JS逆向 - 某程 w-payload-source 纯算、补环境分析

概要

提示：仅供学习，不得用做商业交易，如有侵权请及时联系

也是很久没有更新教学文章了，这次就更新一波纯算和补环境

逆向：某程 header请求头参数 w-payload-source 纯算、补环境分析

URL：aHR0cHM6Ly9mbGlnaHRzLmN0cmlwLmNvbS9vbmxpbmUvbGlzdC9vbmV3YXktc2hhLWJqcz9fPTEmZGVwZGF0ZT0yMDI1LTEyLTI2JmNhYmluPVlfU19DX0Y=

整体架构流程

提示：加密位置分析流程

1、搜索关键词：w-payload-source

2、window.c_sign.toString(i) 下断点，可以看到i其实就是表单进行md5加密,继续进入c_sign.toString函数

3、这里我们发现加密的函数是在window下面，而且这个函数是在一个单独的文件里面：c-sign.js

技术名词解释

提示：补环境和纯算分析解决

1、补环境：将c-sign.js文件代码全部复制出来，缺啥补啥

• 代理吐环境:

AsObj={print:console.log,// print:function (){}}no_print=['Boolean','String','parseFloat','Array','Object'];functionwatch(object,WatchName){consthandler={get(target,property,receiver){if(property!=='isNaN'&&property!=='encodeURI'&&property!=="Uint8Array"&&property!=='undefined'&&property!=='JSON'&&property!=='Number'&&!no_print.includes(property)&&property!==Symbol.for('nodejs.util.inspect.custom')&&typeofproperty!=='symbol'){if(property==='global'){returnundefined;}if(property==='Buffer'){returnundefined;}AsObj.print("方法:","get","对象:",WatchName,"属性:",property,"属性类型:",typeofproperty,"属性值:",typeoftarget[property]=='object'?"object":target[property],"属性值类型:",typeoftarget[property]);}if(WatchName==='top'){returnwindow;}returnReflect.get(target,property,receiver);},set(target,property,value,receiver){AsObj.print("方法:","set","对象:",WatchName,"属性:",property,"属性类型:",typeofproperty,"属性值:",value,"属性值类型:",typeoftarget[property]);returnReflect.set(target,property,value,receiver);},has(target,property){AsObj.print("代理对象:",WatchName,"方法:","has","检查属性:",property);returnReflect.has(target,property);},ownKeys(target){AsObj.print("方法:","ownKeys","对象:",WatchName);returnReflect.ownKeys(target);}};returnnewProxy(object,handler);}

• 检测点：

// bom dom 属性 in操作代理对象:window 方法:has 检查属性:callPhantom代理对象:Window.prototype 方法:has 检查属性:callPhantom代理对象:window 方法:has 检查属性:_phantom代理对象:Window.prototype 方法:has 检查属性:_phantom代理对象:window 方法:has 检查属性:phantom代理对象:Window.prototype 方法:has 检查属性:phantom代理对象:navigator 方法:has 检查属性:mimeTypes代理对象:Navigator.prototype 方法:has 检查属性:mimeTypes代理对象:navigator 方法:has 检查属性:__lookupGetter__代理对象:Navigator.prototype 方法:has 检查属性:__lookupGetter__代理对象:navigator 方法:has 检查属性:hardwareConcurrency代理对象:Navigator.prototype 方法:has 检查属性:hardwareConcurrency代理对象:navigator 方法:has 检查属性:__lookupGetter__代理对象:Navigator.prototype 方法:has 检查属性:__lookupGetter__代理对象:navigator 方法:has 检查属性:plugins代理对象:Navigator.prototype 方法:has 检查属性:plugins代理对象:navigator 方法:has 检查属性:__lookupGetter__代理对象:Navigator.prototype 方法:has 检查属性:__lookupGetter__代理对象:navigator 方法:has 检查属性:platform代理对象:Navigator.prototype 方法:has 检查属性:platform代理对象:navigator 方法:has 检查属性:__lookupGetter__代理对象:Navigator.prototype 方法:has 检查属性:__lookupGetter__.....

// 原型函数代理对象:HTMLElement.prototype 方法:has 检查属性:offsetHeight方法:get对象:HTMLCanvasElement.prototype 属性:toDataURL 属性类型:string 属性值:[Function:toDataURL]属性值类型:function方法:get对象:CanvasRenderingContext2D.prototype 属性:getImageData 属性类型:string 属性值:[Function:getImageData]属性值类型:function方法:get对象:CanvasRenderingContext2D.prototype 属性:toBlob 属性类型:string 属性值:[Function:toBlob]属性值类型:function方法:get对象:WebGLRenderingContext.prototype 属性:bufferData 属性类型:string 属性值:[Function:bufferData]属性值类型:function方法:get对象:WebGLRenderingContext.prototype 属性:getParameter 属性类型:string 属性值:[Function:getParameter]属性值类型:function方法:get对象:WebGL2RenderingContext.prototype 属性:bufferData 属性类型:string 属性值:[Function:bufferData]属性值类型:function方法:get对象:WebGL2RenderingContext.prototype 属性:getParameter 属性类型:string 属性值:[Function:getParameter]属性值类型:function方法:get对象:AudioContext.prototype 属性:createAnalyser 属性类型:string 属性值:[Function:createAnalyser]属性值类型:function方法:get对象:AudioContext.prototype 属性:getChannelData 属性类型:string 属性值:[Function:getChannelData]属性值类型:function方法:get对象:OfflineAudioContext.prototype 属性:createAnalyser 属性类型:string 属性值:[Function:createAnalyser]属性值类型:function方法:get对象:OfflineAudioContext.prototype 属性:getChannelData 属性类型:string 属性值:[Function:getChannelData]属性值类型:function....

• 最后直接调用window.c_sign.toString(i)

2、纯算分析

• 可以发现最后的值是在Bt函数里面生成
  

• 进入到Bt函数发现是一个switch平坦流，无所谓，咱们直接找到return返回结果的地方（有能力的可以还原一下js）
  

• 这里我们发现y就是最后的结果，只是拼接了一下102! ,那么我们就可以往后反推，这里我就不一步一步去反推了，直接告诉你们，其实有一个环境数组：j
  

• 所以我们只需要观察j里面的字符串从哪里来的：**直接找j.push(**断点即可
  

• 首先我们观察第一个怎么来：
  

这里可以看到，第一，二个就是F和K,直接搜索F =

可以发现F就是随机生成的8位字符串,而k等于 Rt(body的MD5+‘-’+F,31)

这里可以发现Rt加密出来也是32位，有可能是md5，经过校验发现是魔改的MD5，所以直接扣下面，然后再去分析魔改点

• 继续找第三位
  

继续搜索I = ，var I = Ct.UdHwk(mt);也就是mt函数在干嘛

这里我们可以看到检测了一堆浏览器指纹，所以这个值我们可以写死

• 后面的我就不一一带着去找了，说一下怎么来的

// 检测浏览器dom或者bom及原型 默认0z.push("536870911");// 浏览器插件拼接 - 如果没有就是空字符串z.push('');// 时间戳 毫秒 - 如果没有就是空字符串z.push(''+new_date.getTime());// 时间戳 秒z.push((-new_date.getTimezoneOffset()/60)+'')// 判断是否存在UBT_GLOBAL 0 ： 1z.push("1")// 判断UBT_GLOBAL 中是否存在 clientId 默认空字符串z.push("09031147110931135002")// 判断UBT_GLOBAL 中是否存在 vid 默认空字符串z.push("1762910091356.7713RmwAJjow")

• 得到这个数组之后会干嘛呢，猜一猜肯定是会去传charCodeAt，这里你们单独往下跟就可以看到

functionz_charCodeAt(z_shuz){varz_charcode_=[];for(varj=0;j<z_shuz.length;j++){strc=z_shuz[j];for(vari=0;i<strc.length;i++){z_charcode_.push((255&strc.charCodeAt(i)))}z_charcode_.push(0)}returnz_charcode_;}

• 最后再将得到的这个数组通过base64编码形式转换回去，也是随便更一下就可以更到

z_charcode=z_charCodeAt(z);// pxZ9ApPmFtj9fpToE0d4uJH7vOuCkVFJcuEB9Xm0pXbDt8U8qlKyDxhCD0pSgSXDN 固定字符串// 经过base64 'by0EACXB4jiQKO+7tNmrqF61G9zwThYUkdHlVaPuWgce3sDv5pnSL/2ZRIxJoMf8='salt_='by0EACXB4jiQKO+7tNmrqF61G9zwThYUkdHlVaPuWgce3sDv5pnSL/2ZRIxJoMf8='payload_source="102!";varD=0;while(D<z_charcode.length){varh=z_charcode[D++],k=(D<z_charcode.length)?z_charcode[D++]:NaN,b=(D<z_charcode.length)?z_charcode[D++]:NaN,p=(h>>2);varT,F,K,V=(3&h);if(!isNaN(k)){if(!isNaN(b)){T=((V<<4)|(k>>4)),F=(((15&k)<<2)|(b>>6)),K=(63&b);}else{T=((V<<4)|(k>>4)),F=((15&k)<<2),K=64}}else{T=o.tXtzd(V<<4),F=64,K=64}payload_source+=(((salt_['charAt'](p)+salt_['charAt'](T))+salt_['charAt'](F))+salt_['charAt'](K))}

小结

提示：学习交流主页，星球持续更新中：（＋星球主页+v）