第一章:JS逆向初探:理解加密与混淆的本质
在现代Web应用中,JavaScript不仅是前端交互的核心,也常被用于保护敏感逻辑。为了防止代码被轻易分析和篡改,开发者广泛采用加密与混淆技术。这些手段虽不改变程序功能,却极大增加了逆向分析的难度。
加密与混淆的区别
- 加密:将源码通过算法转换为密文,运行时需解密后执行,典型如字符串Base64编码配合动态
eval - 混淆:通过重命名变量、插入冗余代码、控制流扁平化等手段使代码难以阅读,但逻辑不变
常见混淆特征识别
以下是一段典型的混淆代码示例:
// 混淆前
function login(user, pass) {
return user + ':' + pass;
}
// 混淆后
var _0x1a2b = ['login', 'join', ':'];
(function(_0x3c4d5e, _0x6f7g8h) {
var _0x9i1j2k = function(_0xal1m) {
_0xal1m = _0xal1m - 0x0;
return _0x1a2b[_0xal1m];
};
console[_0x9i1j2k('0x1')](_0x9i1j2k('0x0'));
}(_0x1a2b, 0x0));
上述代码使用了字符串数组抽取、函数封装和十六进制变量名,是典型的混淆模式。
逆向分析的基本流程
| 步骤 | 操作说明 |
|---|
| 1. 静态分析 | 使用浏览器开发者工具查看源码结构,识别混淆特征 |
| 2. 动态调试 | 设置断点,观察变量变化与调用栈 |
| 3. 代码还原 | 手动或借助工具(如JS Beautifier)格式化并去混淆 |
graph TD
A[原始JS代码] --> B{是否加密?}
B -- 是 --> C[解密处理]
B -- 否 --> D[进入混淆判断]
D --> E[控制流扁平化]
E --> F[字符串抽取]
F --> G[调试器防护]
G --> H[逆向还原]
第二章:常见加密算法的识别与破解
2.1 Base64变种编码的特征分析与自动化解码
Base64变种编码广泛应用于绕过内容过滤机制,其核心特征在于字符表的替换或填充规则的调整。常见的变种包括URL安全Base64、Base62以及自定义字符映射。
典型变种特征对比
| 类型 | 字符表变更 | 填充符 |
|---|
| 标准Base64 | A-Z,a-z,0-9,+,/ | = |
| URL安全Base64 | 用-和_替代+和/ | =或省略 |
| Base64++ | 自定义乱序字符表 | 多重=或特殊符号 |
自动化解码逻辑实现
import base64
def decode_variant_b64(data):
# 尝试标准解码
try:
return base64.b64decode(data)
except:
pass
# 替换URL安全字符并重试
data = data.replace('-', '+').replace('_', '/')
padding = len(data) % 4
if padding:
data += '=' * (4 - padding)
return base64.b64decode(data)
该函数通过异常捕获与字符替换策略,实现对多种变种的兼容性解码,适用于模糊识别场景。
2.2 深入AES与RSA在前端加密中的应用与密钥提取
在现代前端安全体系中,AES与RSA常被结合使用以兼顾性能与安全性。AES适用于大量数据的对称加密,而RSA则用于安全地交换AES密钥。
前端AES加密示例
// 使用CryptoJS进行AES加密
const encrypted = CryptoJS.AES.encrypt('敏感数据', '密钥').toString();
console.log(encrypted);
该代码将明文通过AES算法加密为密文,其中'密钥'应由安全方式生成或获取,实际项目中建议使用PBKDF2派生密钥。
RSA密钥封装流程
- 服务端生成RSA密钥对,公钥下发至前端
- 前端使用公钥加密AES密钥
- 加密后的AES密钥通过HTTPS传输回服务端解密
此混合加密模式有效规避了对称密钥传输风险,同时保留了AES的高效性。
2.3 基于AST分析还原被混淆的加密函数逻辑
在逆向分析混淆后的JavaScript代码时,直接阅读源码往往难以理解其真实逻辑。通过将代码解析为抽象语法树(AST),可系统性地识别和重构加密函数的执行流程。
AST的基本结构与节点类型
JavaScript引擎将代码转换为树状结构,其中每个节点代表语法元素,如变量声明、函数调用或表达式运算。例如,一个被混淆的异或加密函数可能表现为多个嵌套的
BinaryExpression节点。
function _0x1a2b(c, k) {
let r = '';
for (let i = 0; i < c.length; i++) {
r += String.fromCharCode(c[i] ^ k);
}
return r;
}
该函数通过对字符码逐位异或密钥实现简单加密。在AST中,
^操作对应
BinaryExpression节点,可通过遍历器捕获并提取密钥
k的传入值。
自动化还原流程
- 使用
esprima或Babel Parser生成AST - 遍历函数体,识别循环与位运算模式
- 提取常量密钥并重构可读函数
2.4 利用浏览器调试技巧动态捕获加密入口点
在逆向分析前端加密逻辑时,动态调试是定位加密入口的关键手段。通过浏览器开发者工具设置断点,可实时观察函数调用栈与变量变化。
设置断点捕获加密调用
使用“事件监听器断点”中的
XHR/fetch Breakpoints,可在网络请求发出前暂停执行,便于追踪加密函数的调用上下文。
Hook 加密函数入口
通过重写全局函数或对象方法,插入日志输出:
const originalEncrypt = window.encrypt;
window.encrypt = function(data) {
console.debug('加密参数:', data);
const result = originalEncrypt.apply(this, arguments);
console.debug('加密结果:', result);
return result;
};
该代码通过代理模式拦截原始加密函数,输出输入输出数据,便于分析加密逻辑触发时机与参数结构。
2.5 实战演练:破解某电商网站登录密码加密机制
在逆向分析某电商网站登录流程时,发现其前端对密码进行了多层加密处理。通过浏览器开发者工具抓包与断点调试,定位到核心加密函数。
加密函数逆向分析
function encryptPassword(pwd) {
let salt = 'x9A@fG3!';
pwd = CryptoJS.MD5(pwd + salt).toString();
pwd = btoa(pwd); // Base64编码
return pwd.substring(0, 10) + '!' + pwd.substring(10);
}
该函数首先将用户输入密码与固定盐值拼接后进行MD5哈希,再执行Base64编码,最后插入分隔符。盐值硬编码在JS中,存在泄露风险。
请求参数结构
- username: 用户名(明文)
- encrypted_pwd: 经过上述算法处理的密码
- token: 来自登录页的CSRF令牌
第三章:JavaScript代码混淆技术深度剖析
3.1 控制流平坦化原理与去混淆还原策略
控制流平坦化是一种常见的代码混淆技术,通过将正常的线性执行流程转换为由调度器和状态机驱动的非线性结构,大幅增加静态分析难度。
平坦化核心结构
混淆后的函数通常被拆分为多个基本块,并通过一个主分发器循环调度执行:
var state = 0;
while (true) {
switch (state) {
case 0:
doSomething();
state = 2;
break;
case 1:
return;
case 2:
compute();
state = 1;
break;
}
}
上述代码中,
state 变量控制执行路径,原本顺序执行的逻辑被“压平”到单一循环中,破坏了原有的控制流层次。
去混淆策略
常见还原方法包括:
- 静态符号执行:追踪状态变量赋值与跳转条件
- 图结构重建:将每个 case 块视为节点,构建控制流图(CFG)
- 模式匹配:识别并替换标准平坦化模板
结合动态插桩可有效恢复原始执行顺序。
3.2 字符串加密与反压缩技术的手动与自动化处理
在逆向分析中,字符串常被加密或压缩以增加静态分析难度。手动处理适用于少量关键数据,而自动化则通过脚本批量还原。
常见加密与压缩组合
- AES + Gzip:高强度加密配合高效压缩
- XOR + Base64:轻量级混淆,常见于恶意软件
- RC4 + Deflate:流加密与无损压缩结合
自动化解密示例(Python)
import base64, zlib
def decrypt_and_decompress(data):
decoded = base64.b64decode(data)
decompressed = zlib.decompress(decoded)
return decompressed.decode('utf-8')
该函数先Base64解码,再使用zlib解压,最终还原原始字符串。参数
data为经过Base64编码的压缩数据,常用于网络传输中的载荷还原。
处理流程对比
| 方式 | 速度 | 灵活性 | 适用场景 |
|---|
| 手动 | 慢 | 高 | 核心逻辑分析 |
| 自动 | 快 | 低 | 批量数据处理 |
3.3 实战案例:逆向某反爬平台的多层混淆脚本
在某反爬系统中,前端通过多层字符串混淆与动态函数调用生成签名参数。初始观察发现,关键逻辑被包裹在自执行函数中:
(function() {
var _0x12ab = ['push', 'slice', 'join', 'toString'];
var _0x34cd = function(index) {
return _0x12ab[index];
};
window.sign = function(data) {
var stack = [];
stack[_0x34cd(0)](data.length);
return stack[_0x34cd(1)](0)[_0x34cd(2)]('-');
};
})();
上述代码使用数组索引替代字符串字面量,实现基础混淆。通过静态替换 `_0x34cd(0)` 为 `'push'` 可还原逻辑。
动态解密流程分析
该平台还引入定时器触发二次加密:
- 首次加载时注册延迟任务
- 利用
atob 解码嵌入的 Base64 脚本 - 通过
eval 注入新函数到作用域
结合浏览器断点调试与 AST 解析工具,可逐层剥离混淆层,最终提取核心签名算法。
第四章:高级反检测机制绕过技巧
4.1 调试器检测与禁用:console断点、debugger对抗
在前端安全防护中,防止代码被轻易调试是关键一环。攻击者常通过浏览器开发者工具设置`console`断点或利用`debugger`语句中断执行流程,进而分析逻辑或绕过验证。
检测并禁用console输出
可通过重写`console`方法实现屏蔽:
if (typeof console !== 'undefined') {
['log', 'warn', 'error'].forEach(method => {
console[method] = () => {}; // 清空输出行为
});
}
此代码将`console.log`等方法重定向为空函数,有效隐藏敏感日志信息。
对抗debugger断点
定期检查时间差可识别调试器存在:
setInterval(() => {
const start = performance.now();
debugger;
const end = performance.now();
if (end - start > 100) {
// 检测到长时间停滞,疑似人为断点
document.body.innerHTML = '调试被禁止';
}
}, 1000);
当`debugger`语句被执行且被暂停时,时间差显著增大,系统即可触发响应机制。
4.2 环境指纹识别绕过:WebDriver、Canvas、字体指纹
现代反爬虫系统广泛依赖浏览器环境指纹进行设备识别,其中 WebDriver、Canvas 渲染和字体枚举是三大关键维度。
WebDriver 检测与绕过
自动化工具常暴露
navigator.webdriver 为 true。可通过启动参数隐藏:
from selenium import webdriver
options = webdriver.ChromeOptions()
options.add_argument("--disable-blink-features=AutomationControlled")
options.add_experimental_option("excludeSwitches", ["enable-automation"])
driver = webdriver.Chrome(options=options)
driver.execute_script("Object.defineProperty(navigator, 'webdriver', {get: () => false});")
上述代码通过禁用自动化特征并重写属性实现隐蔽。
Canvas 指纹扰动
网站通过绘制文本并提取像素哈希值识别设备。使用 Puppeteer 可注入噪声:
await page.evaluateOnNewDocument(() => {
HTMLCanvasElement.prototype.getContext = () => ({
fillText: () => {},
getImageData: () => ({ data: new Uint8ClampedArray(10000) })
});
});
该脚本拦截绘图上下文,返回伪造图像数据,干扰指纹生成。
字体指纹混淆
- 真实字体列表暴露操作系统类型
- 可通过虚拟化常用字体名称模拟多样性
- 推荐禁用字体枚举 API 或返回固定集合
4.3 动态生成代码与eval执行的监控与拦截
在现代JavaScript运行时环境中,动态代码执行(如通过
eval、
new Function)常被滥用,带来严重的安全风险。为防范恶意行为,需对代码生成过程实施有效监控。
常见动态执行方式
eval("console.log('x')"):直接执行字符串代码new Function('a', 'return a + 1'):构造函数式动态编译setTimeout("alert(1)", 100):间接调用支持字符串执行
拦截策略实现
通过重写原生方法可实现前置审计:
const originalEval = window.eval;
window.eval = function(code) {
console.warn("拦截到eval调用:", code);
if (/\bdocument\.cookie\b/.test(code)) {
throw new Error("禁止访问敏感API");
}
return originalEval.call(this, code);
};
上述代码通过代理
window.eval,在执行前检查是否包含敏感操作(如读取cookie),实现细粒度控制。类似机制可扩展至
Function构造器等其他入口。
4.4 实战突破:应对某金融平台的高强度JS运行时保护
在逆向某金融平台的前端安全机制时,发现其采用多层混淆与运行时校验结合的方式,动态检测执行环境完整性。
核心反调试技术分析
平台通过
Function.prototype.toString 拦截和定时器堆栈检测判断调试行为。关键代码如下:
// 拦截函数字符串化
const originalToString = Function.prototype.toString;
Function.prototype.toString = function() {
if (this === debuggerHook) {
throw new Error('Debug detection triggered');
}
return originalToString.call(this);
};
该逻辑用于识别是否对敏感函数进行 toString 调用,常用于调试探查。
绕过策略:环境虚拟化
采用 Puppeteer 配合 JavaScript 代理对象伪造运行时上下文:
- 重写 console API 防止输出暴露
- 模拟 window.navigator 属性链
- 劫持 setInterval 实现反检测延迟
通过构造隔离的 JS 执行沙箱,成功规避运行时完整性校验,实现数据稳定抓取。
第五章:从逆向思维到安全防御的全面升华
以攻促防:红队视角下的漏洞挖掘
在真实渗透测试中,攻击者常利用逻辑缺陷绕过身份验证。例如,通过修改JWT令牌中的
alg字段为
none,可使部分实现忽略签名验证。
// 漏洞示例:不安全的JWT解析
const jwt = require('jsonwebtoken');
jwt.verify(token, false, { algorithms: ['none'] }); // 危险配置
构建纵深防御体系
企业应部署多层防护机制,避免单点失效导致全局沦陷。典型架构包含以下层级:
- 网络层:防火墙 + 入侵检测系统(IDS)
- 应用层:WAF + 输入过滤 + 输出编码
- 数据层:字段级加密 + 访问审计日志
- 终端层:EDR解决方案 + 行为监控
自动化响应与威胁狩猎
结合SIEM平台与SOAR技术,可实现异常行为自动阻断。下表展示某金融企业针对暴力破解的响应策略:
| 触发条件 | 响应动作 | 执行时间 |
|---|
| 5分钟内10次失败登录 | IP临时封禁 + 用户锁定 | <30秒 |
| 来自高风险地区访问 | 强制MFA验证 | <10秒 |
流程图:事件响应闭环
监控告警 → 分析研判 → 隔离处置 → 取证溯源 → 策略更新
定期开展对抗演练,模拟APT攻击路径,验证防御链有效性。某电商企业在模拟供应链投毒攻击后,将第三方组件扫描纳入CI/CD流水线,缺陷发现率提升70%。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
