当前位置:   article > 正文

【JavaScript 逆向】抖店滑块逆向分析_抖音captchabody

抖音captchabody

声明

本文章中所有内容仅供学习交流,相关链接做了脱敏处理,若有侵权,请联系我立即删除!

案例目标

接口:

aHR0cHM6Ly93d3cuZG91eWluLmNvbS9hd2VtZS92MS93ZWIvdXNlci9wcm9maWxlL290aGVyLw==

以上均做了脱敏处理,Base64 编码及解码方式:

  1. import base64
  2. # 编码
  3. # result = base64.b64encode('待编码字符串'.encode('utf-8'))
  4. # 解码
  5. result = base64.b64decode('待解码字符串'.encode('utf-8'))
  6. print(result)

案例分析

抓包

输入手机号,点击发送验证码,即会弹出滑块验证:

  /captcha/get 接口返回滑块及缺口背景图 url,其他返回值也在轨迹中,tip_y 即轨迹中 的值: 

请求参数 detail 在 /v2/?msToken=&X-Bogus= 接口的返回值中,fp 生成算法如下:

  1. function getFp() {
  2. var e = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz".split("")
  3. , t = e.length
  4. , n = (new Date).getTime().toString(36)
  5. , r = [];
  6. r[8] = r[13] = r[18] = r[23] = "_",
  7. r[14] = "4";
  8. for (var o, i = 0; i < 36; i++)
  9. r[i] || (o = 0 | Math.random() * t,
  10. r[i] = e[19 == i ? 3 & o | 8 : o]);
  11. return "verify_" + n + "_" + r.join("")
  12. }

/captcha/verify 即验证接口,fp、detail 是一样的,server_sdk_env 经过 url 编码,captchaBody 是需要逆向的关键参数,里面包含鼠标轨迹、滑动轨迹、AES(GCM)、base64、SHA512 加密等等:

逆向分析

直接从验证接口的堆栈中跟到 captcha.js 文件中,和 X-Bogus 参数的 webmssdk.es5.js 文件解混淆后的样子很像,同样也是 jsvmp,如果做过 X-Bogus 参数逆向的,对这个应该很熟悉,但 captchaBody 的生成逻辑不像 X-Bogus,插桩之后一步步的很清晰,是需要结合单步慢慢跟的,同时以下这部分在整个 js 中类似的 7 个,插桩很容易插错地方,整个流程也并不是只在一个里面进行,是需要注意的:

通过 webpack 导出补环境也是可以的,不过这里还是扣算法:

关键点插桩,能看到可能使用过 AES 加密,箭头指的都是需要注意的,异步 crypto.subtle.importkey() 方法:

打断点跟栈,要清缓存:

m[0] 即各种轨迹,captchaBody 校验的轨迹很多: 

 w[_] = E(m) 也是个关键位置,很多方法都能从这里单步向后跟找到:

 例如此时的轨迹被转成了字符串,算法位置单步向后跟即可找到:

一步步跟就会看到以下几个关键位置:

数组拼接:

SHA512 算法加密了很多点,比如一开始的轨迹、随机字符串等等,可以直接引库:

随机字符串:

AES 加密模式为 GCM:

结果验证

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/码创造者/article/detail/854028
推荐阅读
相关标签
  

闽ICP备14008679号