-
声明
-
本文以学习交流为目的、不得用于任何商业用途和违法违规场景。
一 , 正片开始
网址:aHR0cHM6Ly9ob3RlbHMuY3RyaXAuY29tL2hvdGVscy8xNTAxODQ5Mi5odG1s
需要分析的参数:testab
然后直接搜索会发现 testab 会发现这两个地方
在这个地方打断点你会惊奇的发现打不上
所以只能第一个搜索出来的地方上了断点 准备的差不多 然后刷新一下界面 然后等待一会 会发现成功的断住了
这里生成了一个随机数 返回把它加载到window的全局方里面
点击下一步
然后让他跳进去 我们这是已经知道了一个方法加载到window全局方法里面
所以在在里面打了一个断点 然后执行到了这里 看一下e()执行了什么
发现这个e()生成的就是我们需要的testab参数
通过浏览器发包会发现 这个生成的随机数会去请求一个js文件 这里大概就是可以猜测这是个动态js加密参数
解决这个有几种办法 :
- rpc
- 补环境
- 还原算法
这里交流2和3
1. 补环境:
先整体看一下
因为js是动态的 所以要保存一份作为替换以便调试 SekishikiMeikaiHa会传入一个window和一个打对象 是先调用的方法 然后返回了一个方法 然后再传入的 _bot_1417为window。 _bot_3bd0a这个是传入的对象 看下在哪使用到了这个对象 (可以了解一下vmp的执行过程 这里就不多说了)
会发现他把对象的b值传入到了decode解码。尝试把代码扣下来放在本地执行 查看decode返回的结果 发现是一个二维数组(vmp里面是指令集 不过多的介绍了)
然后看一下把返回的数组 然后入到这个里面使用 所有这个就是开始执行这些指令的循环
在这个地方打印调试输出。 看一下结果 呢么有人会说为什么在这个地方下个打印呢 因为我也不知道 哈哈哈哈哈 开下玩笑 字符的拼接无非就是join + 这是这几种 最多的就是运算符+
一顿打印会发现拼接了下面这些值(简化了的 全部输出有几万行)
通过日志分析 需要补充的环境还是还是挺多的 可以考虑使用jvtool插件之类的进。补环境 发现里面还检测了node一些api 使用node来执行得先解决一些node的api以防止检测。推荐在vm或v8里面执行 具体不说了 可以尝试学习补环境
{
'0': 'QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm1234567890$_[]',
'1': '__pluginBodyChildren',
'4': 'default',
'6': '__pluginElementAppend',
'9': 'default',
'11': '__pluginElementCreate',
'14': 'default',
'16': '__pluginElementRender',
'19': 'default',
'21': '__pluginElementTagname',
'24': 'default',
'26': '__pluginErrorStack',
'29': 'default',
'31': '__pluginImageCreate',
'34': 'default',
'36': '__pluginNavigatorPlatform',
'39': 'default',
'41': '__pluginNodeJs',
'44': 'default',
'46': '__pluginPlatform',
'49': 'default',
'51': '__pluginReadOnlyPlatform',
'54': 'default',
'56': '__pluginReadOnlyAppCodeName',
'59': 'default',
'61': '__pluginReadOnlyUserAgent',
'64': 'default',
'66': '__pluginWindowPrototype',
'69': 'default',
'71': '__pluginWebdriver',
'74': 'default',
'76': 'root',
'78': '__pluginBodyChildren',
'79': 'default',
'81': '__pluginElementAppend',
'82': 'default',
'84': '__pluginElementCreate',
'85': 'default',
'87': '__pluginElementRender',
'88': 'default',
'90': '__pluginElementTagname',
'91': 'default',
'93': '__pluginErrorStack',
'94': 'default',
'96': '__pluginImageCreate',
'97': 'default',
'99': '__pluginNavigatorPlatform',
'100': 'default',
'102': '__pluginNodeJs',
'103': 'default',
'105': '__pluginPlatform',
'106': 'default',
'108': '__pluginReadOnlyPlatform',
'109': 'default',
'111': '__pluginReadOnlyAppCodeName',
'112': 'default',
'114': '__pluginReadOnlyUserAgent',
'115': 'default',
'117': '__pluginWindowPrototype',
'118': 'default',
'120': '__pluginWebdriver',
'121': 'default',
'132': 'Math',
'133': 'require',
'134': 'document',
'135': 'navigator',
'136': 'location',
'137': 'Object',
'138': 'Window',
'139': 'window',
'140': 'String',
'141': 'escape',
'142': 'Array',
'143': 'Boolean',
'144': 'Date',
'145': 'RegExp',
'146': 'JSON',
'147': 'Function',
'148': 'Location',
'149': 'Navigator',
'150': 'encodeURIComponent',
'151': 'bind',
'154': 'j9dJSRWGMezHLqyCu1pPQfs2XN0Ilhma7-UicAK6btroVxgZw5_nYOvE3TF48BDk',
'155': 'call',
'156': 'bind',
'158': 'bind',
'159': 'call',
'161': 'toString',
'164': 'map',
'168': 'forEach',
'172': 'push',
'176': 'join',
'180': 'indexOf',
'184': 'charCodeAt',
'188': 'replace',
'192': 'toLowerCase',
'196': 'indexOf',
'199': 'fromCharCode',
'202': 'toGMTString',
'204': 'setMinutes',
'206': 'getMinutes',
'208': 'undefined',
'209': 'OwAFMfVbLF',
'212': '\\s+|\\s*\\/\\*.*?\\*\\/\\s*|\\s*\\/\\/.*\\s*',
'215': 'hotelhst',
'219': 'OwAFMfVbLF',
'310': 'length',
'330': 'div',
'333': 'h1',
'334': 'h2',
'335': 'h3',
'336': 'h4',
'337': 'span',
'339': 'ul',
'340': 'li',
'357': 'jsdom',
'358': 'async_hooks',
'359': 'cluster',
'360': 'os',
'361': 'repl',
'389': 'floor',
'395': 'floor',
'396': 'WQ',
'400': 'floor',
'401': 'WQ',
'404': 'floor',
'405': 'WQ',
'406': 'WQ',
'418': 'length',
'420': 'floor',
'426': 'forEach',
'429': 'call',
'432': 'floor',
'433': 'random',
'438': 'setMinutes',
'439': 'getMinutes',
'443': 'cookie',
'446': 'WQ',
'447': ';expires=',
'448': 'WQ',
'449': 'toGMTString',
'451': 'WQ',
'452': ';path=/',
'453': 'WQ',
'455': 'push',
'458': 'length',
'463': 'Q1',
'464': 'length',
'470': 'charAt',
'471': 'length',
'474': 'length',
'477': 'WQ',
'479': 'Q4345',
'481': 'charCodeAt',
'496': 'window',
'497': 'document',
'499': 'body',
'500': 'children',
'502': 'length',
'504': 'window',
'505': 'parseInt',
'519': 'window',
'520': 'document',
'522': 'createElement',
'523': 'div',
'525': 'createElement',
'526': 'div',
'528': 'appendChild',
'530': 'appendChild',
'541': 'window',
'542': 'document',
'544': 'createElement',
'545': 'div',
'547': 'div',
'550': 'createElement',
'564': 'window',
'565': 'document',
'567': 'createElement',
'568': 'div',
'570': 'style',
'571': 'height',
'573': '20px',
'575': 'offsetHeight',
'576': 'body',
'577': 'appendChild',
'580': 'offsetHeight',
'582': 'remove',
'593': 'window',
'594': 'document',
'596': 'div',
'599': 'h1',
'600': 'h2',
'601': 'h3',
'602': 'h4',
'603': 'span',
'605': 'ul',
'606': 'li',
'608': 'length',
'610': 'createElement',
'612': 'tagName',
'633': 'fbejkbakrbadskfe',
'635': 'stack',
'637': 'vm|repl|bootstrapNodeJSCore|tryModuleLoad|evalmachine|runInContext',
'640': 'test',
'641': 'stack',
'645': 'number',
'656': 'window',
'657': 'Image',
'659': 'window',
'660': 'Image',
'663': 'keys',
'664': '__proto__',
'667': 'length',
'669': 'indexOf',
'682': 'window',
'683': 'navigator',
'685': 'platform',
'688': 'length',
'699': 'length',
'707': 'constructor',
'708': 'constructor',
'710': 'return process.mainModule.constructor._load',
'725': 'window',
'726': 'navigator',
'728': 'platform',
'731': 'length',
'746': 'ctrip.com',
'747': 'window',
'748': 'navigator',
'750': 'platform',
'751': 'platform',
'753': 'platform',
'756': 'platform',
'767': 'ctrip.com',
'768': 'window',
'769': 'navigator',
'771': 'appCodeName',
'772': 'appCodeName',
'774': 'appCodeName',
'777': 'appCodeName',
'788': 'ctrip.com',
'789': 'window',
'790': 'navigator',
'792': 'userAgent',
'793': 'userAgent',
'795': 'userAgent',
'798': 'userAgent',
'809': 'window',
'810': 'function',
'815': 'native code',
'820': 'stringify',
'822': '{}',
'833': 'window',
'834': 'navigator',
'836': 'window',
'837': 'document',
'839': 'window',
'840': 'webdriver',
'843': 'getOwnPropertyNames',
'845': 'getOwnPropertyNames',
'847': 'join',
'851': 'indexOf',
'852': 'webdriver',
'854': '_phantom',
'856': 'undefined',
'859': '__nightmare',
'861': 'undefined',
'864': '_selenium',
'866': 'undefined',
'869': 'callPhantom',
'871': 'undefined',
'874': 'callSelenium',
'876': 'undefined',
'879': '_Selenium_IDE_Recorder',
'881': 'undefined',
'884': '__webdriver_evaluate',
'886': 'undefined',
'889': '__selenium_evaluate',
'891': 'undefined',
'894': '__webdriver_script_function',
'896': 'undefined',
'899': '__webdriver_script_func',
'901': 'undefined',
'904': '__webdriver_script_fn',
'906': 'undefined',
'909': '__fxdriver_evaluate',
'911': 'undefined',
'914': '__driver_unwrapped',
'916': 'undefined',
'919': '__webdriver_unwrapped',
'921': 'undefined',
'924': '__driver_evaluate',
'926': 'undefined',
'929': '__selenium_unwrapped',
'931': 'undefined',
'934': '__fxdriver_unwrapped',
'936': 'undefined',
'939': 'external',
'940': 'external',
'941': 'toString',
'942': 'external',
'943': 'toString',
'945': 'external',
'946': 'toString',
'949': 'indexOf',
'951': 'Sequentum',
'956': 'documentElement',
'957': 'getAttribute',
'959': 'selenium',
'962': 'documentElement',
'963': 'getAttribute',
'965': 'webdriver',
'968': 'documentElement',
'969': 'getAttribute',
'971': 'driver',
'974': '\\$[a-z]dc_',
'980': 'concat',
'981': 'keys',
'984': '__proto__',
'986': 'length',
'988': 'match',
'990': 'cache_',
'994': 'userAgent',
'997': 'userAgent',
'998': 'toLowerCase',
'1001': 'indexOf',
'1002': 'headless',
'1007': 'getOwnPropertyDescriptor',
'1008': 'webdriver',
'1009': 'getOwnPropertyDescriptor',
'1010': 'webdriver',
'1012': 'get'
}
下面是补环境运行的结果
发现运行结果一直 环境补出来大概几千行 加油慢慢补
2. 接下来分析算法还原。
然后我们在这些运算符号的位置打印输出日志
发现最后的结果是由这个64位数组拼接过来结果
看一下这个数组怎么来的
对应的是
发现这个f是转码过来 在vmp里面大部分都是由String.fromCharCode转码过来
初始化完会生成这个64位数组 然后对该数组进行运算
最后生成下面这个数组
最后补一张纯算的运行结果
纯算分析就到这里 多观察打印日志 里面都在里面 主要还是靠自己
如有侵权 请联系我删除 有需要的断点调试信息的需备注
