所有文章首发在我的微信公众号“逆向新手”,更多逆向系列请关注公众号,谢谢!
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!
目标网站:
aHR0cHM6Ly93d3cuemhpcGluLmNvbS9qb2JfZGV0YWlsLz9xdWVyeT1qYXZhJmNpdHk9MTAxMjgwNjAwJmluZHVzdHJ5PSZwb3NpdGlvbj0=
本次目标为获取cookie __zp_stoken__
这里介绍一种快速定位cookie加密的方法:浏览器安装油猴插件(自行百度),编写脚本如下
保存脚本并打开开关,清空cookie后重新刷新页面,成功断下,且值已经生成了
往上跟踪堆栈,发现其为ABC
类的z
方法生成,传入的实参为seed
、ts
这两个值都在上面生成,因此我们在上面打下断点,清空cookie后再次刷新页面
跟进getQueryString
方法看下,即点击红框部分,或按F11运行进入
var getQueryString = function(name) {
var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
var r = window.location.search.substr(1).match(reg);
if (r != null) return unescape(r[2]);
return null;
};
分析以上代码,实际就是取window.location.search
中的参数值,注意编码转换
那么这段url哪里来的呢?原来就是请求目标网站后302跳转的
继续运行,使之停在这里
按F11跟进后,发现代码混淆的比较严重
拉到最上面,可以看出是很明显的ob混淆
这时候可以利用我之前介绍的ob混淆还原工具配合正则替换的方法,可以将代码量缩减到原来的一半左右,且逻辑比较清晰了,如图:
现在直接在本地调试即可。调试时发现代码中大量检测了浏览器环境,如
遇到检测浏览器环境的,通常有两种做法:一是直接将检测的代码删除,同时将逻辑修改成与浏览器运行逻辑一致,如
// 将以下代码
if (typeof document.getElementById == "function") {
a = 10;
}
if (window.global != undefined) {
b = 20;
}
// 修改成如下即可
a = 10;
因为在浏览器中,条件1成立,而条件2不成立。由于这段JS代码是动态变化的
它前四位就是根据代码中动态生成的,所以方法一在这里不可行,因此只能采用方法二
方法二不用修改代码,我们直接伪造浏览器环境,使代码可以像在浏览器环境中一样运行。如何伪造请看这篇《JS逆向 | 骚操作教你如何伪造浏览器环境》
最后直接将获取的参数、代码执行eval即可获得cookie。需要注意的是,它不仅只有一套代码,我碰到了两套,需要根据不同的代码伪造不同的环境,最后合成通用的环境即可,最终能获取到网页源码即成功,如图:
代码已经放到本人Github[1],需要自取,完!
欢迎关注我的公众号“逆向新手”,逆向系列将持续更新!
参考资料
[1] 本人Github: https://github.com/DingZaiHub/PythonSpider