【验证码逆向专栏】最新某验三代滑块逆向分析,干掉所有的 w 参数!

原创 于 2024-01-26 18:49:34 发布
· 1.9k 阅读 · 18 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#okhttp #android

00

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

前言

最近很多粉丝反馈,某验三代的滑块一直返回 forbidden,不知道为什么通过不了,尝试了很多方法都不行。其实是因为之前只校验了第三个 w 参数的值,现在官网加强了校验,前面两个 w 参数也需要逆出来,三个 w 参数相互关联,有一个不对,就无法通过验证。目前只发现官网做了更新,今后其他网站可能也会再上点强度。本文将会对每个 w 参数逐一逆向分析。

逆向目标

  • 目标:最新某验 3 代滑块分析
  • 网址:aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby8=

抓包分析

刷新页面,通过抓包发现, register-slide 接口会返回 challenge 和 gt 值,为接口 get.php 的主要请求参数:

7mnGww.jpg

get.php 接口会返回 c 和 s,后面会用到,新版界面此接口里的 w 不可以置空,旧版则可以置空:

7mnhdP.png

点击按键验证,会弹出滑块窗口,同时抓到了一个 ajax.php 接口,这个接口会返回验证码的类型,虽然没用,但是如果不请求或者请求不带 w 后面都会报错。旧版的话这个接口也是必须请求,但是 w 也是可以置空,且后面不会报错:

7mngYe.png

紧着着,我们要又抓到一个 get.php 接口,这个接口仍然给我们返回 c 和 s,请求不一样的是,这个接口里面还给我们返回滑块图片以及底图:

7mnxO6.png

紧接着,我们滑动完成拼图,得到验证结果 validate 参数,这个参数就是后续登录的令牌,在后续操作的请求中会用到:

7mnbhb.png

逆向分析

第一个 w

从 get.php 接口处跟栈,或者直接搜 “\u0077” 即可成功定位,w=i+r:

7mn1w4.png

关键代码如下:

var r = t[$_CEFDY(1196)]()
o = $_BEH()[$_CEFCV(1127)](fe[$_CEFDY(431)](t[$_CEFCV(370)]), t[$_CEFDY(1143)]()) i = R[$_CEFDY(1197)](o)

很明显,这几个参数对于我们都不陌生了,我们进入 l 参数,发现 this[$_CGHDO(1143)](e) 为 16 位随机字符串将 new G()[$_CGHDO(93)] 这个函数扣一下即可,这里很明显,构造了一个 G 函数,所以我们只需要把 G 函数扣一下即可:7mnPSh.png

或者我们进入 G 的原型链 set_public 中,下断点,将他的 RSA 公钥和模值找到即可。所以 r 为 RSA 加密 16 位随机字符串。至此 r 值已经分析完毕。

接下来是 o 值,加密方法为 $_BEH()[$_CEFCV(1127)],传入参数为 t[$_CEFDY(1143)]()fe[$_CEFDY(431)](t[$_CEFCV(370)])。我们发现 t[$_CEFDY(1143)]() 为 rsa 加密的 key,t[$_CEFDY(1143)]()fe[$_CEFDY(431)](t[$_CEFCV(370)]) 为明文参数。进入加密方法,打断点调试,我们发现是 AES 加密,同时初始向量是 0000000000000000:

7mnRs9.png

7mnr7Y.png

直接扣代码,或者引库复现即可:

function Aes_encrypt(text, key_value) {
   
    var key = CryptoJS.enc.Utf8.parse(key_value);
    var iv = CryptoJS.enc.Utf8.parse("0000000000000000");
    var srcs = CryptoJS.enc.Utf8.parse(text);
    var encrypted = CryptoJS.AES.encrypt(srcs, key, {
   
        iv: iv,
        mode: CryptoJS.mode.CBC,
        padding: CryptoJS.pad.Pkcs7
    });
    for (var r = encrypted, o = r.ciphertext.words, i = r.ciphertext.sigBytes, s = [], a = 0; a < i; a++) {
   
        var c = o[a >>> 2] >>> 24 - a % 4 * 8 & 255;
        s.push(c);
    }
    return s;
}

现在,我们来分析一下明文的关键参数,这里我们采用 K 哥工具站,来解析一下,关键参数如下:

7mntWH.jpg

  • gt,challenge:第一个接口 /register-slider 返回;

  • offline, static_servers : static_servers 其他参数固定即可。

至此我们 o 就分析完毕,终于只剩下一个 i 值,接下来我们分析一下 i 值,我们进入 R[$_CEFDY(1197)] 函 数,发现 i 值为 t 中的俩个 value 值相加,t 的定义在断点上方:

7mnzXZ.png

传入的参数 e 为我们上一个步骤 aes 加密后的值,跟进到 this[$_IJDN(480)] 中,我们发现他属于 m 模块下的函数:

7mnCmU.png

将整个 m 扣下来,复现如下:

7mnJ8q.png

小结:第一个 w 和以前扣法基本一致,只是明文上有参差之分。

第二个 w

目前,我们第一个接口已经完成,拿到了返回的 s 和 c,接下来我们进入 ajax.php 接口,还是跟栈进入。

我们依然搜索定位参数"\u0077" ,发现并没有搜到,所以这个 w 和我们以前的扣法有点不一样!!!不过通过,跟栈的方式,我们找到正确位置。位置的话在 var n = {}; 这个地方,我们下断点:

7mnXrs.png

w 值就是 t[$_CFEHG(1160)],前面我们发现 var t=this,然后经过 t[$_CFEHG(1191)](),我们的 w 值就生成了。我们进入这个函数之中,进入以后发现异常的熟悉,这不就是无感系列的 w 吗?

7mnjea.png

当然如果你是第一次扣,也不要心急,我们找到 w 定位的地方:

i[$_CFHIs(1160)] = R[$_CFHIs(1197)](c[$_CFHIs(93)](r, i[$_CFHIs(1143)]()))

我们简单修改一下代码,大概如下 w=R["encrypt"](r,key),没错这个 R 方法其实与第一个 w 中 i 生成方式一样。所以现在,我们只需要解决 r 参数就可以完成第二个 w 的逆向。我们看一下 r 参数包括那些,我们依旧使用 K 哥工具站进行解析:

7mnIy7.png

7mnMSI.png

nr = {
   
    "lang": "zh-cn",
    "type": "fullpage",
    "tt": "M3*8Pjp8Pj9HbUp8PN9U),,:A(,(5(,(m-BJBFB:bgfA9/1O6*:I:JkNjRj31RkK**2KDRjE1S0OMM9*)-2.k6h)).E-:-)-9-:(:5b9-:1Mal2UK1RjY1I****)*:F3)pM0/JBBBA(((((,((iB9(((((,(5bn)BBBo95(,(qcjc*)R)
最低0.47元/天 解锁文章
K哥爬虫
关注
博客
当爬虫工程师遇到 CTF丨2021 年 B 站 1024 安全攻防题解
10-23 6504
文章目录第一题:加密解密第五题:APP 逆向总结最近看到哔哩哔哩上线了一个 1024 程序员节的活动,其中有一个技术对抗赛,对抗赛又分为算法与安全答题和安全攻防挑战赛,其中安全攻防挑战赛里面有 7 个题,其中有 APP 逆向和解密的题目,作为爬虫工程师,逆向分析的技能也是必须要有的,于是 K 哥就以爬虫工程师的角度,尝试做了一下其中逆向相关的两个题,发现逆向不是很难,分享一下思路给大家。(以爬虫工程师的角度分析安全攻防的题,网安大佬勿喷!)1024 程序员节活动地址:https://www.bi..
博客
JS 逆向之 Hook,吃着火锅唱着歌,突然就被麻匪劫了!
09-29 2万+
关注微信公众号:K哥爬虫,QQ交流群:808574309,持续分享爬虫进阶、JS/安卓逆向等技术干货!什么是 Hook?Hook 中文译为钩子,Hook 实际上是 Windows 中提供的一种用以替换 DOS 下“中断”的系统机制,Hook 的概念在 Windows 桌面软件开发很常见,特别是各种事件触发的机制,在对特定的系统事件进行 Hook 后,一旦发生已 Hook 事件,对该事件进行 Hook 的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。在程序中将其理解为“劫持”可能会更.
博客
【验证码逆向专栏】某采购网,360 磐云盾、文字点选验证码逆向分析
04-28 1880
最近星球有个小伙伴,公司是做 gov 相关业务的,碰到一个采购网站,感觉有些棘手,故咨询 K 哥。该业务网站,一打开,转起来了,当然,和国外产品,完全不是一个量级。
博客
【验证码识别专栏】某盾躲避障碍与某里图像复原验证码识别
04-21 2835
近期有粉丝咨询验证码识别相关的问题,是某里 v2 系列中的验证码,其也属于新的验证码类型,但是如果能吃透往期验证码识别相关的文章,这类型验证码的解决方法也是大同小异的。
博客
【APP 逆向百例】淘某热点 APP 逆向分析
04-07 1144
定位这个参数的方法有很多,可以直接搜索关键字 sign,也可以 frida 进行 hook,这里我们使用 frida 对 Java 的。可以看到,deepseek 说的也很清楚明了,先进行加盐,然后 base64 编码,最后进行 sha1 算法进行加密。命令进行 frida 注入,注意捕获到的东西可能有点多,可以在输出一段时间后,在控制台输入 exit 回车关掉。发现结果一致,我们继续向下分析,点进去这个函数,最后定位到 native 层加密,并加载。这个函数接受一个字符,该字符的长度以及。
博客
【验证码逆向专栏】某盾 v2 滑动验证码逆向分析
03-03 1597
之前分析了某盾 Blackbox 的指纹算法, 这次再来做做它的验证码,该指纹算法在验证码参数里面也会有用到,详细查看往期文章 :【JS逆向百例】某盾 Blackbox 算法逆向分析:https://mp.weixin.qq.com/s/ueWVmlpLOljOLb1a7vEBag。
博客
【APP逆向百例】某蜂窝逆向分析
03-03 1628
unidbg 是一款基于 unicorn 和 dynarmic 的逆向工具,一个标准的 java 项目,它通过模拟 Android 运行时环境,让用户能够在没有实际设备的情况下,分析和调试 Android 应用的行为。把作者给的样例,例如 TTEncrypt 代码 copy 一份,改一下,这个 app 检测环境较少,可以算入门 unidbg 的案例,基本上简单修改完作者给的代码样例就能使用。注意,捕获的东西有点多,可能导致卡死、应用闪退,可以在输出一段时间后手动关掉,或者根据相关字段进行过滤。
博客
【验证码逆向专栏】最新某验四代动态参数逆向详解
02-10 1498
近期查看星球群聊,发现有群友讨论关于某验蝌蚪文的问题,根据以往经验来看,绝对不仅仅是单纯的 js 混淆,而逻辑不变。
博客
【JS逆向百例】某盾 Blackbox 逆向分析
01-20 1732
本文只对某盾 Blackbox 的其中一种算法进行逆向分析,不涉及指纹风控、环境部分。也是由时间戳、随机数组成,可以重新刷新,我们看看还有什么参数是走的这个算法。算法的源码,会分享到知识星球当中,需要的小伙伴自取,仅供学习交流。进入到该函数内,重新下断点刷新网站,单步往下跟,定位到最后。搜索发现 在 js 文件中是写死的,经过测试是标准的。接口的这些请求参数,非常之多,但是不要怕,慢慢来。将前面的请求参数,拼接成字符串,然后再进行。可以直接扣 js 代码,不多,或者直接用。
博客
【APP 逆向百例】某豆 app 逆向分析
01-13 1630
SDK Platform-Tools 包含多个实用工具,其中最常用的是。ADB 是一个通用的命令行工具,提供 Android 设备与 PC 端之间的桥梁。安装和调试应用程序。操作设备上的文件。查看设备的状态信息。执行其他与设备相关的操作。
博客
【JS逆向百例】某江 Hospital 逆向分析
12-30 1652
最近又有小伙伴在逆向某网站的时候,碰到了点棘手的问题,过来询问 K 哥。经过分析,该网站既有加密参数,又使用了 WebSocket 协议来传输数据,正好可以丰富 JS 逆向百例专栏。
博客
【JS逆向百例】爱疯官网登录分析
12-30 1738
最近有些小伙伴在微信群交流,关于爱疯登录相关加密参数的问题,同时,也有粉丝私信,想让 K 哥出关于 m1、m2 相关参数逆向的系列教程。
博客
【JS逆向百例】东某航空数美指纹 v4 设备 ID 逆向分析
12-10 1657
Protocol,与上面包含 DES key 的大对象关联,保持一致,跟某数滑块一样也是动态的。文件加载出来的,进入后,发现经过 ob 混淆了,不过通过搜索也能轻松定位到。,不过赋值在两个不同的对象中,只用分析下面的就行,下面的后面会用到,跟进。摘要算法,经过测试也是标准的,继续往下走,跟进到。最后,风控部分就需要自己去探索了,跑多了,如果遇到。是标准的 AES,CBC 加密,加密内容为。,就是触发了数某的验证码,携带验证成功的。搜索后发现,“B” 后面的内容,是由。的生成方式还不知道,发现也是在。
博客
【验证码识别专栏】今天不炼丹,用 cv 来秒验证码
12-10 1205
最近查看 QQ 群消息,无意间看到了粉丝们关于 opencv 的相关讨论,有热心的群友给出了大致的解决方向。同时也有很多星球伙伴,在星球分享关于验证码识别的相关知识,学习交流的氛围很好。
博客
【验证码逆向专栏】某多多验证码逆向分析
11-29 921
某多多的验证码,类型有很多,滑块、点选、手势等等,其中点选的题目繁多,每刷一次都能给你整个新的出来。
博客
【验证码逆向专栏】某里 v2 滑动验证码分析
11-29 1134
最近有粉丝反馈,在处理业务网站的时候,碰到了某里的验证码,但是又和大伙所熟知的 226、227 不一样:其实这是某里 v2 验证码,相较于 228、231 这种旗舰产品,之前使用 v2 的网站并不是很多,不过最近有多起来的趋势。部分小伙伴可能看到了某里系的验证码,就认为解决不了,直接放弃,其实都没有那么复杂,不说全纯算还原,至少补环境是可以尝试一下的。
博客
【验证码逆向专栏】vaptcha 手势验证码逆向分析
11-18 1195
因为获取图片和验证的加密内容基本一致,且都在 vm 文件里面,这里就一同分析。跟到这里,会发现加载了几次图像,当我们刷新图片的时候,会看到图片不断地切换。这个接口返回了验证码类型,其中 embed 的值就是嵌入式点击验证码,其他三个分别对应三种类型。另外上面的 globalMd5 中的 splicingObj 函数也不一样,扣的时候注意点就行。可以看到是一个控制流语句,en 的值都是由 encryFunc 加密生成,接受两个参数,但是我们最终还原的图像结果不在这,因为最后一次循环执行时,没有获取。
博客
【JS逆向百例】cebupacificair 航空逆向分析
11-18 1319
近期在知识星球中,有位星友在逆向一个航司的时候,遇到了点阻碍,向我提问,本期就对该网站进行逆向分析:目标:cebupacificair 航空查询逆向分析网站:打开网站,找到返回机票信息的机票查询接口 :目测,有这四个参数需要分析,分析之前先搜索,免得是接口返回,发现 和 是另外一个 接口返回的:该接口有四个参数需要分析,也是有两个 ,估计都大差不差,我们继续先搜索,发现 是 文件返回的:而 文件是通过首页加载的,大致流程都梳理清晰了,我们开始进行逆向分析:从头开始,我们请求首页,发现他并没有返回
博客
17track物流查询平台 last-event-id 参数逆向分析
10-21 605
就容易多了,只需要将下面这几个关于代码检测的函数都删除掉,都是些无关的代码,检测代码格式化 、解完混淆后代码就清晰可见,缺啥扣啥,一步步来就好了,代码也不多,可见 AST 解混淆的重要性。Github 仓库:https://github.com/cilame/v_jstools。目标:17xx 物流查询平台 last-event-id 参数逆向分析。在线分析工具:https://astexplorer.net。然后再通过工具替换代码,这边选用。,映入眼帘的就是我们熟悉的。, 我们直接看它触发。
博客
【JS逆向百例】某赚网 WebSocket 套 Webpack 逆向分析
10-21 1274
近期有粉丝私信,提到了某网站抓不到包的问题,之前还有不少新手粉丝提到不会 webpack。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值