猿人学第二届-第一题 逆向分析详解

原创 已于 2025-12-11 15:20:03 修改 · 1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #爬虫

于 2025-12-07 15:11:17 首次发布

猿人学第二届-第一题 逆向分析详解

一、抓包分析

API接口

https://match2023.yuanrenxue.cn/api/match2023/1

关键参数

  • token - 计算出的密钥
  • now - 时间戳
  • page - 页码

初步推测

根据参数特征,推测加密方式可能为 now + page 进行 AES 编码。

二、逆向过程

1. 定位token生成位置

要找到 token 的计算位置,只需找到接口的请求位置,查看请求体内的参数赋值过程即可定位到加密函数。这里采用最简单的方式:在开发者工具中找到接口请求,查看启动器位置(也就是请求走过的所有堆栈)快速定位发送位置。

在这里插入图片描述
在这里插入图片描述

2. 关键代码分析

g = '666yuanrenxue66' // AES密钥
// e = 时间戳, d = 页码, g = AES密钥
h = f['AES']['encrypt'](e + String(d), g, {
    'mode': f['mode']['ECB'],
    'padding': f['pad']['Pkcs7']
})

'token': f['MD5'](h['toString']())['toString']()

这是一个 AES-ECB 加密方式,加密内容为时间戳 + 页码,密钥为 g。但这里的 MD5 调用与正常的函数调用不一样,需要查看 f 指向的是什么。

3. 模块加载器分析

function a(b, c, d) {
    function f(j, k) {
        if (!c[j]) {
            if (!b[j]) {
                var l = 'function' == typeof require && require;
                if (!k && l)
                    return l(j, !0x0);
                if (g)
                    return g(j, !0x0);
                var m = new Error('Cannot\x20find\x20module\x20\x27' + j + '\x27');
                throw m['code'] = 'MODULE_NOT_FOUND', m;
            }
            var q = c[j] = {
                'exports': {}
            };
            b[j][0x0]['call'](q['exports'], function(s) {
                var v = b[j][0x1][s];
                return f(v || s);
            }, q, q['exports'], a, b, c, d);
        }
        return c[j]['exports'];
    }
    for (var g = 'function' == typeof require && require, h = 0x0; h < d['length']; h++)
        f(d[h]);
    return f;
}

f = a('crypto-js')

f 获取了 a 内的 crypto-js 模块,而 a 是一个自制的模块加载器。可以理解为 f 等同于 CryptoJS = require('crypto-js')

4. 魔改加密函数陷阱

网站使用自定义模块加载器而不直接用 require('crypto-js'),这里存在一个坑:魔改加密函数

网站将原生加密函数库代码写到本地,修改其中的逻辑后调用,导致使用未魔改的导入库与已魔改的出参不一致。

可以用以下代码验证:

const plaintext = e + String(d); 
const key = g;

const h = CryptoJS.AES.encrypt(plaintext, key, {
    mode: CryptoJS.mode.ECB,
    padding: CryptoJS.pad.Pkcs7
})

三、补环境方案

方案选择

有两种方式:

  1. 将函数找齐,保存到本地重命名后调用
  2. 直接补环境,将 a 导出到全局变量中,在外部调用

我们采用方式二:补环境

1. 复制代码并处理报错

将代码全文复制到本地 JS 中运行,发现报错在发送网络请求的地方。因为我们不需要发送网络请求,将此块注释掉即可。

在这里插入图片描述
在这里插入图片描述

2. 导出模块到全局变量

let cyjs // 定义全局变量

(function() {
    function a(b, c, d) {
        function f(j, k) {
            if (!c[j]) {
                if (!b[j]) {
                    var l = 'function' == typeof require && require;
                    if (!k && l)
                        return l(j, !0x0);
                    if (g)
                        return g(j, !0x0);
                    var m = new Error('Cannot\x20find\x20module\x20\x27' + j + '\x27');
                    throw m['code'] = 'MODULE_NOT_FOUND', m;
                }
                var q = c[j] = {
                    'exports': {}
                };
                b[j][0x0]['call'](q['exports'], function(s) {
                    var v = b[j][0x1][s];
                    return f(v || s);
                }, q, q['exports'], a, b, c, d);
            }
            return c[j]['exports'];
        }
        for (var g = 'function' == typeof require && require, h = 0x0; h < d['length']; h++)
            f(d[h]);
        return f;
    }
    return a;
}()({
    0x1: [function(a, b, c) {}, {}],
    0x2: [function(a, b, c) {
        cyjs = a // 导出模块
        console.log("模块获取", cyjs)
        // ...
    }
})

3. 编写测试逻辑

time = '1765086350541'
page = '1'
sign = '666yuanrenxue66'
f = cyjs('crypto-js')

h = f['AES']['encrypt'](time + String(page), sign, {
    'mode': f['mode']['ECB'],
    'padding': f['pad']['Pkcs7']
})
token = f['MD5'](h['toString']())['toString']()

if(token === "2a1de47d1e0d001c595ab047ddd3c3cb"){
    console.log("成功:", token)
} else {
    console.log("失败", token)
}

输出:

模块获取 [Function (anonymous)]
失败 9333a5a18a763c9955653eccdcd8b166

参数保持一致,但计算出来的数据还是不一样。这就需要进入补环境的核心:针对环境检测进行针对性补入,模拟真实浏览器。

4. 补入三件套

window = global
Window = function Window(){}
Object.setPrototypeOf(window, Window.prototype)
delete global;

document = {}
Document = function Document(){}
Object.setPrototypeOf(document, Document.prototype)

navigator = {}
Navigator = function Navigator(){}
Object.setPrototypeOf(navigator, Navigator.prototype)

location = {}
Location = function Location(){}
Object.setPrototypeOf(location, Location.prototype)

运行后发现加密参数变动了,说明补的环境是有作用的。接下来需要接路由,查看函数中到底获取了哪些属性。

5. 路由函数监控

function watch(obj, obj_name) {
    if (obj === undefined || obj === null) {
        console.log(`警告: "${obj_name}" 是 ${obj === null ? 'null' : 'undefined'},跳过代理`);
        return obj;
    }
    if (typeof obj !== 'object' && typeof obj !== 'function') {
        console.log(`警告: "${obj_name}" 不是对象或函数类型,而是 ${typeof obj},跳过代理`);
        return obj;
    }

    const handler = {
        get(target, property, receiver) {
            if (property === 'toJSON') {
                return target[property];
            }
            console.log(
                `方法: get | 对象: "${obj_name}" | 属性: ${typeof property === 'symbol' ? property.toString() : property} | 属性类型: ${typeof property} | 属性值类型: ${typeof target[property]}`
            );
            return Reflect.get(target, property, receiver);
        },
        // ... 其他 handler 方法
    };

    return new Proxy(obj, handler);
}

location = watch(location, 'location')

输出:

方法: getPrototypeOf | 对象: "navigator" | 获取原型链
方法: get | 对象: "location" | 属性: href | 属性类型: string | 属性值类型: undefined
失败 932497bfb68d0ba03c0b071493e0e9a6

6. 补入 location.href

在浏览器控制台查看真实环境:

location.href
// 'https://match2023.yuanrenxue.cn/topic/1'

补入这个值:

location = {
    'href': 'https://match2023.yuanrenxue.cn/topic/1'
}
Location = function Location(){}
Object.setPrototypeOf(location, Location.prototype)
location = watch(location, 'location')

输出:

方法: get | 对象: "location" | 属性: href | 属性类型: string | 属性值类型: string
失败 06ada6373be1f4b15da20f9fbb239d01

补入 href 后值发生了极大变化,说明环境补对了,但密钥依然错误。此时已经没有其他调用了,需要去读代码,而不是盲目添加更多浏览器对象。

7. 发现可疑代码

for (var B = 0x0; B < z; B++) {
    if (B < x)
        A[B] = w[B];
    else {
        u = A[B - 0x1];
        if (!(B % x))
            u = u << 0x8 | u >>> 0x18,
            u = i[u >>> 0x18] << 0x18 | i[u >>> 0x10 & 0xff] << 0x10 | i[u >>> 0x8 & 0xff] << 0x8 | i[u & 0xff],
            u ^= s[B / x | 0x0] << 0x18;
        else
            x > 0x6 && B % x == 0x4 && (delete window,
            window = 0x0,
            u = window ? i[u >>> 0x1a] << 0x18 | i[u >>> 0x10 & 0xff] << 0x10 | i[u >>> 0x8 & 0xff] << 0x8 | i[u & 0xff] : i[u >>> 0x16] << 0x18 | i[u >>> 0x10 & 0xff] << 0x10 | i[u >>> 0x8 & 0xff] << 0x8 | i[u & 0xff]);
        A[B] = A[B - x] ^ u;
    }
}

这里的 delete window, window = 0x0 在浏览器中是无效的,所以不会导致 window = 0。据此推理,当 window = 1 时,我们的代码与浏览器流程相同。

8. 修改代码

for (var B = 0x0; B < z; B++) {
    if (B < x)
        A[B] = w[B];
    else {
        u = A[B - 0x1];
        if (!(B % x))
            u = u << 0x8 | u >>> 0x18,
            u = i[u >>> 0x18] << 0x18 | i[u >>> 0x10 & 0xff] << 0x10 | i[u >>> 0x8 & 0xff] << 0x8 | i[u & 0xff],
            u ^= s[B / x | 0x0] << 0x18;
        else
            x > 0x6 && B % x == 0x4 && (
            u = 1 ? i[u >>> 0x1a] << 0x18 | i[u >>> 0x10 & 0xff] << 0x10 | i[u >>> 0x8 & 0xff] << 0x8 | i[u & 0xff] : i[u >>> 0x16] << 0x18 | i[u >>> 0x10 & 0xff] << 0x10 | i[u >>> 0x8 & 0xff] << 0x8 | i[u & 0xff]);
        A[B] = A[B - x] ^ u;
    }
}

删除 delete window, window = 0x0,将值固定为 1。

输出:

模块获取 [Function (anonymous)]
成功: 2a1de47d1e0d001c595ab047ddd3c3cb

此时我们的值与浏览器出值一致,成功还原出请求 token。

四、总结

这道题主要考验读代码的能力。代码无强混淆,逻辑基本都能看通。关键点在于:

  1. 理解自定义模块加载器的作用
  2. 认识到魔改加密函数的存在
  3. 正确补入浏览器环境
  4. 通过路由函数监控环境调用
  5. 仔细阅读代码找出环境检测逻辑

整个逆向过程需要耐心分析,不能盲目补环境,要结合实际代码逻辑进行针对性处理。

OP_o
关注
猿人2022APP逆向--第八 upx
qq_38759383的博客
06-07 685
是upx?upx (一种可执行程序文件压缩器) UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/...
【JS逆向习】猿人第二-动态cookie
学海无涯
02-28 1349
继续执行,发现程序卡住了,说明代码里还有其他的反检测代码,我们在下面位置打上断点调试一下。没招了,只能老老实实分析网络请求,但是分析的时候有个小坑大家要注意一下,就是我们用。老规矩,先分析网络请求,结合目考查内容,很明显就是考查动态cookie值。分析网络请求的时候只能看到一次网络请求(就是实际获取到数据的网络请求),如下。拷贝解密后的代码至本地,快速过一下发现里面有很多反调试代码,先把里面的。我们先来分析第一次网络请求,发现第一次网络请求返回的是混淆之后的。,我们先使用工具解下混淆,我这里用的是。
猿人2022安卓逆向对抗比赛第一分析
Steven的杂货铺
07-08 1505
通过 GDA 可以 了解到 app 没有任何的壳 防止app 有可能不走代理,所以通过 charles + postern 进行 sock转发通过 注册后 进入 第一** 计算1~100页所有数字之和**Charles 中 可以看到 post 请求 有三个参数 ,请求的结果为 每页需要计算的数字第一个是 page 页数 很明显第二个是 sign 值 为加密流程第三个 是 t 可以通过 上面的time 请求 了解到是时间戳那么整体就是分析sign值 是如何产生的 ,是否和page页数和t时间戳相关...
AST还原实战|第二届猿人js逆向比赛第二混淆还原详解
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
08-11 1502
关注它,不迷路。 本文章中所有内容仅供习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!1. 目标地址https://match2023.yuanrenxue.cn/topic/2其加密参数token的核心代码被混淆了,地址:https://download.python-spider.com/match2023/corejs/match2.js2....
猿人安卓逆向对抗比赛(1-5
zjq592767809的博客
05-20 2483
猿人安卓逆向对抗比赛(1-5目 一 java层加密 二 so层加密 三 so层加密带混淆 四 grpc 五 双向认证 六 设备指纹加密 七 quic 八 upx 九 tcp 十 tls 第一:java层加密 不管三七二十一,上来先抓个包看看 这是一个post请求,并且附带三个参数,其中一个是sign,那么第一分析的应该就是这个sign了,用jadx反编译apk,尝试搜索一下请求地址【/ap
【记录】猿人js逆向第2补环境
weixin_45608294的博客
05-23 2135
猿人js逆向第2,手把手扣环境。过格式化检测
Android逆向猿人2022年app比赛第四grpc与Protobuf使用(步步验证)
qq_41866988的博客
05-25 1818
前面2-3第一思路基本上一样的,这里就不出教程了,这篇文章比较繁琐,基本上描述了我做这的思路,有很多走不通的地方也有对应的方法,所以会比较长,没有耐心的朋友可以看看其他人较为简短的文章(逆向这东西主要看思路,代码量其实对比后端没多少的)
猿人web端爬虫攻防大赛赛解析_第九:js混淆-动态cookie2
仙路尽头谁为峰
06-27 4120
js混淆,动态cookie2一、前言二、加密逻辑初探三、加密逻辑深入分析四、代码实现4.1、ast解混淆的一个坑4.2、完整实现过程五、参考文献 一、前言 一转眼又有快两个星期没更博客了,主要是没想到第九真的这么难,硬是让我死磕了快半个月,最终在参考其他大神的解分享,才完全搞明白为啥自己始终算不对加密参数,还是吃了没文化的亏啊。总体来说这坑不少,但也让我到了不少新知识,死磕的过程中多少还有点收获。 二、加密逻辑初探 先看目要求,这里是要求要找出所有的评论数量,按惯例还是先看看页面请求api的返回结
猿人第一 js混淆 双重加密(详解)
screamn的博客
12-09 523
oo0O0函数返回的是一个""空字符,那么这个加密m只是通过,window["f"]产生的,而oo0O0函数只不过就是一个调用的过程,让windown.f进行MD5加密赋值。观察json格式,我们可以得到这个数据的位置是在data["data"]["value"]中,分析意,获取所有的平均值,所以可以直接整除即可。该函数内部有一个编码过程,atob()这个是js的内置的函数,里面有一个window['b'] ,后面是J函数的调用,由于这段代码中有混淆的js代码,面对这种窘境,我们只能采用工具来进行解析。
猿人web端爬虫攻防大赛赛解析_第六:js 混淆 - 回溯
仙路尽头谁为峰
04-24 1563
第六:js 混淆 - 回溯1、前言2、目理解3、加密原理解析3.1、加密位置判断3.2、解密_萌新试错版3.3、解密_老手经验版4、代码实现过程4.1、坑一:风控不通过4.2、坑二:参数q设置有误4.3、完全体代码5、结语6、参考文献 1、前言 万万没想到,距离上次做完第四之后,再次动手写猿人解析的博客已经是四个多月之后了。其中各种艰辛,难以言表,只能说逆向这鬼东西水太深了,要掌握的各种知识和骚操作是真的不少,奈何自己人菜瘾还大,不信邪非要靠自己手撕代码,想在不借助外力的情况下,自己把代码还原出
爬虫(js逆向)hook实现方式-油猴脚本-javascript抠代码实战-硬抠高度ob混淆-应对内存溢出-debugger缩小范围(5)
稳稳C9的博客
07-18 6224
爬虫(js逆向)hook实现方式-油猴脚本-javascript抠代码实战-硬抠高度ob混淆-应对内存溢出-debugger缩小范围,hook对象属性,函数hook、javascript扣代码流程
猿人第二届第一小记
06-06
猿人第二届第一小记
精选资源
猿人js逆向第二补环境js
05-21
猿人js逆向第二完整补环境js文件
判断ceph osd 节点磁盘异常
呼吸
12-25 262
refresh 是异步刷新,等待五分钟,再执行一次,没有刷新的磁盘是异常的。比如 ceph01 上的两个磁盘没有按时刷新。ceph-volume inventory 是用来获取当前节点所有可用磁盘清单的命令 ,会显示当前节点异常的磁盘。1 执行 ceph orch device ls --refresh。2 执行 ceph-volume inventory。
【Rust】函数
weixin_43219667的博客
12-25 411
/ 函数定义println!");// 带参数的函数println!", name);// 带返回值的函数x + y // 注意:没有分号,这是表达式greet();println!
Python 抽象属性 (@property + @abstractmethod) 详解
最新发布
nvd11的专栏
12-28 268
本文介绍了在Python中使用@property和@abstractmethod组合定义抽象属性的方法。这种模式能够强制子类提供一个只读的数据接口,同时保持实现的灵活性。子类既可以用简单的类属性赋值实现,也可以通过@property方法动态计算属性值。这种设计使接口语义更清晰(表示特征而非动作),调用方式统一(都通过obj.field访问),并兼顾了简单静态配置和复杂动态逻辑两种实现需求。示例展示了静态配置和动态计算两种实现方式,体现了Python在抽象属性设计上的优势。
使用 Hugging Face 镜像加速
yilvyangguang520的博客
12-26 373
使用 Hugging Face 镜像加速
anaconda是如何实现在cmd命令行前面加上环境名称
猛犸象
12-26 165
anaconda是如何实现在cmd命令行前面加上环境名称
Python 变量类型
wjs2024的博客
12-25 303
Python是一种动态类型语言,这意味着变量的类型在运行时由解释器自动确定。数字类型用于存储数值。在Python中,整数和浮点数之间可以自动转换,但复数需要显式声明。a = 10 # 整数b = 3.14 # 浮点数c = 2 + 3j # 复数本文介绍了Python中常见的变量类型,包括数字、字符串、布尔值、列表、元组、字典、集合和Frozensets。了解这些变量类型对于编写高效、可维护的Python代码至关重要。希望本文能帮助您更好地掌握Python变量类型。
逆向
03-26
### 逆向工程与反编译概述 逆向工程是一种通过对软件的目标代码进行分析,将其转化为更高级别的表示形式的过程。这一过程通常用于研究现有系统的内部结构、功能以及实现细节。在Java和Android领域,反编译工具被广泛应用于逆向工程中。 #### Java逆向工程中的Jad反编译工具 Jad是一款经典的Java反编译工具,能够将`.class`字节码文件转换为可读的`.java`源代码[^1]。虽然它可能无法完全恢复原始源代码,但它提供了足够的信息来帮助开发者理解已编译的Java程序逻辑。Jad支持多种反编译模式,并允许用户自定义规则以适应不同的需求。此外,其命令行接口和图形界面使得复杂代码的分析变得更加便捷。 #### Android逆向工程中的JEB反编译工具 针对Android应用的逆向工程,JEB是由PNF Software开发的一款专业级工具[^2]。相较于其他同类产品,JEB不仅具备强大的APK文件反编译能力,还能对Dalvik字节码执行高效而精准的操作。它的核心优势在于以下几个方面: - **广泛的平台兼容性**:除Android外,还支持ARM、MIPS等多种架构的二进制文件反汇编。 - **混淆代码解析**:内置模块能有效应对高度混淆的代码,提供分层重构机制以便于深入分析- **API集成支持**:允许通过编写Python或Java脚本来扩展功能并完成特定任务。 #### APK反编译流程及其意义 当涉及到具体的APK包时,可以通过一系列步骤提取其中的信息来进行全面的安全评估或者习目的的研究工作[^3]。这些步骤一般包括但不限于获取资产目录(`assets`)内的资源数据;解密XML配置文档如`AndroidManifest.xml`定位应用程序启动点;最后利用上述提到的各种专用软件重现整个项目框架供进一步探讨。 ```bash # 使用apktool反编译APK示例 apktool d your_app.apk -o output_directory/ ``` 以上命令展示了如何借助开源工具ApkTool轻松拆卸目标安卓档案至易于探索的状态下。 ### 结论 无论是传统的桌面端还是现代移动端环境里头,恰当运用合适的反编译解决方案都是达成逆向工程项目成功不可或缺的一环。每种工具有各自专精之处,在实际应用场景当中应当依据具体需求做出明智的选择。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值