当前位置:   article > 正文

某h5st逆向分析

h5st

具体网址经过了base64处理

aHR0cHM6Ly9zby5tLmpkLmNvbS93YXJlL3NlYXJjaC5hY3Rpb24/a2V5d29yZD0lRTklOTklQTQlRTYlQjklQkYlRTYlOUMlQkEmc2VhcmNoRnJvbT1ob21lJnNmPTE1JmFzPTA=

要做的是一个搜索的功能具体如图所示。

这里发现携带的参数中存在一个token还有一个加密参数,直接尝试复制它的curl之后发现这个请求中的token直接作用联系不大,只是一个简单的风控参数,来源于这个链接:jsTk.do,这个我们下一篇文章再来解释。

我们看到了一个h5st参数,具体如下。

20240606195410996;ii6izi5zi59tgmn0;e1a98;tk03wb5b31ca018nwau78qTRAzaoD3WqtTDkki5lafP5UNTYY3D7dFhCkEn1XhUrb-KQUkf6RVCRqt5Bax2y7vxTNhly;693d4eb275cce02b6c5f97b94346a71b263ab83ab529a0efc8bb3606711d81fb;4.7;1717674850996;TKmW5xlX4OeERlufjbL4A4fF25LZ7RCYf4e7xnwpb9gxji9S-9M4h2-CyYw1yg8fluTw8XIl0jUa4QEyrRbJ4ALPrO1zTZeQ_2Un1apIBsQP1Y-rqe9I1YXcghByJ7hhZJxJZzukfA62kzuY1sPkwoqy81ol-6dZOgUy5EEGcIJDNrLF-yhKL2Y7in7mEuecFvZljZBWsfmq-OWxR7VuGBITN4oWbSZjMXrgTajzRX8ae78MzZjJs4L3f7kgOAB3bk0ewP-y9kbc00LyqBnjVkvcKiW3S-B7zUWAG-D6NwkHU1EP3DnStZ-glzn7XzGEjXYX3ihna_fh5UkRYP3u3NWTS4TAlqQmLd8KAiIP_H9ZstmkAdV7FmFOwUMXelSekPVoJ0ItwNNxuBSgXhis6TWihsqe3KzB7K89QdjAvxWa1hwGxzRNDtBwYXJoTMRJ0YDA

我们发现有分割符号分割的,第一个比较容易理解,就是时间戳,第二个进行相关的搜索,发现是来自一个/request_algo,它是本地提交注册之后的产物,并且还携带了一些相关的加密参数。

看着这些加密参数使用了aes相关的,对于aes加密,一般有一下特征:

  1. 根据长度来的,不同的长度尝试的aes加密内容不同
  2. 带有/+和正常的26个英文字母还有数字的,而且长度会根据加密内容的多而边长
  3. 看看是否引入了crypto库,一般来说如果做了加密我们可以直接hook这个库,就可以解决全部的加密问题

但是现在产商都喜欢给aes加密出来的内容再增加一些乱七八糟的东西固定在前面几个位置,而且一般来说可能还不是完全固定的aes加密,所以也不能肯定,但是一般来说就是aes加密。

这个参数我们不处理,我们知道了这个fp的来历,那么这个fp是什么东西呢?他其实就是一个浏览器指纹,但是这里的处理这个fp是带有部分随机的,包含你的user-agent信息。

我们一点一点来看它的相关内容。

20240606195410996 -> 日期

ii6izi5zi59tgmn0 -> fp ->在request_algo里面看到

e1a98 -> appid 在request_algo里面看到是有的

tk03... -> 这个tk也是在request_algo返回的

693d... -> 由于特殊的长度,看着是sha256,一般来说长度是64是sha256或者md5,不过md5一般是32位的,128的是sha512

4.7 -> 版本号

1717674850996 -> 时间戳

TKmW5xlX... -> 看着是aes加密的相关内容

由于没有直接找到这个crypto,猜测可能不是用的直接的加密手段,尝试hook json相关的处理发现不行,直接全局搜索h5st找,发现有非常多的位置,经过查看后这个位置最可疑。

尝试在这里hook一下看到相关的参数

r -> {
    "functionId": "searchKeyword",
    "appid": "jd-cphdeveloper-m",
    "body": "0d321e956894899084b9ea9ce55784ba6ba4edb4c12b438281a491cf05afc191"
}

看到这里的时候这个body长度是64位的,往上看看这个body怎么来的。

var r = P(s); -> 这个s就是我们的参数里面的body参数,然后使用P函数得到的r就是我们的body加密参数,我们把这个s去传统的md5还有sha256来尝试一下,发现是传统的sha256加密,

具体P函数代码如下

 我们把这个body复制去CyberChef (icyberchef.com)里面查看后,发现就是直接sha256加密,然后我们执行这个代码。

  1. A[o].sign(r).then(function(t) {
  2.  return s.h5st = encodeURI(t.h5st || ""),
  3.      e(s)
  4. })

发现最后返回的这个t包含一个正常的h5st,然后刷新页面进入sign函数内部分析。

单步向下后找到具体的位置,这t就是一个Promise,这是一个非常标准的next构成,因为在我们es6转es5的时候我们的async和await关键字都会被处理掉,还有相关的next函数还有yield返回也都会被处理调用,这个时候我们可以直接在e.apply(n, a)这个地方直接执行,然后调用它的next方法。

具体执行如下所示:

需要先在var i = e.apply(n, a)部分打上断点。

直接执行发现到了我们想要的结果

这个时候我们其实就已经解决了,我们看到这个e函数,来自于这里,是一个jsvmp混淆。

但是因为jsvmp混淆逆向比较敏感,不展示具体的逆向过程与逆向具体实例了,具体的使用在这个时候可以使用rpc远程调用的方式。

这里只能告诉大家如何使用rpc来进行处理,我们知道它的加密是经过了sign函数,那么理论上把这个sign函数弄好就可以了,我们看到这个函数是一个re对象,我们找到它的构造函数。

在这里一个位置我们点击下面的点击进去。然后在这里hook一个点,我们看看这个re实在什么时候被创建的。刷新整个页面,发现re的上面来自于这个函数。

基本可以肯定就是new了一个ParamsSign对象了,我们定位进去这个ParamsSign,然后全局搜索发现,这个就是在加密的文件顶部,可以直接调用。

我们在控制台尝试成功之后,确定了我们的re是可以直接这个样子创建的,并且我们这个re的sigin也是可以正常使用的,这里开始编写rpc代码,这里直接给出前端js还有后端python的代码。

前端生成代码

  1. (function () {
  2. // 从cookie中获取指定名称的值
  3. function getCookie(name) {
  4. const cookieValue = document.cookie.match('(^|;)\\s*' + name + '\\s*=\\s*([^;]+)');
  5. return cookieValue ? cookieValue.pop() : '';
  6. }
  7. function baseInit(json, token) {
  8. const re = new ParamsSign({
  9. appId: "ffb96",
  10. debug: !1,
  11. preRequest: !1,
  12. onSign: function (e) {
  13. e.code
  14. },
  15. onRequestTokenRemotely: function (e) {
  16. e.code;
  17. e.message
  18. },
  19. onRequestToken: function (e) {
  20. e.code;
  21. e.message
  22. }
  23. })
  24. re._token = token
  25. return re.sign(json)
  26. }
  27. // 建立WebSocket连接
  28. const socket = new WebSocket('ws://localhost:6789');
  29. // 当WebSocket连接建立时执行
  30. socket.onopen = function () {
  31. console.log('WebSocket连接已建立');
  32. };
  33. // 当收到来自服务器的消息时执行
  34. socket.onmessage = function (event) {
  35. const json = JSON.parse(event.data)
  36. const token = getCookie("cd_eid");
  37. console.log(json)
  38. console.log(token)
  39. baseInit(json, token).then(function (t) {
  40. socket.send(JSON.stringify(t))
  41. })
  42. };
  43. // 当发生错误时执行
  44. socket.onerror = function (error) {
  45. console.error('WebSocket发生错误:', error);
  46. };
  47. // 当WebSocket连接关闭时执行
  48. socket.onclose = function () {
  49. console.log('WebSocket连接已关闭');
  50. };
  51. })();

后端python代码

  1. from flask import Flask, request
  2. import asyncio
  3. import websockets
  4. import threading
  5. import json
  6. from queue import Queue
  7. app = Flask(__name__)
  8. connected = set()
  9. queueWs = {}
  10. async def websocket_server(websocket, path):
  11. connected.add(websocket)
  12. queueWs[websocket] = Queue()
  13. try:
  14. while True:
  15. message = await websocket.recv()
  16. queueWs[websocket].put(message)
  17. except websockets.ConnectionClosed:
  18. print("连接关闭")
  19. finally:
  20. connected.remove(websocket)
  21. @app.route('/send', methods=['POST'])
  22. def send_message():
  23. body = request.json.get('body', '')
  24. message = {
  25. "functionId": "searchKeyword",
  26. "appid": "jd-cphdeveloper-m",
  27. "body": body
  28. }
  29. message = json.dumps(message, ensure_ascii=False)
  30. data = asyncio.run(send_to_websockets(message))
  31. if data:
  32. return json.loads(data), 200
  33. else:
  34. return {"error": "没有连接"}, 200
  35. async def send_to_websockets(message):
  36. if connected:
  37. for ws in connected:
  38. await ws.send(message)
  39. data = queueWs[ws].get()
  40. print(data)
  41. return data
  42. def websocket_thread():
  43. asyncio.set_event_loop(asyncio.new_event_loop())
  44. start_server = websockets.serve(websocket_server, "localhost", 6789)
  45. asyncio.get_event_loop().run_until_complete(start_server)
  46. asyncio.get_event_loop().run_forever()
  47. if __name__ == '__main__':
  48. # 在另一个线程中运行websocket服务器
  49. threading.Thread(target=websocket_thread, daemon=True).start()
  50. # 运行Flask应用
  51. app.run(port=5000)

python需要安装一些第三方库才可以,然后使用这个如下:

  1. import requests
  2. def get_info_rpc(body: str):
  3. import hashlib
  4. # 待哈希的字符串
  5. # 创建SHA-256哈希对象
  6. hash_object = hashlib.sha256()
  7. # 更新哈希对象,这里可以多次调用update()来添加长数据或分段数据
  8. hash_object.update(body.encode('utf-8'))
  9. # 获取16进制表示的哈希值
  10. hex_dig = hash_object.hexdigest()
  11. print(hex_dig)
  12. h5st = get_h5st_rpc(hex_dig)
  13. return h5st
  14. def get_h5st_rpc(body):
  15. import requests
  16. response = requests.post("http://127.0.0.1:5000/send", json={
  17. "body": body,
  18. })
  19. h5st = response.json()["h5st"]
  20. return h5st
  21. cookies = {"""cookie自己补充"""}
  22. headers = {
  23. 'accept': 'application/json',
  24. 'accept-language': 'zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6',
  25. 'cache-control': 'no-cache',
  26. 'origin': 'https://so.m.jd.com',
  27. 'pragma': 'no-cache',
  28. 'referer': 'https://so.m.jd.com/',
  29. 'sec-fetch-dest': 'empty',
  30. 'sec-fetch-mode': 'cors',
  31. 'sec-fetch-site': 'same-site',
  32. 'user-agent': 'Mozilla/5.0 (iPhone; CPU iPhone OS 16_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/16.6 Mobile/15E148 Safari/604.1 Edg/123.0.0.0',
  33. 'x-referer-page': 'https://so.m.jd.com/ware/search.action',
  34. 'x-rp-client': 'h5_1.0.0',
  35. }
  36. body = '{"tenantCode":"jgm","bizModelCode":5,"bizModeClientType":"M","externalLoginType":"1","key":"洗衣机","datatype":"1","page":"1","pagesize":"10","ext_attr":"no","brand_col":"no","price_col":"no","color_col":"no","size_col":"no","ext_attr_sort":"no","merge_sku":"yes","multi_suppliers":"yes","area_ids":"1,72,2819","filt_type":"redisstore,1;","qp_disable":"no","debug":"false","t1":"1717238265"}'
  37. print(body)
  38. h5st = get_info_rpc(body)
  39. params = {
  40. 'functionId': 'searchKeyword', 'appid': 'jd-cphdeveloper-m',
  41. 'body': body,
  42. 'loginType': '2',
  43. 'x-api-eid-token': 'jdd033EQ4QE2Y5LL2TE2TCE2ICN67LRLC73I5TOUJTTFYF4P6DH6HNP2UMOHVXX4OR73EGUAJMC5AK7DZHAR3BFQLBUSFOIAAAAMP2KXQC2IAAAAACNUIMESNISVXDUX',
  44. 'h5st': h5st
  45. }
  46. response = requests.get('https://api.m.jd.com/api', params=params, cookies=cookies, headers=headers)
  47. print(response.text)
  48. print(h5st)
  49. print()

到此为止其实整个就已经完成了,对于它的vmp还有它的具体算法原理都已经处理完毕,具体不方便进行详细的说明,但是难度不大,有兴趣可以自己尝试。

由于此文章是逆向完成之后写的计数文章,尽可能的去模拟了当时思考的一个逻辑,但是还是和真实思考的环境差异比较大,rpc算法还原的不理解的可以私信联系,可以无偿帮忙解疑答惑。

需要具体算法的也可以联系,不止4.7版本,3.1等一系列版本都有,不正常的h5st部分的情况下是无法使用的,使用是会出现问题的,部分情况可以使用还有部分情况不可以使用,这种就是h5st有问题了。注意:具体算法还原不是免费的!!!想要白嫖勿加。

qq: 2697279763

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/木道寻08/article/detail/834761
推荐阅读
相关标签
  

闽ICP备14008679号