --> 传送门 目前大部分h5的算法都更新至1.2了 只有商家版后台还多为1.1的。 这里抓包后可以清晰看到 mtgsig明显是一个加密参数,根据经验先瞄一眼a1 a2 …a6 其中 a1: 版本号 a2: 时间戳 a3: cookie相关 a5: 未知 a6:未知 x0:固定值 d1: 未知字符串取md5这里先从js入手 可以从network中看到 实际上也可以自己把代码拷下来在nodejs里面运行
某团Mtgsig
789请问的博客
07-26 1861
某团mtgsig1.1
某团cms系统官网源码.zip
08-14
某团CMS系统官网源码】是一个基于Java技术构建的内容管理系统,主要用于网站的建设和管理。这个源码包包含了实现该系统的基本元素,如HTML页面、图片资源等,为开发者提供了研究和二次开发的基础。 首先,我们要...
美团外卖小程序代码
07-02
3. **数据管理**:小程序使用JSON格式的配置文件(app.json和pages.json)来管理全局配置和页面配置,JS文件中则通过`data`对象进行数据管理,数据的改变会驱动视图层的更新。 4. **网络请求**:为了获取商家信息、...
watch 数组 Vue 3
最新发布
qq_30049249的博客
05-01 139
发现在选项式中配置 watch 监听数组不起作用。且在 setup 中监听数组时,当不设置 deep 参数时,也进行了深度监听。在 setup 中使用 watch 监听数组变化。
使用vue2 开发一个纯静态的校园二手交易平台-前端项目练习
Json的知识梦工厂
04-27 755
因为最近在学习vue相关的技术,所以就根据学习的前端技术,来写一些纯前端的项目来练习,这篇文章主要是分享一下 我做的这个项目的一些功能,如果最近你也在学习前端,希望这篇文章能帮助到你,大家也可以仿照这个项目,自己尝试着写一些完整的功能,从而提高自己的编程能力。这个项目 使用的技术是vue2 做的。:用户可以在个人中心查看自己的交易记录、发布的商品、参与的圈子、个人信息等,便于管理账户和交易信息。:提供交换物品的功能,用户可以发布自己想交换的物品,并与其他用户进行交换,促进物品的循环利用。
组件的基本知识
Shootingmemory的博客
04-27 1134
由于vue会进行打包操作,然后在前端渲染,会出现将”局部样式“变为“全局样式”,所以这时候就需要用到scoped,直接在。⼦组件恰当时机, 触发⽗组件的⾃定义事件 , emit(‘⾃定义事件’, 携带的参数…因为属性选择器[data-v-xxxx]的唯⼀性, 保证了该样式只能对当前组件内的元素⽣效。下创建一个复用的组件,然后需要在主vue文件应用那么我在主vue文件的就应该这样写。⽗组件内,⼦组件上,绑定⾃定义事件,@⾃定义事件=“⽗修改数据的函数” (⽗绑定)⽗组件通过 ⾃定义属性 传递数据 (⽗传)
字节跳动在GitHub上有哪些开源项目
interpromotion的博客
04-23 1398
字节跳动(ByteDance)在GitHub上开源了许多项目,涵盖前端、后端、云原生、AI、数据库等多个领域。这些项目体现了字节跳动在技术领域的广泛投入,适合开发者学习或直接应用于生产环境
第十三节:实战与工程化高频题-TypeScript集成要点
qq_40860137的博客
04-28 825
类型声明:defineProps<{ title: string }>()、defineEmits<(...)>() 类型推断:Composition API自动推导响应式变量类型
关于浏览器对于HTML实体编码,urlencode,Unicode解析
m0_74848570的博客
04-29 505
,<title>标签,在HTML解析器解析RCDATA 标签时,进入RCDATA状态,在这个状态能被识别为标签的只有
uni-app(vue3)动态获取swiper的区域高度以及通过scroll-view实现区域滚动和scroll-view的置顶功能
qq_39691676的博客
04-28 540
计算方式:swiper高度 = page高度 - tabs高度 - search高度。
vue响应式原理——vue2和vue3的响应式实现区别
2301_77523019的博客
04-27 435
vue响应式原理——vue2和vue3的响应式实现区别
某团 酒店 H5版本
02-17
### 关于美团酒店H5版本的技术信息 对于美团酒店H5版本的开发文档或源码示例,虽然具体的官方文档链接未直接提供,但从现有资料可以推测出一些可能的方向和技术栈。 #### 技术选型与实现方式 考虑到 mpvue 提供了完整的 Vue.js 开发体验以及为 H5 和小程序提供了代码复用能力[^1],这表明在构建像美团这样的大型平台时,可能会优先考虑能够支持跨平台的应用框架。因此,在处理H5页面特别是涉及复杂交互逻辑的情况下,Vue.js 或其衍生框架可能是合理的选择之一。 #### 示例代码片段展示如何获取数据 下面给出一段基于 Python 的代码用于模拟从服务器端拉取类似美团酒店列表的信息: ```python import requests url = 'https://api.example.com/hotel/list' params = { "city": "北京", "checkInDate": "2023-10-07" } response = requests.get(url, params=params) if response.status_code == 200: hotels_data = response.json() else: print(f"请求失败,状态码:{response.status_code}") ``` 请注意上述URL仅为示意用途,并不代表真实的API地址;实际应用中应当替换为目标服务的真实接口路径。 由于涉及到商业敏感性和版权保护等因素,公开可访问的具体项目源码通常不会轻易对外公布。不过,可以通过研究开源社区中的相似案例来获得灵感和支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值