猿人学第五题--混淆乱码增强

于 2024-04-18 22:58:29 发布
阅读量1k 收藏 16
点赞数 30
文章标签: python javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuangjoo/article/details/137919362
版权

能够走到这儿的,也就不难找到本题所需的逆向参数是cookie里的m和RM值。

一、逆向位置定位

(1)RM值定位

通过油猴hook脚本,hook脚本可以在我前几个文章里找,不难定位到这儿(一定要是RM有值的地方往前追)。也就是RM= _0x4e96b4['_$ss'],鼠标悬停发现 _0x4e96b4是window。那我们就hook window的'_$ss'的属性。

// ==UserScript==
// @name         hookwindow
// @namespace    http://tampermonkey.net/
// @version      0.1
// @description  try to take over the world!
// @author       Shirmay1
// @run-at       document-start
// @match        https://match.yuanrenxue.cn/match/5
// @grant        none
// ==/UserScript==

(function() {
    'use strict';
    var pre = "";
    Object.defineProperty(window, '_$ss', {
        get: function() {
            console.log('Getting window.属性');
            return pre
        },
        set: function(val) {
            console.log('Setting window.属性', val);
            debugger ;
            pre = val;
        }
    })
})();

        通过油猴不难来到这儿

稍微分析下_0x4e96b4['_$ss']是一个通过AES加密后的密文,其中_0x4e96b4['_$pr']是明文数据,一个数组列表,_0x4e96b4["_$qF"]是密钥数据,一个对象。又是window的两个属性。

(2)RM明文定位

        继续hook。密钥大概率是固定的,先hook明文_0x4e96b4['_$pr']。

        

        _0x4d2d2c=Array,也就是创建一个空列表,而我们的明文数据包含五个元素,那么肯定是进行了push操作,搜一下_0x4e96b4['_$pr'],看看有没有push的地方。一共有三处地方进行了push,但第一处很奇怪。push完又删除,先都打到断点看看,走那里。

        刷新可以看到_0x4e96b4['_$pr']['push'](_0x474032(_$Wa));这一行走了四次,向_0x4e96b4['_$pr']添加了四个元素,每次传入的是_0x474032(_$Wa)这个函数生成值,该函数的参数是_$Wa = _0x12eaf3(),往上追一下发现是调用DATE函数生成时间戳。这就很奇怪了,随时生成的时间戳是个变量啊,而且这个变量看上下文并没有赋值给其它参数。也就是说这四次生成的元素,服务器是没法校验的。同时在这里我们也发现了m赋值的地方。

        最后一次生成的地方在这儿,至此五个值刚好完成,本次push的还是_0x474032(_$yw)这个函数,这次传入的参数也是时间戳,但同时时间戳也赋值给了_0x4e96b4['_$is'],同时我们也看到了m值生成的地方,而且在断点完全释放后发的数据包里的m值就是这次的m值。因此我们大胆的猜测发包时同时携带着_0x4e96b4['_$is'],用这三个值服务器进行校验。

(3)请求体定位

        一开始我们以为请求体的m和f两个值就是一个时间戳,不需要逆向,但是在RM值分析的过程中其传入的参数也是时间戳,那这三个时间戳应该是有关系 ,服务器才好进行校验。

        大胆猜测,我们就追一下看看。直接在启动器里查看request栈。

果然m=window._$is,这也就确定了服务器用请求体m、cookie的RM值和cookie.m值三者进行校验。
(4)RM密钥定位

继续用hook来定位密钥也就是window._$qF生成的地方,发现其是对window._$is也就是data.m进行切片生成的,原来密钥也是动态的。

 回顾一下整体逻辑:RM明文、RM密钥、data.m,cookie.m这四者的关系应该是这样。


rm = new Array()
for (i = 0; i < 4; i++) {
    timer = new Date().getTime()
    rm.push(_0x474032(timer))
}
data_m = new Date().getTime()
cookie_m = _0x474032(data_m)
rm.push(_0x474032(cookie_m))
key=CryptoJS['enc']['Utf8']['parse'](window['btoa'](window['_$is'])['slice'](0x0, 0x10))
_$Ww = _$Tk['enc']['Utf8']['parse'](rm['toString']()),
    _0x29dd83 = _$Tk['A' + "ES"]['encrypt'](_$Ww, key, {
        'mode': _$Tk['mode']['ECB'],
        'padding': _$Tk['pad']['Pkcs7']
    }),
    cookie_rm= _0x29dd83['toString']()

二、cookie.RM生成

先把明文和密钥写死来验证下是不是标准的aes加密。

没有问题,是标准的aes加密。

三、cookie.m生成

cookie.m=_0x474032(时间戳),也就是重点扣_0x474032这个函数。同样先写个验证函数,再一点一点的扣。

function _0x474032(_0x233f82, _0xe2ed33, _0x3229f9) {
        return _0xe2ed33 ? _0x3229f9 ? v(_0xe2ed33, _0x233f82) : y(_0xe2ed33, _0x233f82) : _0x3229f9 ? _0x41873d(_0x233f82) : _0x37614a(_0x233f82);
    }
    timer=1713411300000
m=_0x474032(timer)
if (m=="c1b570b8df5e42f035821111d7b22df7") {
    console.log('大功告成')
}else{
        console.log('再接再厉');
    }

缺什么补什么就不说,主要说些有争议的,第一个错误history没定义,定位到这儿发现在一个try的catch里,大概率是不走不到那儿的,浏览器调试下试试。果然没走,而且多刷新几次发现

op = _0x4e96b4['$_zw'][_$UH[0x6c]]是定值27,直接改写。

改写后就直接跳过了,

定位发现在一个eval里,浏览器执行下看看b64pad = _0x4e96b4['$_zw'][9]['length']也是个定值1,直接改写,同样也跳过了

函数补完不出意外,来到了再接再厉

先看看函数里的try都是怎么走的。

这个try,浏览器运行是走try里面的,还原下是这样的,var _0x42fb36 = window['XMLHttpRequest']['prototype']['DONE'] * 0x4;,那这个原型链里的东西,肯定是定值。直接改写。

try处理完还是再接再厉,那就可能还是缺少环境,我们只补了一个window,对window挂上代理看看

function proxy_watch(obj) {

    return new Proxy(obj, {
        get(target, p, receiver) {
            debugger;
            let val = Reflect.get(...arguments);
            if (val==undefined){
                // console.log("get", target, "=获取属性>", p, "=值>", val);
                // console.log('=========')
                // console.log('=========')
                console.log("get",  "=获取属性>", 'window.'+p, "=值>", val);
            }

            return val;
        },
        set(target, p, value, receiver) {
            debugger;
            // console.log("set", target, "=设置属性>", p, "=值>", value);
            return Reflect.set(...arguments);
        }
    });
};
window = proxy_watch(window)

可以看到取了四个window的属性未定义,浏览器控制台输出看看是什么 。

这两个定义了,补上。

大功告成!

至此cookie.m的值逆向完成。

四、编写调用函数

function get_data() {
    rm = new Array()
    for (i = 0; i < 4; i++) {
        timer = new Date().getTime()
        rm.push(_0x474032(timer))
    }
    data_m = new Date().getTime()
    cookie_m = _0x474032(data_m)
    rm.push(cookie_m)
    key = CryptoJS['enc']['Utf8']['parse'](window['btoa'](window['_$is'])['slice'](0x0, 0x10))
    _$Ww = _$Tk['enc']['Utf8']['parse'](rm['toString']()),
        _0x29dd83 = _$Tk['A' + "ES"]['encrypt'](_$Ww, key, {
            'mode': _$Tk['mode']['ECB'],
            'padding': _$Tk['pad']['Pkcs7']
        }),
        cookie_rm = _0x29dd83['toString']()
    data_f = Date.parse(new Date())
    return [data_m, data_f, cookie_m, cookie_rm]
}

剩下的就是py编写了!

zhuangjoo
关注
  • 30
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js代码-猿人第一js
07-14
【标】"js代码-猿人第一js" 涉及的知识点主要集中在JavaScript编程语言的基础使用上,这是编程初者在习过程中经常遇到的一类问JavaScript,简称JS,是一种轻量级的解释型编程语言,主要用于网页和网络...
javascript逆向 js混淆 乱码增强 js逆向
03-08
JavaScript混淆技术和乱码增强是提高代码安全性的手段之一。通过混淆技术,可以使代码难以被理解和分析,增加他人逆向工程的难度。同时,我们也应该关注代码质量和性能优化,确保代码的有效性和稳定性。习逆向...
猿人WEB目专解】猿人第5
user_from_future的博客
04-17 1万+
第五 js 混淆 乱码增强 - 猿人
JavaScript 逆向】猿人 web 第五乱码增强
Yy_Rose的博客
09-01 2826
猿人练习平台 web 比赛第五乱码增强,OB 混淆、AES 加密
猿人第五
m0_62945506的博客
07-31 887
然后又来了一次的_0x4e96b4['_$pr']['push'](_0x474032(_$yw));现在定位_0x4e96b4['_$qF'],直接搜索发现他在1444行和146行都有,那么下断点看走的那个最终发现他走的是1444行的赋值操作。然后再来定位_0x4e96b4['_$pr']找他的生成来源,像这样直接搜索_0x4e96b4['_$pr'],然后都打上断点。经过尝试后发现他是调用了4次的_0x4e96b4['_$pr']['push'](_0x474032(_$Wa));
猿人第五(js逆向)
screamn的博客
12-30 1022
直接搜索,当你试一下搜索的内容的时候,你是无法直接搜索到的,因为这段加密他的键名是通过字符累加产生的,这边我是直接一步一步分析js代码,最后定位到了这个位置。继续hook,找到第二个cookie加密,这边等我后续分析,明天必须拿下。分析网络请求,我们可以确定,该部分加密是加密的cookie。所以我们开始寻找加密的位置。我们可以找到第一个加密参数m。打上断点,开始hook。
猿人第5
a1980054932的博客
03-16 1167
猿人第5分析请求加密参数分析cookie里的两个加密参数分析密钥分析url里的两个加密参数扣代码 本文仅供大家习 1 分析请求 2 加密参数 3 扣代码 分析请求 这是目,要求是热度最高的前五名的和。按F12,看看请求的包 我请求了两页,请求参数只有两个,m和f 从这里看不出啥东西,目提示cookie只保存50s,那肯定是cookie里加密了 ,多次请求发现cookie里有两个值加密了,一个是m值,还有一个 是RM4hZBv0dDon443M 把两次的url和cookie拿
猿人第5,hook任意cookie被设置的瞬间
小玉的小本本
03-23 2041
直接hook任意cookie被设置的瞬间, 定位到cookie设置的接口新的hook方式,捕获任意一个cookie被设置的瞬间其实经过修改,可以捕获任意对象的指定属性执行指定方法时的瞬间直接在搜索引擎搜索(hook cookie)也可以查到以下代码(这是一个油猴的脚本)// ==UserScript== // @name        Hook Cookie // @namespace&n
猿人第一m函数的js源码
07-05
猿人第一m函数的js源码
javascript逆向 猿人 js混淆 回溯 逆向
最新发布
03-12
猿人JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向习时,首先需要通过反混淆技术将混淆...
猿人第五JS逆向 流程图.emmx
11-16
猿人第五JS逆向 流程图,可以根据这个流程图来 分析 第五,在配合我写的博客,可以适合小白入门习分析逆向思路
猿人2022安卓逆向对抗比赛第五分析
Steven的杂货铺
07-09 1245
双向认证,那么就需要有证书了,打开APP后看看 在assets 文件夹中 是否有证书 确实可以看到有一个客户端的证书,是.bks 的那么r0ysue大佬的 r0capture 依旧可以排上用场,直接可以dump 下来.p12的证书 到手机的 SDcard/Download 目录下,密码为r0ysue然后发现竟然卡住了。。。。。证书也没有dump下来。。。。那就换一种思路呗。。。。。 密钥获取成功 = > : MZ4cozY8Qu32UzGe 然后通过Charles 进行 导入证书然后我又开始怀疑人生
[007]爬虫系列 | 猿人爬虫攻防大赛 | 第五: js混淆 乱码增强(中)
GC怪兽的Blog
10-29 1155
一、备注 在阅读此文章前,请先阅读前一篇《[007]爬虫系列 | 猿人爬虫攻防大赛 | 第五: js混淆 乱码增强(上)》 二、找参数来源(二) 在前一篇文章中,我们找出了Cookie里面m生成函数,并且封装出来了一个脚本!!!本篇文章我们就来找cookie另外一个属性: RM4hZBv0dDon443M 不知道大家还记不记得,我们前一篇中有找到一段代码: 由这一段代码生成的: $_ow = ""; for (var h = 0; h < w..
【JS逆向习】猿人 第五 js混淆 乱码
学海无涯
03-08 751
后面还有有一些函数和变量需要补,这里就不一一补了,全部补完整之后执行有结果了,但是和同样的时间戳参数和浏览器生成的结果不一致,我们只能继续分析扣下来的代码哪里和浏览器不一致,最有可能的就是刚才我们改写的那段有反调试的函数,我们继续分析那个函数的下半部分,发现有两个地方很有可能会有问,浏览器调试后我们发现和本地走的分支不一致,可以判定代码是做了检测的,我们直接按照浏览器的代码逻辑来改写我们的本地逻辑。功底够硬,代码还原后就很好分析了,可惜我功力不够,只能跟栈分析喽,向上一层就看到了具体的加密逻辑了。
猿人爬虫攻防大赛 | 第五: js混淆 乱码增强
含笑
11-11 729
1. 备注 看过不少大佬博客的博客,慢慢摸索出来,有问欢迎私信一起讨论 目 --> 猿人第五http://match.yuanrenxue.com/match/5 2.分析 抓包一看究竟,按下F12并回车,发现数据接口在这里: ...
猿人第五下---过程分析
weixin_42072632的博客
01-25 484
网页链接: http://match.yuanrenxue.com/match/5 1 首先分析url,可以看到m参数像一个时间戳,我们把它进行时间戳转换,我们可以发现转换后的时间跟当前时间一致,至于后面的f参数多次分析后发现它跟m的关系是:f是m参数减去1000后把后面三位数置为0 2 url分析完后我们接着分析cookie.cookie有两个参数m跟RM4hZBv0dDon443M,用常规思维去搜搜发现根本搜不到. 3 既然搜不到,那我们就hook下.如图一通过hook我们发现函数 0x3d0f3f
猿人第五上---代码
热门推荐
weixin_42072632的博客
01-24 1万+
先把代码展示出来分析过程明天做 js代码 var window = {}; var times = 0; function _0x12e4a8(_0x7542c8, _0x5eada0) { var _0x41f81f = (0xffff & _0x7542c8) + (0xffff & _0x5eada0); return (_0x7542c8 >> 0x10) + (_0x5eada0 >> 0x10) + (_0x41f81f >>
JS逆向:猿人爬虫比赛第五详细解(上)
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
10-28 3308
实战地址http://match.yuanrenxue.com/match/5 抓包分析地址栏输入 地址,按下F12并回车,发现数据接口在这里:按照常规,康康加密参数及cookie字段:...
猿人js逆向TypeError: list indices must be integers or slices, not str第一的爬虫编写
08-31
对于您提到的错误TypeError: list indices must be integers or slices, not str,这是因为您在访问列表中的元素时使用了字符串作为索引,而列表的索引必须是整数或切片类型。解决这个错误的方法是使用整数或切片来访问列表中的元素。 关于您提到的猿人js逆向的问,我需要更多的信息才能为您提供具体的答案。对于爬虫编写,您可以使用Python的各种库(如Requests、BeautifulSoup、Scrapy等)来获取网页的内容,并进一步解析和处理。您可以使用这些库发送HTTP请求获取网页内容,然后使用解析库来提取您需要的数据。 爬虫编写的一般步骤如下: 1. 导入所需的库 2. 发送HTTP请求获取网页内容 3. 使用解析库解析网页内容 4. 提取所需的数据 5. 进行数据的进一步处理和存储 您可以根据具体的需求和网站的结构进行相应的编写和调试。如果您需要更具体的帮助,请提供更多的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Python:TypeError: list indices must be integers or slices, not str报错解决及原理](https://blog.csdn.net/hhd1988/article/details/128031602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Python BeautifulSoup [解决方法] TypeError: list indices must be integers or slices, not str](https://download.csdn.net/download/weixin_38590567/14871394)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值