声明:该文章为学习使用,严禁用于商业用途和非法用途,违者后果自负,由此产生的一切后果均与作者无关
一、瑞数四特点:
-
有两次相同的请求。
-
瑞数 Cookie 一般是成对出现的,例如 FSSBBIl1UgzbN7N80S 和 FSSBBIl1UgzbN7N80T。其中以 S 结尾的 Cookie 是第一次的 202 那个请求服务器返回的,以 T 结尾的 Cookie 是由 JS 生成的,动态变化的,T 和 S 前面一般会跟 80 或 443 的数字 (数字 80 是 http 协议的默认端口号,数字 443 是 https 协议的默认端口)。
-
js 代码生成的 cookie 值,首字母一定会有一个数字,3 代表 3 代,4 表示 4 代,5 代表 5 代。
-
打开抓包工具后,会进入两次无限 debugger。
-
第一次请求:状态码 202, 服务器响应一个 cookie, 返回一段包含 js 代码的 html 代码。
-
第一次返回的 html 代码结构:
-
meta 标签的 content 内容,每次都是变化的。
-
两个 script 标签:
-
第一个 script 标签是外链的 JS,直接打开看是乱码的,里面定义了全局变量 window.$_ts,在自执行方法中会用到,在不同页面也有所差别,但是同一个网站同一个页面 JS 里的内容一般是固定不会变的。
-
第二个 script 标签里面包含一个自执行方法,可以将外链的 JS 乱码变成 VM 文件中的正常代码,用来生成 cookie 信息, 每次请求变化的只是变量名,整体逻辑不变,瑞数的 JS 混淆代码中,变量、方法名大多类似于 _$xx,有众多的 if-else 控制流。
-
-
6、第二次请求,携带两个 cookie 返回正确数据 。
二、瑞数4分析
本文介绍的是JS逆向补环境的方式过瑞数
目标网站:http://www.fangdi.com.cn/index.html
1、请求状态码
清空cookie, 刷新页面,可以看到先请求了http://www.fangdi.com.cn/index.html 接口,返回了状态码202
2、返回代码构成
返回的是一段包含js代码的html代码,其中js代码是一个自执行方法,用来生成cookie信息,而且还有一个外链的js,请求后返回的是ts代码
3、定位cookie位置
清空cookie后,使用油猴脚本
(function () {
// 严谨模式 检查所有错误
'use strict';
// document 为要hook的对象 这里是hook的cookie
var cookieTemp = "";
Object.defineProperty(document, 'cookie', {
// hook set方法也就是赋值的方法
set: function (val) {
// 这样就可以快速给下面这个代码行下断点
// 从而快速定位设置cookie的代码
if (val.indexOf('FSSBBIl1UgzbN7N80T') != -1) {
debugger;
}
console.log('Hook捕获到cookie设置->', val);
cookieTemp = val;
return val;
}, // hook get 方法也就是取值的方法
get: function () {
return cookieTemp;
}
});
})();依次出现两个典型的无限 debugger对于后续分析没有影响,直接右键永不在此暂停,定位到cookie
找到cookie赋值位置,由于很多值、变量都是动态变化的,所以需要固定一套代码到本地,方便打断点分析和跟栈
4、分析代码
在查看栈堆时,我们发现上面是同一个 VM 文件,下面都在 index.html 文件中。VM 文件是浏览器为匿名函数创建的内存空间,用于存储和执行临时脚本,通常由执行 eval、setTimeOut、call 等方法生成。所以可以确定一定是在 index.html 中调用方法生成了 VM 文件。
通过定位到 index.html 文件,发现是执行了 call 方法生成了 VM 文件(瑞数 4、5、6 通常都是调用的 call 方法)。向上查找,会发现 call 方法在自执行方法里面。
由于代码执行完后,在 document.cookie 中一定会有数据。此时,我们可以直接把整个自执行方法拿下来,然后使用 console.log(document.cookie) 直接调用 cookie,在控制台输出。
5、补环境
运行代码,会提示缺少环境
_$yz = window,
^
ReferenceError: window is not defined
使用吐环境代码:
function get_enviroment(proxy_array) {
for (var i = 0; i < proxy_array.length; i++) {
handler = '{\n' +
' get: function(target, property, receiver) {\n' +
' console.log("方法:", "get ", "对象:", ' +
'"' + proxy_array[i] + '" ,' +
'" 属性:", property, ' +
'" 属性类型:", ' + 'typeof property, ' +
// '" 属性值:", ' + 'target[property], ' +
'" 属性值类型:", typeof target[property]);\n' +
' return target[property];\n' +
' },\n' +
' set: function(target, property, value, receiver) {\n' +
' console.log("方法:", "set ", "对象:", ' +
'"' + proxy_array[i] + '" ,' +
'" 属性:", property, ' +
'" 属性类型:", ' + 'typeof property, ' +
// '" 属性值:", ' + 'target[property], ' +
'" 属性值类型:", typeof target[property]);\n' +
' return Reflect.set(...arguments);\n' +
' }\n' +
'}'
eval('try{\n' + proxy_array[i] + ';\n'
+ proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}catch (e) {\n' + proxy_array[i] + '={};\n'
+ proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}')
}
}
proxy_array = ['window', 'document', 'location', 'navigator', 'history', 'screen']
get_enviroment(proxy_array)补上环境
window = global再运行,报错,缺少window.$_ts, 缺失的ts就是外链的代码
补上后,继续运行
可以看到一大段的报错,但是没有显示具体的行号,一般js代码报错都会在控制台第一行提示具体那行的问题,这是因为报错的点在call里面,会生成VM文件,但是VM文件并不是真正的代码,没有办法调试,在pycharm中也没有办法在控制台打印输出,所以会展示成一大段字符串信息
ret = _$$m.call(_$y6, _$$S);没有显示哪里出错,就继续补环境
环境提示window.top下的某个对象是空值,但是不知道代码具体在哪里报错,在浏览器中分析,
查看top属性的赋值位置,需要进入VM文件,全局搜索 top, 在有top调用的地方打断点运行可以看到赋值位置:
_$ig = _$Q0.top[_$Bq[20]]把鼠标放到_$Q0上可以看到,_$Bq[20]是location, _$Q0是window对象,_$Q0.top也是window对象, 所以补环境
window.top = window6、pycharm联调开发者工具
在页面上一步步调试当前代码时,可能很难找到对应的位置。此时,我们可以通过 Node 代码来将本地代码输出到开发者工具,以便更高效地进行调试。
使用方式如下:
打开终端,输入 node --inspect-brk 文件名 ,这会通过 ws 协议将代码加载到控制台。然后,在 Chrome 浏览器中访问 chrome://inspect/#devices 。
点击inspect就可以在浏览器中根据断点,栈堆调试,然后可以和真实环境对照,报错的话可以定位哪一行的问题,补环境也可以确定是否需要补, 这种办法适用于所有环境
继续运行,缺少document.createElement
在控制台打印接收的参数
document = {
createElement: function (args) {
console.log('document的createElement接受的参数:', args)
}
}可以得到创建的是div标签
可以判断如果接收的参数是div, 则返回一个空对象,因为createElement方法返回的是一个对象
document = {
createElement: function (args) {
console.log('document的createElement接受的参数:', args)
if (args == 'div'){
return {}
}
}
}继续运行,还是createElement的报错,但是没有提示报错位置, 往下看,提示 _$gY[_$9p[51]]is not a function,
可以用联调工具调试查看具体那行报错,或者在VM文件中搜索 _$gY[_$9p[51]]打断点
鼠标悬浮到代码上方,代码为,第一行是创建一个div标签,第二行是获取div标签里面的i属性,但是获取到的是undefined
, _$gY = _$c2.createElement('div')
, _$C4 = _$gY.getElementsByTagName('i');补方法,从当前div获取到的标签里面有一个方法getElementsByTagName,接收一个参数i, 因为div是刚创建的,所有i参数是空的,返回的是一个空数组, 可以写成 return [] 或者 return {length: 0}
document = {
createElement: function (args) {
console.log('document的createElement接受的参数:', args)
if (args == 'div'){
return {
getElementsByTagName: function (args) {
console.log('document的createElement的getElementsByTagName接受的参数:', args)
return []
}
}
}
}
}继续运行补上window下的addEventListener属性
window.addEventListener = function(args){
console.log('window的addEventListener接受的参数:', args)
}再运行缺少document下的getElementsByTagName属性,使用联调工具定位到
var _$wi = _$c2[_$9p[51]](_$9p[251]);
var _$gY = _$wi[_$wi.length - 1];
var _$C4 = _$gY[_$9p[210]];
_$gY.parentNode[_$9p[13]](_$gY);
return _$C4;其中_$c2为document对象代表整个HTML文档,逻辑为从整个index.html中获取最后一个meta标签里面content的内容,然后移除最后一个meta标签
var _$wi = _$c2.getElementsByTagName("meta");
var _$gY = _$wi[_$wi.length - 1];
var _$C4 = _$gY.content;
$gY.parentNode.removeChild(_$gY);
return _$C4;需要补的环境为
getElementsByTagName: function (args) {
console.log('document的getElementsByTagName接受的参数:', args)
if (args == 'meta'){
return [
{},
{
parentNode: {
removeChild: function (args) {
console.log('document的getElementsByTagName的meta的parentNode接受的参数:', args)
}
},
content: "{ql3650r0qVE3aAXSc0lMaKzStNmtGAJ1719027822297Y4bJx5K0CUMv8ZLR_mGmBph4E6CIvtsy8ut1074790464Ddfe167m26649q 0wR7HvJ6IsUC410DntKRngA;QyqA82EGtIB6ePNEeYo9NG;iEm6gdSTTpYiqU10OlvsnG;yMG8gk5okQ97gP4eb.IadA;T8F36FaS9AtR4sXBkRr0iG;RTlM3IYjAzboXbIiNSIFRA;t7_svh3Kc3.VU9jOjAJgdq;.8D9Zx78FrKF.Zn4xbfmIG;IMhCM7gXESIqShs5TNMo9A;pvBPF7OtrK6trS5vZYizwa;9qxqLXuEeDQeAlNfAL_l.A;VNeyFcNDtQZhV2sfCxyHqA;kT4JL2WRSOhvUIEcOjSrva;LpFhLGWYI8eFx_X999MLEq;NqssQaVItFB0TevtNxJrkG;AI3RN3R7lP0BBnYsoCO5KG;xrYRhwM6FYW7zCsPL.iecq;0kOXzZzt1eXLrlPo.QQ4xG;ApKNqLIRoybF5rIxSnabBG;hfgZrtz_KscdFC6a3f1wKA;lWBgwqkwoQ1R4mECqvKq7zx6rH3caqqqqqqqqqqqqqqqqr0qqr1hT.nw8lAeRv5ql4096k162c80{;mKlvKnS1haw_rCqEQqff1U3FQqffkTqoQqmaqCmDWf2Zmoq8W274loAFpp20k0liRp0TUuJF3A2GDUYWh0aOpUBf35fngCo7R_NyyoBf3iRn4UK4h4gP7YsB38pO_06qwdNaZbDZwiJ25Da|[H6pDAT0vU13lkGGFMpzHAYgTr9eCtqAuVONEuUX_UhJ0z9BskdExCAs9k7WtdVP_1hTGz6MLsixKzmMTsHTKjUXjMZxh0vizFBqtgvhfrH2DdoKvwwmDTKUuFWwbn0dCYixWgVXQQZf5vmsMU7JRu0OlY7NYSlOhri27g66uwzgiy2OiUI7E5q1kMzNNuU45UwYu_vM8rHw_nmiuYjyE5Yuz8MSTB6Oukglp.mb7kBaEdfDbsHRMgob6wFNgyq5VlMwR7A4OciWpBVuOY3gWgTjfU3zB.asjsRYyfAbhQFgt0VdIFxTjGAjw1_S1GqAQQp2oElqBAnSExVqXA1NEh9AYpSmEK7xDESIWWzr2B7MbjNDdoVqqqWUdRNuC.oFWzbqqqqqqqqqqqqqqq!x7z,aac,amr,asm,avi,bak,bat,bmp,bin,c,cab,css,csv,com,cpp,dat,dll,doc,dot,docx,exe,eot,fla,flc,fon,fot,font,gdb,gif,gz,gho,hlp,hpp,htc,ico,ini,inf,ins,iso,js,jar,jpg,jpeg,json,java,lib,log,mid,mp4,mpa,m4a,mp3,mpg,mkv,mod,mov,mim,mpp,msi,mpeg,obj,ocx,ogg,olb,ole,otf,py,pyc,pas,pgm,ppm,pps,ppt,pdf,pptx,png,pic,pli,psd,qif,qtx,ra,rm,ram,rmvb,reg,res,rtf,rar,so,sbl,sfx,swa,swf,svg,sys,tar,taz,tif,tiff,torrent,txt,ttf,vsd,vss,vsw,vxd,woff,woff2,wmv,wma,wav,wps,xbm,xpm,xls,xlsx,xsl,xml,z,zip,apk,plist,ipa"
}
]
}
}继续运行,提示缺少location环境
控制台copy(location)
location = {
"ancestorOrigins": {},
"href": "http://www.fangdi.com.cn/index.html",
"origin": "http://www.fangdi.com.cn",
"protocol": "http:",
"host": "www.fangdi.com.cn",
"hostname": "www.fangdi.com.cn",
"port": "",
"pathname": "/index.html",
"search": "",
"hash": ""
}继续运行,补上document下addEventListener方法
addEventListener: function (args){
console.log('document的addEventListener接受的参数:', args)
}, 继续运行,提示document的getElementsByTagName里面没有script
按之前的方法补上参数等于script时的判断
if (args == 'script'){
return [
{
getAttribute: function (args) {
console.log('document的getElementsByTagName的getAttribute接受的参数:', args)
if (args == 'r'){
return 'm'
}
},
parentElement: {
removeChild: function (args) {
console.log('document的getElementsByTagName的removeChild接受的参数:', args)
}
}
},
{
getAttribute: function (args) {
console.log('document的getElementsByTagName的getAttribute接受的参数:', args)
if (args == 'r'){
return 'm'
}
},
parentElement: {
removeChild: function () {
console.log('document的getElementsByTagName的removeChild接受的参数:', args)
}
}
}
]
}运行,置空setTimeout和setInterval
setTimeout = function () {}
setInterval = function () {}7、删除本地文件
在所有瑞数中(放到js代码的最上面)一定要执行把本地对应的文件删除,如果不执行,会返回状态码400
delete __dirname
delete __filename
在 Node.js 中,__dirname 和 __filename 是全局变量,分别表示当前模块的目录路径和文件路径。
8、单独补环境的JS代码
function get_enviroment(proxy_array) {
for (var i = 0; i < proxy_array.length; i++) {
handler = '{\n' +
' get: function(target, property, receiver) {\n' +
' console.log("方法:", "get ", "对象:", ' +
'"' + proxy_array[i] + '" ,' +
'" 属性:", property, ' +
'" 属性类型:", ' + 'typeof property, ' +
// '" 属性值:", ' + 'target[property], ' +
'" 属性值类型:", typeof target[property]);\n' +
'if(typeof target[property] === "undefined"){debugger}' +
' return target[property];\n' +
' },\n' +
' set: function(target, property, value, receiver) {\n' +
' console.log("方法:", "set ", "对象:", ' +
'"' + proxy_array[i] + '" ,' +
'" 属性:", property, ' +
'" 属性类型:", ' + 'typeof property, ' +
// '" 属性值:", ' + 'target[property], ' +
'" 属性值类型:", typeof target[property]);\n' +
' return Reflect.set(...arguments);\n' +
' }\n' +
'}'
eval('try{\n' + proxy_array[i] + ';\n'
+ proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}catch (e) {\n' + proxy_array[i] + '={};\n'
+ proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}')
}
}
proxy_array = ['window', 'document', 'location', 'navigator', 'history', 'screen']
window = global;
window.top = window
window.addEventListener = function (args) {
console.log('window的addEventListener接受的参数:', args)
}
document = {
addEventListener: function (args){
console.log('document的addEventListener接受的参数:', args)
},
createElement: function (args) {
console.log('document的createElement接受的参数:', args)
if (args == 'div'){
return {
getElementsByTagName: function (args) {
console.log('document的createElement的getElementsByTagName接受的参数:', args)
return []
}
}
}
},
getElementsByTagName: function (args) {
console.log('document的getElementsByTagName接受的参数:', args)
if (args == 'meta'){
return [
{},
{
parentNode: {
removeChild: function (args) {
console.log('document的getElementsByTagName的meta的parentNode接受的参数:', args)
}
},
content: "{qhpcY8TzL4sVpkF27qql4096qqqt10747904321AkxBKnyUxVSXUspMhqq}!13fTg1IyHHyNdukZhhr.yPk.hIVv7Cv4hFy.nSM_xdLbeP6om.zNecOChtm._csyQwRS5qDplJLt2pBqcxq5dnjscWqJ6UOQkX0rnaKVDzgtvCIGmXWOZkHQWegh4649I3A.6ntWrZZyZPs4QwQQ46Oocy3wL6bVx_AjZ1dSrjqa2AOjFMZLNOnXwigpNu.ecEEJfSPZiFAa7Oikq.WL2pPAF53k162iie3xyquOcX7i4qq!x7z,aac,amr,asm,avi,bak,bat,bmp,bin,c,cab,css,csv,com,cpp,dat,dll,doc,dot,docx,exe,eot,fla,flc,fon,fot,font,gdb,gif,gz,gho,hlp,hpp,htc,ico,ini,inf,ins,iso,js,jar,jpg,jpeg,json,java,lib,log,mid,mp4,mpa,m4a,mp3,mpg,mkv,mod,mov,mim,mpp,msi,mpeg,obj,ocx,ogg,olb,ole,otf,py,pyc,pas,pgm,ppm,pps,ppt,pdf,pptx,png,pic,pli,psd,qif,qtx,ra,rm,ram,rmvb,reg,res,rtf,rar,so,sbl,sfx,swa,swf,svg,sys,tar,taz,tif,tiff,torrent,txt,ttf,vsd,vss,vsw,vxd,woff,woff2,wmv,wma,wav,wps,xbm,xpm,xls,xlsx,xsl,xml,z,zip,apk,plist,ipar0lQvrwqqhL6CrD4KbsUUKTRqr2QIOXRyUESZKBBpGvAqqYRwA2IP3X8_s0Yq6J8LYIB|gAsfTK6JOql9bVuq18qaAQGfBJsxSiSWUmPANq1E7WGGbwq9Uis0Gif7p8kVboSGrxfqkJGa3hDl3cOwbrAEbhaqPhpqCFv2NxuVGJSxuDcgGMu7Bqk36xqZBWsQA1ngx81aoKSE7xOgyxGaZcfQ.Ecf3kA2BiGGbQG7Vt6QgmAlyHaVBiuQ3HkxWQVZ9WcaElOgS41kPE79D0aKjqJZ87PjTxZW3NnkZweguBGCOl5GPCusIQeGuLP41Q5xaNq.ihXWT0kIdlQWq4CdkczWO5fPBJxlzuACMw77.qqhE2v8KErqAgBqqqqqqq.XK7csk6cLQNnPCKEyF6KjBiXsdYznFrdj6X3J7DBVfG|[mmRz3U3mwGGBEcWgpO29R6VshKTwcPZz81pOhTr3wTYIVDqSxrqPJnZtx1lfoCJQ3TzhYY0tRSSe1v0URSeesTrWpcrGWmfkApgfqm9khSezD2ymUOJzn04zA5YJ_KsAIZpvaCc5KiRY7vdyw8mn_KHPI8f5ybHThewoaYMpUIG2aoH7wz9OTP5zpIfc4TU3wBJ3nm6Zh52pTvOpIQSOv68hVzy86YiwxiZ_uvhixRLObk.lRypav2hxU7fsfPsnizmn0nKrEg0_0C8rIXavfUoowX2lu1d0RLz1NntNKLGfeCseA4er.nDu3EyyLPZqqVq_gnbstKWgAnfO1tWgQS 0wR7HvJ6IsUC410DntKRngA;QyqA82EGtIB6ePNEeYo9NG;iEm6gdSTTpYiqU10OlvsnG;yMG8gk5okQ97gP4eb.IadA;T8F36FaS9AtR4sXBkRr0iG;RTlM3IYjAzboXbIiNSIFRA;t7_svh3Kc3.VU9jOjAJgdq;.8D9Zx78FrKF.Zn4xbfmIG;IMhCM7gXESIqShs5TNMo9A;pvBPF7OtrK6trS5vZYizwa;9qxqLXuEeDQeAlNfAL_l.A;VNeyFcNDtQZhV2sfCxyHqA;kT4JL2WRSOhvUIEcOjSrva;LpFhLGWYI8eFx_X999MLEq;NqssQaVItFB0TevtNxJrkG;AI3RN3R7lP0BBnYsoCO5KG;xrYRhwM6FYW7zCsPL.iecq;0kOXzZzt1eXLrlPo.QQ4xG;ApKNqLIRoybF5rIxSnabBG;hfgZrtz_KscdFC6a3f1wKA;qqr1QsKe4YvSDI0pgAUSt8lrZsozqwVr5qql3650Ddfe167qqr0c80qqr0m26649qqr4{MUNz7LKjLRHV641.ahJ2a01BpJBqjS1.qHNp99CF1qw9CnukIWQl5vD1QFNVa01O3iwWj6cnFhz9.0sIRhR3n6kkwtzWqq"
}
]
}
if (args == 'script'){
return [
{
getAttribute: function (args) {
console.log('document的getElementsByTagName的getAttribute接受的参数:', args)
if (args == 'r'){
return 'm'
}
},
parentElement: {
removeChild: function (args) {
console.log('document的getElementsByTagName的removeChild接受的参数:', args)
}
}
},
{
getAttribute: function (args) {
console.log('document的getElementsByTagName的getAttribute接受的参数:', args)
if (args == 'r'){
return 'm'
}
},
parentElement: {
removeChild: function () {
console.log('document的getElementsByTagName的removeChild接受的参数:', args)
}
}
}
]
}
}
}
location = {
"ancestorOrigins": {},
"href": "http://www.fangdi.com.cn/index.html",
"origin": "http://www.fangdi.com.cn",
"protocol": "http:",
"host": "www.fangdi.com.cn",
"hostname": "www.fangdi.com.cn",
"port": "",
"pathname": "/index.html",
"search": "",
"hash": ""
}
setTimeout = function () {}
setInterval = function () {}
get_enviroment(proxy_array)
// ts代码
// 自执行方法
console.log(document.cookie)8、完整代码
python:
瑞数里面,外链的js是固定的,也就是说自执行方法会变,但是外链的代码不变,如果自执行方法是外链,那么自执行方法不用变, 本案例中需要将自执行方法和content内容写活, 读取文件时替换成页面生成的
import requests
from lxml import etree
import execjs
requests = requests.session()
headers = {
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7",
"Accept-Language": "zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6",
"Cache-Control": "no-cache",
"Connection": "keep-alive",
"Pragma": "no-cache",
"Upgrade-Insecure-Requests": "1",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 Edg/125.0.0.0"
}
url = "http://www.fangdi.com.cn/index.html"
response = requests.get(url, headers=headers, verify=False)
html_obj = etree.HTML(response.text)
meta_content = html_obj.xpath('//meta[2]/@content')[0]
js_code = html_obj.xpath('//script[2]/text()')[0]
js = execjs.compile(
open('房地产.js', encoding='utf-8').read().replace('content1', meta_content).replace('"fun_code"', js_code))
print(js.call('get_cookie').split('='))
cookies = {
js.call('get_cookie').split('=')[0]: js.call('get_cookie').split('=')[1]
}
res = requests.get(url, headers=headers, cookies=cookies)
res.encoding = 'utf-8'
print(res.text)
JS代码:
delete __dirname
delete __filename
function get_enviroment(proxy_array) {
for(var i=0; i<proxy_array.length; i++){
handler = '{\n' +
' get: function(target, property, receiver) {\n' +
' console.log("方法:", "get ", "对象:", ' +
'"' + proxy_array[i] + '" ,' +
'" 属性:", property, ' +
'" 属性类型:", ' + 'typeof property, ' +
// '" 属性值:", ' + 'target[property], ' +
'" 属性值类型:", typeof target[property]);\n' +
// 'if(typeof target[property] === "undefined"){debugger}' +
' return target[property];\n' +
' },\n' +
' set: function(target, property, value, receiver) {\n' +
' console.log("方法:", "set ", "对象:", ' +
'"' + proxy_array[i] + '" ,' +
'" 属性:", property, ' +
'" 属性类型:", ' + 'typeof property, ' +
// '" 属性值:", ' + 'target[property], ' +
'" 属性值类型:", typeof target[property]);\n' +
' return Reflect.set(...arguments);\n' +
' }\n' +
'}'
eval('try{\n' + proxy_array[i] + ';\n'
+ proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}catch (e) {\n' + proxy_array[i] + '={};\n'
+ proxy_array[i] + '=new Proxy(' + proxy_array[i] + ', ' + handler + ')}')
}
}
proxy_array = ['window', 'document', 'location', 'navigator', 'history','screen'];
window = global;
window.top = window;
window.addEventListener = function(args){
console.log('window的addEventListener接受的参数:', args)
}
document = {
addEventListener: function (args){
console.log('document的addEventListener接受的参数:', args)
},
createElement: function (args) {
console.log('document的createElement接受的参数:', args)
if (args == 'div'){
return {
getElementsByTagName: function (args) {
console.log('document的createElement的getElementsByTagName接受的参数:', args)
return []
}
}
}
},
getElementsByTagName: function (args) {
console.log('document的getElementsByTagName接受的参数:', args)
if (args == 'meta'){
return [
{},
{
parentNode: {
removeChild: function (args) {
console.log('document的getElementsByTagName的meta的parentNode接受的参数:', args)
}
},
content: 'content1'
}
]
}
if (args == 'script'){
return [
{
getAttribute: function (args) {
console.log('document的getElementsByTagName的getAttribute接受的参数:', args)
if (args == 'r'){
return 'm'
}
},
parentElement: {
removeChild: function (args) {
console.log('document的getElementsByTagName的removeChild接受的参数:', args)
}
}
},
{
getAttribute: function (args) {
console.log('document的getElementsByTagName的getAttribute接受的参数:', args)
if (args == 'r'){
return 'm'
}
},
parentElement: {
removeChild: function () {
console.log('document的getElementsByTagName的removeChild接受的参数:', args)
}
}
}
]
}
}
}
location = {
"ancestorOrigins": {},
"href": "http://www.fangdi.com.cn/index.html",
"origin": "http://www.fangdi.com.cn",
"protocol": "http:",
"host": "www.fangdi.com.cn",
"hostname": "www.fangdi.com.cn",
"port": "",
"pathname": "/index.html",
"search": "",
"hash": ""
}
setTimeout = function (){debugger}
setInterval = function (){debugger}
get_enviroment(proxy_array)
// 粘贴的ts代码
!"fun_code"
function get_cookie() {
return document.cookie
}
三、瑞数五特点
1、两次相同的请求
2、第一个请求状态412
3、以 T 和 S 结尾的两个 Cookie,但有些特殊的 5 代瑞数也有以 O 和 P 结尾的,同样的,以 O 开头的是第一次的 412 那个请求返回的,以 P 开头的是由 JS 生成的,Cookie 值第一个数字同样为瑞数的版本,和 3、4 代不同的是,5 代没有加端口号了
四、瑞数六特点
1、第一次请求状态码412
2、html页面返回的是ts代码,自执行方法在外链的JS中(固定的自执行方法,变化的ts代码)
3、3层debugger
扫一扫
5505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
