【JS逆向】某验三代点选逆向分析

某验3代点选逆向分析

本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关.本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负责

逆向目标

站点：aHR0cHM6Ly93d3cuYmlsaWJpbGkuY29tLw==

目标：某某验点选

配套视频：视频

抓包分析

提前打开F12，进入网站点击登录，手动点错一次提交后，观察发包：

这5次请求为核心请求，依次分析。

1. gettype.php

发现其主要参数为gt，且能搜索到是来自于capthca这个接口，再看看这个接口有什么：

观察主要返回这些内容，在接下来的流程中可能会用到。

2. get.php

响应内容：返回了很多字段，可能后续有用

请求参数：gt,challenge上一步我们已经拿到。w看起来似乎要处理。

3. ajax.php

这里就不贴图了，跟第2步的请求参数一样，可能要处理w。至于响应内容，则返回的是当前验证码类型：

{"status": "success", "data": {"result": "click"}}

4. get.php

响应内容：pic返回了图片，以及一些字段后续可能用到

请求参数：没有需要特别处理的，此前全都能取到。

5. ajax.php

响应内容：返回fail，正是点击失败的返回，这一步就是去验证验证码了

{
    "status": "success",
    "data": {
        "result": "fail",
        "msg": []
    }
}

请求参数：除了w，其他参数并无特别

流程分析

以上5次请求，发现2，3，5三个步骤中都有w需要处理，目标则为逆向w值。先说结论，实测下来其实2，3步骤中的w并不校验，本次不分析，着重于分析最后一步提交验证码的w参数分析。

逆向分析w

1. 定位js

先大概看看调用栈，发现都来自于click.3.1.1.js这个文件，那目标明确。

发现有大量这种调用，显然是个混淆。

我的习惯是面对这种混淆，优先看看AST还原一部分，便于调试。

2. AST还原

将js拿出来放到vscode收起来观察，4个大方法，一个自执行方法，并不是传统的OB混淆

尝试拿自执行方法中的某个调用，来本地执行打印，发现没问题能正常出值。整个自执行的方法中包含大量$_CFAn(86)这种类型调用，结合我们本地能执行的情况，也就是说其实跟OB中的解密函数也差不多一个意思，那就好办了。

AST思路，详细过程在：视频

1. 将unicode编码还原字符串
2. 将解密函数调用还原
3. 移除无用代码(基于能正常调试了，这一步我没做)

3. debug调试

将还原后的js本地替换浏览器js后，直接搜索参数之一client_type可以直接定位到目标，接下来开始繁杂的debug

可以看到w = p + u，u = n["$_CDGJ"]()，p = w["$_EEn"](h)，而h = X["encrypt"](ae["stringify"](o), n["$_CDHy"]())。

4. u逆向

那就先看u吧。跟进 n["$_CDGJ"]()看看。

混淆部分在视频中有讲理解，就是赋值新变量+concat+取值，由于我们已经AST处理掉了，这一部分就属于无用代码，后续分析其他方法看到这种直接不用管就是。

得益于解混淆后，直接就能跟到：

1	var t = new H()["encrypt"](this["$_CDHy"](e));

e是undefined，不用管；

需要再看new H()["encrypt"] 和 this["$_CDHy"](e)。分别往下看

1. this["$_CDHy"](e)

跟进来发现主要逻辑有来自于ve = Q()，继续往下跟：

​ 结论：

1 2 3 4 5

this["$_CDHy"](e) = e() + e() + e() + e(); function e() {     return (65536 * (1 + Math["random"]()) | 0)["toString"](16)["substring"](1) }

2. new H()["encrypt"]

发现这个方法是加在k的原型上的，向上找就能找到var H = function(){}

把整个H拿下来，再把4个方法加上，稍微补一补环境，就能搞定。

跟网站生成的值一对比，发现不一样，其实也正常，这个算法是rsa，非对称加密，也可以用标准库去解决试试，反正这里我已经扣下来js了就这样不管了。

到这里，u已经搞定。

5. p逆向

重头戏来了，这里p的组成比较复杂，需要逆向的值有好几个。

X["encrypt"](ae["stringify"](o), n["$_CDHy"]())

p来自于h，那先解决h。观察n["$_CDHy"]()的值跟上一步一样，其实也就是一个加密key值，流程如下：

1. 先e() + e() + e() + e()生成一个字符串，作为明文来rsa加密
2. 接下来的所有需要用到这个明文值的地方，都保持为第一次生成的

所以h的重点在于X["encrypt"]和(ae["stringify"](o)以及o是什么，那就一个个来，先看o

1. o

o的组成很复杂，有这么多东西

a：其实是点击的坐标，但经过处理

ep：看起来像轨迹和环境

h9s9：可能要逆向

lang、pic：固定或者之前能取到

rp、tt：不知道含义，要逆向

2. ae["stringify"]

其实就是JSON.stringify，直接改写就好

3. X["encrypt"]

跟进去看看，跟之前u的 var H = function(){} 一样，直接把整个var X = function(){} 拿出来。这里先不贴图，先往下解决再一起看

到此，h就搞定了，接下来看看p的逻辑。

本质上是调用的this["$_ECS"](e)

$_ECS是属于w = {}，把整个w拿下来，再把之前var X = function(){}拿下来，最终js如下：

运行后与网站生成的对比，值一致

到此，p也搞定。但o中还有好几个参数没处理，继续逆他，累鼠了。

多提一嘴其实这里是aes加密，不过我试过用标准库来解，发现解后的数组跟网站的值对不上，就索性直接扣了，应该是漏了啥，本人对密码学属实不了解

6. o逆向

o有以下字段，实际需要逆向的是a，rp，tt，其他的固定即可，不校验，不过其实也可以跟，大概说下我的理解：

a:点击坐标，要特殊处理

ep:鼠标移动的全部轨迹，还有一些浏览器事件的环境

h9s9:看其他大佬描述为每天变化的值，实际测下来这个值好几天没变了，固定即可

passtime:点击耗时，随机就行

rp、tt:含义未知，逆他就完事

1. a

先看看a吧。在w的位置向上看，定位到a的逻辑，发现是参数过来的，那就下断再往前的栈跟

向前跟一个栈就能看到a其实来自于n["$_BJGs"]["$_EJC"]()，继续向前跟。

发现其实来自于e["$_CEFZ"]

​ 搜一下"$_CEFZ"，发现又来自于t，t在上一个栈，再跟

跟到这里了，下断点刷新在跟

如下分析下：

那就好办了，a的逻辑是这样：

1 2 3

var x1 = Math["round"](100 * Number(x)); var y1 = Math["round"](100 * Number(y)); var a = x1 + '_' + y1

2. tt

​ tt方法传参3个，s = n["$_BHIA"]["$_BGBn"]()，r["c"], r["s"]来自于接口返回，至于s的逻辑就自己跟下好了，跟之前流程一样的

3. rp

rp就是r["gt"] + r["challenge"] + o["passtime"]做个md5，可以扣也可以库还原

到这里，所有参数全部搞定，至于o.ep等之类的，网站自己抓一个写死即可。

验证

没毛病