猿人学Web端爬虫攻防大赛第十题 与某数ast+jsdom方法

已于 2022-05-04 21:32:02 修改
阅读量2k 收藏 11
点赞数 2
分类专栏: python javascript 文章标签: javascript python
于 2022-04-07 23:25:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjq592767809/article/details/124028143
版权

猿人学Web端爬虫攻防大赛第十题 与某数ast+jsdom方法

参考文章:
1.猿人学爬虫攻防赛 第10题
2.某数和某5秒-反混淆动态注入调试的一种方案

样品网址:https://match.yuanrenxue.com/match/10

打开首页后直接就有5处混淆,第一处是某数套 jsjiami.com.v6,然后后面4处为obfuscator

在这里插入图片描述

首先还原这一段jsjiamiv6的混淆,还原后的结果如下

let yuanrenxue_36 = '';
var yuanrenxue_59 = 968;
for (let yuanrenxue_229 = 0; yuanrenxue_229 < $_ts["dfe1683"]["length"]; yuanrenxue_229++) {
yuanrenxue_36 += String["fromCharCode"]($_ts["dfe1683"][yuanrenxue_229]["charCodeAt"]() - yuanrenxue_229 % yuanrenxue_59 - 50);
}
yuanrenxue_18 = atob(yuanrenxue_36);
yuanrenxue_31(78, yuanrenxue_18);

可以大概看出其中的逻辑主要是对$_ts[“dfe1683”]进行解密,接着还原rs的混淆

*******省略很多代码*******
  case 29:
        yuanrenxue_48.yuanrenxue_110 = new Date().getTime();
        var yuanrenxue_35 = yuanrenxue_48["dfe1675"];
        yuanrenxue_48["dfe1675"] = yuanrenxue_40;
        var yuanrenxue_91 = yuanrenxue_48.yuanrenxue_yuanrenxue_126;
        var yuanrenxue_13 = yuanrenxue_31(8);
        var yuanrenxue_21 = yuanrenxue_31(8);
        var yuanrenxue_15 = yuanrenxue_48.aebi = [];
        var yuanrenxue_88 = yuanrenxue_31(71);
        var yuanrenxue_65 = yuanrenxue_35.length;
        var yuanrenxue_1 = 0;
        var yuanrenxue_89 = yuanrenxue_12();
        var yuanrenxue_54 = yuanrenxue_12();
        var yuanrenxue_67 = yuanrenxue_12();
        var yuanrenxue_72 = yuanrenxue_12();
        var yuanrenxue_105 = yuanrenxue_12();
        yuanrenxue_14 = yuanrenxue_12();
        var yuanrenxue_28 = yuanrenxue_12();

        if (yuanrenxue_14 > 0) {
          yuanrenxue_96 = yuanrenxue_35.substr(yuanrenxue_1, yuanrenxue_28).split(String.fromCharCode(255));
        }

        yuanrenxue_1 += yuanrenxue_28;
        var yuanrenxue_56 = [];
        var yuanrenxue_14 = yuanrenxue_12();

        for (yuanrenxue_24 = 0; yuanrenxue_24 < yuanrenxue_14; yuanrenxue_24++) {
          yuanrenxue_23(16, yuanrenxue_24, yuanrenxue_56);
        }

        for (yuanrenxue_24 = 0; yuanrenxue_24 < yuanrenxue_14; yuanrenxue_24++) {
          yuanrenxue_56.push("}");
        }

        yuanrenxue_56.push(")();");
        var yuanrenxue_18 = yuanrenxue_56.join('');
        yuanrenxue_48.yuanrenxue_110 -= yuanrenxue_31(8);
        yuanrenxue_21 = yuanrenxue_31(8);
        let yuanrenxue_36 = '';
        var yuanrenxue_59 = 479;

        for (let yuanrenxue_229 = 0x0; yuanrenxue_229 < $_ts["dfe1683"]["length"]; yuanrenxue_229++) {
          yuanrenxue_36 += String["fromCharCode"]($_ts["dfe1683"][yuanrenxue_229]["charCodeAt"]() - yuanrenxue_229 % yuanrenxue_59 - 0x32);
        }

        yuanrenxue_18 = atob(yuanrenxue_36);
        yuanrenxue_31(0x4e, yuanrenxue_18);
        var yuanrenxue_32 = yuanrenxue_31(8);

        if (yuanrenxue_32 - yuanrenxue_13 > 12000) {
          yuanrenxue_48.yuanrenxue_74 = 1;
        }

        return;
*******省略很多代码*******

整个代码比较多,只贴上部分代码,可以看到[“dfe1675”]解密后的代码赋值给了yuanrenxue_18 ,接着[“dfe1683”]解密后的代码也是直接赋值给了yuanrenxue_18 ,相当于覆盖了,所以前面的一部分代码就不需要看了,根本没有执行。

接着后面还有4个ob混淆,但是里面的代码并不重要,只是反调试有点烦人,那么接着看yuanrenxue_18的代码,连续拿到两次yuanrenxue_18的代码,查看变化,发现有三处

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

这里都与后面的一个接口 https://match.yuanrenxue.com/api/offset 的返回值息息相关,说明这个值也是非常重要的。到这里还是没有找到加密参数生成的入口,但是请求发出的事情,参数就自动生成了,那么很有可能xhr下的open,send等方法被改写了

在这里插入图片描述
这就可以知道,参数是通过_yrxyA$函数生成的,使用ast在这个函数的结尾动态注入一个【console.log(_yrx2LR);】

在这里插入图片描述

这样当我们调用open方法的时候,就可以获取包含加密参数的最终链接,最后使用jsdom把代码跑起来,需要先安装依赖库

npm install jsdom


import requests_html
import json
import re
import base64
import subprocess
import os
import logging
logging.disable(logging.INFO)


def main():
    requests = requests_html.HTMLSession()
    headers = {
        'User-Agent': 'yuanrenxue.project',
        'Referer': 'https://match.yuanrenxue.com/match/10',
        'X-Requested-With': 'XMLHttpRequest'
    }
    base_url = 'https://match.yuanrenxue.com'
    top_url = base_url + '/match/10'
    response = requests.get(top_url, headers=headers)
    script = response.html.find('script')
    ts_1_url = base_url + script[0].attrs['src']
    ts_2_url = base_url + script[1].attrs['src']
    ts_3_url = base_url + '/api/offset'

    with open('config.json', 'w', encoding='utf-8') as f:
        f.write(json.dumps({
            'html': response.content.decode(),
            'url': 'https://match.yuanrenxue.com/match/10'
        }))

    with open('html.html', 'wb') as f:
        f.write(response.content)

    yuanrenxue_59 = int(re.findall('(?<=var yuanrenxue_59=)\d+', response.content.decode())[0])
    response = requests.get(ts_2_url, headers=headers)
    dfe1683 = response.content.decode()[17:-1]
    yuanrenxue_36 = ''
    for yuanrenxue_229 in range(len(dfe1683)):
        yuanrenxue_36 += chr(ord(dfe1683[yuanrenxue_229]) - yuanrenxue_229 % yuanrenxue_59 - 50)
    with open('eval.js', 'wb') as f:
        f.write(base64.b64decode(yuanrenxue_36.encode()))

    os.system('node ast_eval')

    os.system('node ast_html')
    
    with open('ts.js', 'wb') as f:
        response = requests.get(ts_1_url, headers=headers)
        f.write(response.content)
    with open('offset.js', 'wb') as f:
        response = requests.get(ts_3_url, headers=headers)
        f.write(response.content)

    with open('rs_decrypt.js', 'r', encoding='utf-8') as f:
        js = f.read()

    print('开始获取链接')
    for page in range(1, 6):
        with open('get_url.js', 'w', encoding='utf-8') as f:
            f.write("const{JSDOM}=require('jsdom');const fs = require('fs');const dom=new JSDOM(fs.readFileSync('html.html').toString('utf-8'),{url:'https://match.yuanrenxue.com/match/10'});window=dom.window;document=window.document;\n")
            f.write('if(typeof __dirname!="undefined"){__dirname=undefined}if(typeof __filename!="undefined"){__filename=undefined}if(typeof require!="undefined"){require=undefined}if(typeof exports!="undefined"){exports=undefined}if(typeof module!="undefined"){module=undefined}\n')
            f.write("window.eval.call(window, fs.readFileSync('ts.js').toString('utf-8') + fs.readFileSync('offset.js').toString('utf-8'));\n")
            f.write("window.$_ts = $_ts;\n")
            f.write(js)
            f.write('\n\nlet xml = new window.XMLHttpRequest();\n')
            f.write("""xml.open('GET', "/api/match/10?page=""" + str(page) + """\", false);\n""")
            f.write("process.exit(0);")

        command = ['node', 'get_url.js']
        nodejs = subprocess.Popen(command, stderr=subprocess.PIPE, stdout=subprocess.PIPE)
        url = nodejs.stdout.read().decode().replace('\n', '')
        print(url)
        response = requests.get(url, headers=headers).json()
        print(response)
        with open('offset.js', 'rb') as f:
            offset = f.read()

        with open('offset.js', 'wb') as f:
            f.write(offset[:14] + response['k']['k'].split('|')[1].encode())



if __name__ == '__main__':
    main()

这里因为每次请求接口都会返回一个新的offset,所以这里每次请求后都需要重新加载

在这里插入图片描述

非常好,可以成功请求5页的数据了。当然,这个方法运用在真实某数下也是可以的,例子如下

RS4代混淆

*******省略很多代码*******
      case 78:
        if (_$JX === undefined || _$JX === "") {
          return;
        }

        if (_$8k.execScript) {
          ret = _$8k.execScript(_$JX);
          return ret;
        }

        _$YA = _$8k.eval;
        ret = _$YA.call(_$8k, _$JX);
        return ret;
*******省略很多代码*******

在这里插入图片描述

RS5代混淆

*******省略很多代码*******
      case 73:
        if (_$r1 === undefined || _$r1 === "") {
          return;
        }

        var _$_P;

        if (_$Z8["execScript"]) {
          _$_P = _$Z8["execScript"](_$r1);
          return _$_P;
        }

        _$RD = _$Z8["eval"];
        _$_P = _$RD["call"](_$Z8, _$r1);
        return _$_P;
*******省略很多代码*******

在这里插入图片描述

RS6代混淆

*******省略很多代码*******
      case 101:
        _$_r = undefined;

        if (_$hi === _$_r || _$hi === "") {
          return;
        }

        _$_r = _$fx;

        if (_$_r.execScript) {
          _$_n = _$_r.execScript(_$hi);
          return _$_n;
        }

        _$_d = _$_r.eval;
        _$_n = _$_d.call(_$_r, _$hi);
        return _$_n;

      case 41:
        _$_n = _$$X(38);
        _$_d = _$_z;
        _$cq = _$_d.nsd;
        _$$7 = _$by;
        _$_d.lcd = _$$7;
        _$_d.nsd = _$$7;
        _$cy = _$$X(114, _$cq);
        _$bb = _$$X(0, 711, _$$X(114, _$cq));
        _$$d = [];
        _$_d.cp = _$$d;
        _$$d[1] = _$bb;
        _$aJ = _$_d.aebi = [];
        _$_d.scj = [{
          "0": 0,
          "1": 1,
          "2": 2,
          "3": 3
        }, {
          "0": 0,
          "1": 0,
          "2": 0,
          "3": 0,
          "4": 0
        }, {
          "0": 0,
          "1": -545,
          "2": -538,
          "3": 174
        }, {
          "0": 0,
          "1": 3,
          "2": 3,
          "3": 0,
          "4": 0,
          "5": -241,
          "6": -241
        }];
        _$d8 = "省略代码";
		_$g$ = _$d8.length;
        _$_t = 0;
        _$$d[0] = "省略代码";
		_$$d[2] = "省略代码";
		_$$d[6] = "";
        _$$r = _$_R();
        _$$n = _$_R();
        _$$b = _$_R();
        _$er = _$_R();
        _$dp = _$_R();
        _$a5 = _$_R();
        _$iH = _$_R() * 55295 + _$_R();
        _$_d = _$bF;

        if (_$a5 > 0) {
          _$gj = _$d8.substr(_$_t, _$iH).split(_$_d.fromCharCode(257));
        }

        _$_t += _$iH;
        _$a5 = _$_R();
        _$aN = 0;

        for (; _$aN < _$a5;) {
          _$gj.push(_$$1(51, _$_R() * 55295 + _$_R()));

          _$aN++;
        }

        _$eP = [];
        _$_X = '\n\n\n\n\n';
        _$a5 = _$_R();
        _$aN = 0;

        for (; _$aN < _$a5;) {
          _$eP.push(_$_X.substr(0, _$cy() % 5));

          _$$1(69, _$aN, _$eP);

          _$aN++;
        }

        _$eP.push('}}}}}}}}}}'.substr(_$a5 - 1));

        _$$1(54, _$eP);

        _$eP.push("})($_ts.scj,$_ts.aebi);");

        _$d5 = _$eP.join('');
        _$$d[4] = _$$X(38) - _$_n;
        _$_f = 0;

        for (_$aN = 0; _$aN < _$d5.length; _$aN += 100) {
          _$_f += _$d5.charCodeAt(_$aN);
        }

        _$$d[3] = _$_f;
        _$_L = _$$X(38);

        _$$X(101, _$d5);

        _$$d[5] = _$$X(38) - _$_n;
        return;
    }
*******省略很多代码*******

在这里插入图片描述

更多内容欢迎加入我的星球
在这里插入图片描述

渔滒
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
js逆向之猿人-反混淆刷平台第十
博客
03-26 1892
猿人-反混淆刷平台第十 前言 这应该是刷平台中js逆向部分最难的一道目了,而且它跟著名的某数有关系,做完这后,你也可以说算是与某数有过接触了,本需要破解的参数其实就是某数当中的MmEwMD,这里先说一下, 本不会手把手每一步都讲的那么仔细,但是会带大家走一遍抠码的环节,有坑的地方呢就提及一下,至于有些地方为什么这样,又如何解决还是需要各位自己思考的,毕竟做本身就是为了提高自己,如果什么都说了,都做了,那就失去了做的意义了,好了话不多说,下面直接开始分析。 (提示:这打开开发者工具后会
Node.js+jade+mongodb+mongoose实现爬虫分离入库与生成静态文件的方法
01-02
为什么用这个数据库,因为这个数据库是基于集合,数据的操作基本是json,与dom模块cheerio具有非常大的亲和力,cheerio处理过滤出来的数据,可以直接插入mongodb,不需要经过任何的处理,非常的便捷,当然跟node.js的...
[2021.7]猿人 | 爬虫攻防大赛 | 第二
lijiamingccc的博客
07-21 1121
目录1.cookie作用2.谷歌抓包分析3.cookie变换代码分析 1.cookie作用 Cookie相当于你浏览Web站点时,相对于这个站点的身份证号,如果说身份证号错误,肯定是不能正常访问这个站点的;这也是这次目的考察内容 动态cookie,每过一段时间 ,就会重新加载cookie来重置页面,通过这种方式,达到反爬虫的效果,只有破解掉动态cookie的生成过程,才可以通过爬虫进行正常爬取 2.谷歌抓包分析 由于是动态Cookie,为了避免其他Cookie的影响,所以使用浏览器的无痕模式进行调试,按f
js逆向不用扣代码系列(4)—3分钟快速破解猿人第10(重放攻击对抗之偷梁换柱)
weixin_42156283的博客
11-26 1981
网址:http://match.yuanrenxue.com/match/10 1.加密参数分析 打开控制台,直接被反调试了 调试堆栈 花里胡哨的, 不用管,再往上翻翻看看 这不就是著名的某x的变种吗,过掉反调试,抓下包看看 发现加密参数为m,再看这长度,基本坐实某x变种,到这已经基本确认几分钟内能拿下本了 2.工具准备:SwitchyOmega,mitmdump 两个工具使用大概介绍下 SwitchyOmega新建情景模式,口设置为mitmdump的默认口8080,如下图所示 mitm
猿人库十一——人均会解js——采坑式
含笑
12-29 1568
猿人库十一——人均会解jsl 1. 首先 进入 浏览器的开发者工具, 在 Network 找到 对应的请求,在Response中查看返回的内容(这里注意 一下,会找到俩个challenge/11的请求) 2. 模拟请求数据 再次用postman模拟请求,显示要登陆 在 请求的Header信息里面 cookie直接复制, 或者在 浏览器的 Application 里面的cookie栏,复制 seesionid 参数携带后在请求(这里可以看到 Expires...
猿人安卓逆向第十
Network bandit
12-01 1041
目录声明抓包分析代码分析扣扣js声明 写这篇文章的时候,作者还是个逆向小白,而且是边这道边做逆向顺便写下这篇文章做记录。 抓包分析 首先打开小黄鸟进行抓包分析,发现app上没有数据返回 暂时不知道什么原因,那就抓包套餐给他上一遍呗,先导入一个JustTrustMe模块,发现可以正常抓包了。 我这里用的是平头哥的JustTrustMe模块,用xposed的JustTrustMe模块也行,再或者...
猿人第十——请求规律检测2 - headers
含笑
01-04 1053
猿人第十——请求规律检测2 - headers 1. 首先 进入 浏览器的开发者工具, 可以在 network 的XHR 请求看到数据, 把 Headers的 请求参数和顺序保证一致,全部带上,模拟请求可以得到数据 少一个参数就会返回其他的无效内容 总结 : 这主要就是看Headers的参数和顺序,所有我们的每次请求最好和请求的参数保持全部一致再去模拟请求,免得去找其他的问。 ...
猿人web爬虫攻防大赛解析_第二:动态cookie1
仙路尽头谁为峰
11-14 727
观察cookie字段 发现两个会动态变化的cookie字段:m和Hm_lvt_0362c7a08a9a04ccf3a8463c590e1e2f 第一种(作弊法,用selenium模拟访问,一哈子就成功了。。)
js逆向-猿人(10-11)js和app协议破解
李玺
01-27 1829
猿人爬虫比赛第十:《js混淆 重放攻击对抗》 地址: http://match.yuanrenxue.com/match/10 开无痕,开控制台, debugger 右键选择 :never pause here ,先这样瞧一瞧 又是无限debugger,后面给页面卡蹦了,电脑内存卡满。 处理方法要么不debug要么用js-hook掉吧。然后从堆栈进去找m,拼代码。 不好意思,后面我就不看了,实在浪费时间。 猿人爬虫比赛第十:《app so文件协议破解》 地址: http://match.y
猿人web爬虫攻防大赛解析_第九:js混淆-动态cookie2
仙路尽头谁为峰
06-27 1043
js混淆,动态cookie2一、前言二、加密逻辑初探三、加密逻辑深入分析四、代码实现4.1、ast解混淆的一个坑4.2、完整实现过程五、参考文献 一、前言 一转眼又有快两个星期没更博客了,主要是没想到第九真的这么难,硬是让我死磕了快半个月,最终在参考其他大神的解分享,才完全搞明白为啥自己始终算不对加密参数,还是吃了没文化的亏啊。总体来说这坑不少,但也让我到了不少新知识,死磕的过程中多少还有点收获。 二、加密逻辑初探 先看目要求,这里是要求要找出所有的评论数量,按惯例还是先看看页面请求api的返回结
js逆向案例-猿人比赛(中等及以下难度的)
十一姐的博客
11-29 3212
目录心得感受1、js混淆-源码乱码尝试hook window属性3、请求头顺序与请求规律检测4、css样式style偏移干扰5、js混淆-用hook定位7、woff动态字体编码12、入门级js13、入门级cookie15、了解wasm16、了解webpack打包js与window埋坑17、了解http2.0协议19、了解tls指纹 心得感受 这是一个极好的练习js逆向的网站 js逆向是一个极其考验细心与耐心的活:因为马虎常常因为一个小细节导致流程错误 比如js扣的没有考虑到运算符优先级未加括号导致运算错
原生JS实现DOM加载完成马上执行JS代码的方法
12-10
用原生JS我们经常使用[removed]事件来加载页面。但是[removed]是在页面元素都加载完毕后才执行,如果页面内有大的图片的话,会在页面展现后好久时间后才执行。所以有时我们需要在DOM载入时马上执行一些函数。jQuery...
js习总结之DOM2兼容处理重复问的解决方法
12-09
DOM2兼容处理重复问的解决方法,具体如下 在解决this问之后,只需要在每次往自定义属性和事件池当中添加事件的时候进行一下判断就好了,具体代码如下 /* bind:处理DOM2级事件绑定的兼容性问(绑定方法) @...
js习总结之DOM2兼容处理this问的解决方法
12-10
针对上一篇提到的DOM2级存在的兼容问,这里先说一下this的问。 /* bind:处理DOM2级事件绑定的兼容性问(绑定方法) @parameter: curEle->要绑定事件的元素 evenType->要绑定的事件类型("click",...
jsdom:各种Web标准JavaScript实现,用于Node.js
02-03
jsdom是许多Web标准(特别是WHATWG 和标准)的纯JavaScript实现,可与Node.js一起使用。 通常,该项目的目标是模拟Web浏览器的子集,从而足以用于测试和抓取实际的Web应用程序。 jsdom的最新版本需要Node.js v10或...
雷电模拟器安装frida-server教程
zjq592767809的博客
01-05 9087
本篇教程使用的是雷电3模拟器。雷电4以及真机的操作是完全一样的 为了更好的展示,创建一台新的安卓模拟器 并且在设置中确认开启了ROOT权限 然后安装待HOOK的app,这里我使用猿人第十的APP作为展示 安装完成后正常打开就可以了,接下来去下载frida-server服务,下载网址https://github.com/frida/frida/releases,因为我是用的是python3.7的版本,所以下载下载最新版本frida-server-14.2.2-android-x86.xz 下载
【JS逆向系列】某乎x96参数3.0版本与jsvmp进阶
zjq592767809的博客
09-11 8287
【JS逆向系列】某乎x96参数3.0版本与jsvmp进阶
【JS逆向系列】某乎x96参数与jsvmp初体验
zjq592767809的博客
04-10 8149
【JS逆向系列】某乎x96参数与jsvmp初体验js分析jsvmp分析第一种解决方案-补环境第二种解决方案-修改操作码第三种解决方案-算法还原参考文章 样品网址:aHR0cHM6Ly93d3cuemhpaHUuY29tLw== js分析 在搜索的时候,请求头中会存在一个x-zse-96的参数,这个参数是加密的,本篇文章主要分析这个参数是如何生成的 直接在全局中搜索 发现只有两处地方引用到,那么直接打上断点刷新 此时发现参数已经生成,前面的【2.0_】是固定值,后面的【y】是前面的【O.signatur
某音jsvmp下参数分析笔记
zjq592767809的博客
05-04 4756
某音jsvmp下参数分析笔记
js DOMParser方法
最新发布
05-24
在上面的示例中,我们首先创建一个DOMParser对象,然后将XML字符串传递给`parseFromString`方法解析为DOM文档。最后,我们可以使用标准的DOM API来获取文档中的元素和属性。 需要注意的是,如果要解析HTML字符串而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值