赞
踩
“瑞数” 是逆向路上的一座大山,是许多JS逆向者绕不开的一堵围墙,也是跳槽简历上的一个亮点,我们必须得在下次跳槽前攻克它!! 好在现在网上有很多讲解瑞数相关的文章,贴心的一步一步教我们去分析瑞数流程,分析如何去扣瑞数逻辑,企图以此教会我们 (手动狗头)。却鲜有文章详细去讲解如何通过纯补环境的方式过瑞数。今天,它来了!
为了让大家彻底搞定瑞数这个老大哥,本文将从以下四个部分进行描述:
篇幅较长,坐稳发车咯!
注:本文内容均以一个新人友好型 rs4网站: 网上房地产,为例;
我们在做逆向的时候,首先得分析出哪些加密参数
是需要逆向的,然后再是去逆向这些参数。当然瑞数也是一样。
所以我们第一步就是明确逆向的目标
:
cookie_t的生成逻辑
;现在,我们知道了需要逆向的加密参数是cookie_t,那么cookie_t是从何而来呢,我们先分析一下网站的请求
第一次请求:
请求page_url,响应状态码202,响应头中 set了 cookie_s;
响应体是HTML源码,从上到下可以分为四部分:我先剧透一下它们的作用
动态
的(每次请求会变化),会在eval执行第二层JS代码时使用到;固定
的,下面的自执行函数会解密文件内容生成eval执行时需要的JS源码,也就是第二层vm代码;动态
变化),主要是解密外链JS内容,给window添加一些属性如$_ts,会在vm中使用;更新cookie
,使其变长。这里我们可以不用关注这个。第二次请求:
请求外链js,一般内容是固定的;
第三次请求:
请求page_url,返回200,携带cookie_s,cookie_T即可正常请求;
那么当我们在浏览器中访问该网站时到底发生了什么?其中有什么值得我们关注的?
我们先人工模拟一下浏览器加载page_url源码
会发生什么:
外链js
并执行js内容;自执行函数
,它内部会将外链js解密
成eval需要的万行js字符串,并给window.$_ts添加了很多属性,然后调用eval函数进入VM
执行解密后的js,生成cookie,eval执行完毕,继续执行自执行函数;瑞数执行流程图解
如下:
这里我们需要关注eval调用
的位置(也就是VM的入口
),cookie生成的位置。
注:浏览器v8调用eval执行代码时会开启一个虚拟机(VM+数字)去执行JS代码。
我们直接hook eval
或搜索.call
就可以定位到调用eval的位置
_$Ln就是解密后
的js代码字符串;进入vm是一个自执行函数,其中有生成cookie
的逻辑,定位cookie可以直接hook或在vm代码中搜索 (5)
hook cookie代码:
// hook 指定cookie赋值
(function () {
'use strict';
Object.defineProperty(document, 'cookie', {
set: function (cookie) {
if(cookie.indexOf("FSSBBIl1UgzbN7N80T")!= -1){
debugger;
}
return cookie;
}
});
})();
好了,以上就是瑞数的整体流程逻辑,那么我们该如何通过扣代码
去生成cookie_t过瑞数呢?
由于每次请求瑞数page_url,其源码是动态
变化的,VM代码
也是动态变化的,所以我们要保存一份静态代码方便调试;
直接如图这样,固定page_url响应即可,
这样请求时,page_url中的 外链JS
是固定的,自执行函数
是固定的,VM中的代码
也是固定的,那么这份固定代码每次生成的cookie_t 是不是也固定呢?
答案:不是,因为cookie_t的生成用到了随机数、时间戳、localStorage中的值(每次调用其值会+1),我们将随机数和时间戳这两个变量也hook固定住,然后每次都新开无痕浏览器去运行,最终生成的cookie_t就是固定的啦。
此时我们就可以开始扣这份静态代码了,扣到node生成的cookie_t
与浏览器执行静态代码生成的cookie_t
一致就说明扣成功了。
扣代码需要扣两部分,page_url源码部分和VM中生成cookie_t部分。
按照我们之前的分析,VM中代码会用到window.$_ts
,因此我们得先保证从page_url源码中扣下来的代码执行到eval时,能正常生成window.$_ts
。
我们将page_url的自执行函数
和外链JS内容
先扣下来,meta content也先扣下来,然后根据执行报错简单补一下环境,使得扣下来代码执行到eval时,其window.$_ts
和解密出的VM JS代码
与本地静态代码生成的一致。
这就说明我们page_url源码部分扣好了,接下来就可以去扣VM中生成cookie_t的部分。
上面我们分析到cookie的定位
,可以知道 _$bO这个函数中生成了二次cookie_t,那这就是我们扣代码的起点
,将该函数扣到文件末尾,直接执行,然后缺啥补啥,遇到使用BOM、DOM api
的代码时,我们可以使用等价逻辑替换
,比如此处原逻辑是获取meta标签中的content内容,然后再删除meta标签,我们可以直接等价替换成 return meta_content。如图:
如果扣到最后,node生成的cookie_t与本地静态代码生成的不一致,则说明我们扣的代码有些环境检测没过,我们可以根据node与浏览器执行的差异去定位,比如node执行到某个地方的值与浏览器执行静态代码得到的不一样,说明前面逻辑有差异,继续向前定位,如此反复即可找出所有遗漏的环境检测,完成VM部分扣取。
此时我们就完成了这份静态rs代码的扣取并取得成功,但是rs网站的代码是动态
的啊,每次请求时 window.$_ts
和VM js
都会变化,难道我们每份都要去扣吗?不,其实我们现在离真正成功只差一个映射,
VM的万行js代码 虽然每次都会变化,但是变化的只是变量名,其他的都不变。
映射就是将动态window.$_ts
中的属性名与 我们扣的VM 中JS用到的window.$_ts
中的固定属性名一一对应。
所以在扣的过程中我们需要注意VM中哪些地方使用了外部变量
,(即一个函数中,哪个变量来自其他作用域,就算外部变量),我们需要关注这些外部变量是从哪来的,如果是VM自执行函数中定义的,那就不用管,如果是来自window.$_ts
,则需要记录下来,这就是需要映射传入的。
这里的计算逻辑使用到了 window.$_ts._$IK
,所以我们要做映射时要传入这个值;window.$_ts={_$IK:对应的动态属性名}
解决完映射,也就成功扣代码过rs了。
好了,扣代码到此为止,接下来就是我们本文的重点。
不知道补环境原理的同志可以参考我上篇文章:JS逆向之浏览器补环境详解
;
其实纯补环境
过瑞数原理很简单,我们来观察瑞数执行流程图解,基于浏览器环境执行这些动态JS可以生成可用的 cookie_t。那么只要我们补的浏览器环境足够完美,使得在这些动态JS看来,我们补的环境===浏览器环境
,那么我们补的环境执行这些动态JS,同样也能生成可用的 cookie_t,然后我们再通过 document.cookie 将cookie_t 提取出来不就好了。
用伪代码表示就是:
// 补的环境头 window = this; ... 省略大量环境头 // 模拟meta标签及其content document.createElement('meta'); Meta$content = "{qYnKTJPAw84QfF5jm0I2_1IqhgTvRw8Y0yCBPxIVn6od8AeJE6CBz8ZSU6U...省略"; // 固定的外链js $_ts=window['$_ts'];if(!$_ts)$_ts={};$_ts.scj=[];$_ts['dfe1675']='þþ+...省略'; // page_url动态自执行函数 (function(){var _$CK=0,_$WI=[[9,3,6,0,4,1; ...ret = _$su.call(_$fr, _$WR); 很长...省略}}}}}}}})();; // 获取cookie function get_cookie(){ return document.cookie; } // 获取MmEwMD参数 function get_mme(){{ XMLHttpRequest.prototype.open("GET","http://脱敏/",true); return XMLHttpRequest.prototype.uri; }}
这就是我们最后要补成的文件样子,由于Meta$content 和page_url动态自执行函数是动态变化的,因此我们每次请求page_url 都需要用正则提取出这两个字符串,然后拼接到该文件中,然后python pyexecjs调用get_cookie即可得到可用cookie_t;
在上面的扣代码过瑞数中也提到了,由于有随机数和时间戳参与生成cookie_t 运算,导致同一份静态JS代码
生成的cookie_t 是变化的,我们可以通过hook
使得时间戳和随机数固定,这样同一份静态JS生成的cookie_t就是固定的。
// 固定定随机数和时间戳
Date.prototype.getTime = function(){return 1672931693};
Math.random = function(){return 0.5};
我们也可以通过最终生成的cookie_t 来判断,自己补的环境
是不是===浏览器环境
。
原理很简单,接下来就是如何实践,我们需要补出一份完美的环境头使得这份静态JS
执行得到的cookie_t与浏览器执行得到的一致。
因为补环境是一个系统性工作,是有通用套路的,我们可以使用上篇文章提到的补环境框架
进行系统性补环境,我们要做的就是根据log输出
以及出现的问题不断完善这个框架。
如图,启动框架,上面是我们补的环境头,下面是我们扣的代码,
继续调试,当我们Proxy拦截器
拦截到BOM、DOM api
的使用时,就会debugger住,我们可以根据 调用栈 去查看是哪行代码使用的浏览器环境,然后再看到框架中模拟的结果是不是跟浏览器一致,如果不一致,则需要补这个环境。
如此往复的补环境,直到最后可以生成cookie_t
,判断是否与浏览器本地生成的一致,如果不一致则使用二分法去定位,看是哪个浏览器环境没补好,直到 最终得到正确的cookie_t
,这里贴一下最后执行效果图:
这是最后打印的一部分环境检测点
:
这是取出最终得到的cookie_t
:
同理,MmEwMD
参数的补环境也是一样的逻辑,当环境头补到完美时,在python中执行最终结果文件,即可得到如下结果:
对于js逆向
来说,这是两种常规且实用的手段,也各有优劣势;
不管使用哪种方式,我们都是先从网站中将加密JS代码扣出,然后再选择是继续扣代码,将使用到的浏览器环境api
进行逻辑替换;还是使用补环境,让加密JS代码仿佛在浏览器环境中运行。
总而言之,扣代码
侧重js语法和代码逻辑,其熟练度依赖于逆向经验,对不同网站要扣的不一样,难以通用,人工效率低,但是程序执行效率高。
补环境
侧重原型链及浏览器环境模拟,熟练度几乎只依赖对JS的原理掌握程度,对于不同网站补的越多可通杀的网站越多,人工效率巨高,但是程序执行效率不高。
过瑞数几乎是每个新手逆向者的小目标,也是面试官常见的提问点。通过本篇文章,我们已经了解了 瑞数的流程及破解思路
,接下来我们可以尝试自己从头实现一个完善的补环境框架,去纯环境黑盒过瑞数
,但是这会花费很长一段时间来进行开发,而且其中有很多重复性工作比较无聊(复制粘贴对比等)。
走快车道:
本文该版本 补环境框架 是基于上篇文章框架进行系统性完善的,目前可以过瑞数这种级别网站,可以说是相当完善了,补了相当多的环境,如果你想省下大量时间、极大提高效率
、直接弯道超车
的话,可以 微信联系我:dengshengfeng666 付费源码借鉴;
固定价 199,付完直接发框架项目源码(有最新图文readme可直接小白上手),后续有疑问可以直接问我。
或者直接在CSDN私信我。
该版本与上版本改进点:
弯道超车,从我做起
该版本框架目录:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。