qq_67590525的博客

很久没有更新了，之前也就发了五篇文章，感觉有点半途而废。没有写文章的这段时间我也是不断在实习，暑假在厦门实习，现在在广州实习，回归正题。今天分享一下猿人学第九题。第九题是一个cookie加密，加密值是m=5BA3FaaanIG3WZw6G9wlEu3B8v7txNTcFfgHVoKjz48ficjeSigH0gUa25FHKpf0luC2ZAeMnuwaytuirAvnrBbY9NwBFN8URpIHX8QIPy80pikFdJKHvQQGrrK3RinO2XnhisQow68ZN%2BIHbPNBIn

最后我插一嘴，这种代码是可以全扣的，扣完补环境就可以啦。当然，出题人可能是想让我们通扣代码了解混淆的思路。我们发现是_0x4e96b4['_$ss']这里传来的，而_0x4e96b4是window。然后发现就在上面，通过观察，发现是AES加密。因此，我们可以使用脚本hookwindow._$ss，看是哪里加密的。先使用脚本对RM4hZBv0dDon443M进行hook，脚本如下。然后发现是_0x29dd83这个函数进行生成的。这里提供思路，就是搜m=，然后断点。根据脚本找到加密位置后，继续跟栈。

得到加密函数后，接下来就是怎么处理图像，这个我忙了很久，开始是想训练个模型，但是太麻烦。然后又想找其他生成好的模型识别，但是我发现很拉跨，再我焦虑之时，突然灵光一闪。其图像是重复利用得，直接用上面得组成一个hash字典便可。开始上下左右检查，看是不是cookies校验、是不是headers加密、是不是参数加密、是不是响应加密。其数据格式：[[0, '11.5'], [7, '23.0'], [2, '-23.0'], [7, '-11.5']]通过分析，我们可知，其加载得数字是经过排序得。

通过分析，我们大致可以得出一个思路：首先要请求jssm，取出jssm返回的sessionid。然后再请求page=2，page=2要带上上面取出的sessionid。打开jssm，我们发现没有请求参数、请求头也没有加密。这是因为浏览器会对请求头排序，我们在浏览器看到的请求头都是经过排序的，而不是服务器原始顺序的请求头。再打开page=2，我们也没有发现可以的加密参数和加密请求头。但是翻开cookies时，我们发现其有带sessionid这个由jssm的响应标头返回的cookies。请求，可以得出结果。

这里，我们不使用hook，因为hook到的cookie在虚拟代码里面。没办法打断点进行调试，所以我们直接采用对脚本监听的方式。如果没有停止在这个界面，是因为你没有使用无痕浏览器。这里找到m关键生成的位置，可以看到，其中的一个参数是时间戳。可以发现，有两个参数，第一个参数能分析出是一个函数，第二个参数我们知道是时间戳变量。接下来就把生成cookie的函数扣下来，补代码就行了。这里考验的是你扣代码的能力。经典的ob混淆，这是混淆的大数组，里面存放了混淆代码的信息。下面的一个自执行函数，是cookie的地方。

其中主要的点在，oo0O0(_0x2268f9['\x74\x6f\x53\x74\x72' + '\x69\x6e\x67']()) + window['\x66']这里。注意，进入到这个函数后，很容易被断开，所以直接将这个函数扣出来。这里需要补的一些参数，补完后就可以构建生成m的方法了。这里的 window['\x66']这个，需要你跟进oo0O0这个参数才能找出来。这里有无限debugger，直接打断点过掉，或者使用debugger脚本。到了这一步后，我们发现数据在window['\x66']这里。