【JS逆向百例】某盾 Blackbox 逆向分析

声明

本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！

本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负责，若有侵权，请在公众号【K哥爬虫】联系作者立即删除！

逆向目标

目标：某盾 Blackbox 算法逆向分析

网站：aHR0cHM6Ly93d3cuanVuZXlhb2Fpci5jb20v

本文只对某盾 Blackbox 的其中一种算法进行逆向分析，不涉及指纹风控、环境部分。

逆向分析

通过搜索 blackBox 即可定位到如下位置：

往上跟栈，发现是由此函数生成的：

进入到该函数内，重新下断点刷新网站，单步往下跟，定位到最后 return 处：

发现 Blackbox 值是由 5WPH173561408225WrZh6Cf 经过 QOoooO 函数生成的 ，搜索发现该值是

profile.json 接口返回的：

我们的重点就是 profile.json 接口的这些请求参数，非常之多，但是不要怕，慢慢来。

查看堆栈，发现和 Blackbox 值最终生成的 js 文件一样，都是 fm.js 文件，也就是 Blackbox 值生成的核心文件，点进去发现有一堆 oQ0Qo0 大数组混淆，定位到 ooQGOO 的生成位置 oQ0Qo0 = ooQGOO(oQ0Qo0);：

oQ0Qo0 就是传入的长字符串， 通过 ooQGOO 函数就生成了 oQ0Qo0 的大数组，可以把 ooQGOO 给扣下来，非常容易，也可以分析 ooQGOO 函数，对这类混淆熟悉的可以直接秒，基本都是一套逻辑：

// 传入的长字符串
en_txt = '';

// ooQGOO 函数部分
oQ0Qo0 = decodeURIComponent(atob(en_txt))['split']('##');

traverse(ast, {
    MemberExpression(path){
        let {object, property} = path.node;
        if (!t.isIdentifier(object) && !t.isNumericLiteral(property)) return;
        if (object.name !== "oQ0Qo0") return;
        let _v = oQ0Qo0[property.value]
        path.replaceWith(t.valueToNode(_v))

    }
});

然后再通过工具替换代码，这边选用 ReRes 工具进行替换，写好规则保存勾选就好了：

https://github.com/annnhan/ReRes

刷新网站没有任何问题，然后我们再从头再来：

先解决 QOoooO 函数，其传入接口返回的 tokenId 参数，生成最终的 Blackbox 值，进入该函数，逻辑非常清晰：

可以直接扣下来，或者分析还原，代码如下：

import random

def get_blackbox(token_id):
    chars = "ghijklmnopqrstuv"
    all_chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
    return chars[int(token_id[0], 16)] + token_id[1:4] + random.choice(all_chars) + token_id[4:14] + random.choice(all_chars) + token_id[14:22] + random.choice(all_chars) + token_id[22]

然后就是 profile.json 接口的这些请求参数分析：

• partner：写死；
• app_name：写死；
• token_id：搜索即可定位到：
  

由 partner、时间戳、随机值组成：

import time
import random

token_id = (
    partner
    + "-"
    + str(int(time.time() * 1000))
    + "-"
    + "".join(random.choices("0123456789abcdef", k=12))
)

剩下的不太好搜索定位，我们用 idf 搜索来定位，发现有五处生成位置，我们全部打上断点：

断到如上位置，可以发现：

• v：是 version 在 js 文件中是写死的：

• idf：目前生成的明显不是最终请求的参数；
• w：通过 O0QOOQ 函数 对版本 v 进行 加密生成，我们跟进去：

然后再跟进到 QOoo0Q 函数中，单步走，就定位到如下 return 的位置，发现关键字 TripleDES：

这个可能有些小伙伴不太熟悉，直接百度或者 ai 就会发现是 3DES 加密：

• 浏览器生成：

• 标准：

发现浏览器生成的，和标准的不太一样，不过又非常相似，我们其实也能看到一些特征，比如大小写互换，然后我们可以自己处理成一样的：

import base64
from Crypto.Cipher import DES3
from Crypto.Util.Padding import pad, unpad


def replace_characters(input_str):
    return input_str.replace('+', '~')

def swap_characters_3DES2(s):
    # 使用字典映射实现字符互换
    swap_map = {
        'i': 'j',
        'j': 'i',
        'I': 'J',
        'J': 'I'
    }
    # 使用列表推导式逐个字符替换
    swapped_s = ''.join([swap_map.get(char, char) for char in s])
    return swapped_s

def encrypt_3des_cbc(data, key):
    iv = '12345678'  # 3DES 使用8字节IV
    block_size = DES3.block_size

    # 对数据进行填充
    data = pad(data.encode('latin-1'), block_size)

    cipher = DES3.new(key.encode('latin-1'), DES3.MODE_CBC, iv.encode('latin-1'))
    encrypted = cipher.encrypt(data)

    return replace_characters(swap_characters_3DES2(base64.b64encode(encrypted).decode('latin-1').swapcase()))


if __name__ == '__main__':
    data = 'JZuFK8iZfzhZG+BaqcUjAgNuPh8lFrtHCX3Ev7uGAGTj9gLkI0nL5bb/QS7zhKew'
    key = '1735627982523-1142600494'
    encrypted_data = encrypt_3des_cbc(data, key)
    print(encrypted_data)

key： Q0oQ0o["timestamp"]["substring"](0, 24)。

通过搜索，可以定位到 Q0oQ0o["timestamp"] 的生成位置：

也是由时间戳、随机数组成，可以重新刷新，我们看看还有什么参数是走的这个算法。

断住后，往上跟值，可以发现是哪个参数：

发现：

• a 、b 、c 、d 、g 、f 、ct 都是由这个算法生成，明文就是加密的值，key 都是同一个值如上；

idf

然后跳断点，又来到了我们断 idf 的地方：

Q0oQ0o["timestamp"] 就是我们截取生成 key 的初始值，上面已经分析了。又发现关键字 setPublicKey

可能猜到是 RSA 加密，PublicKey 搜索发现 在 js 文件中是写死的，经过测试是标准的 RSA 加密：

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
import base64

def RSA_Public_Encrypt(plain_text):
    # RSA 公钥
    public_key = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCuR3+MuPOVYuAKOS6O+J/ds+JAesgyFforFupDiDBBMTItdXyMrG6gUPFxj/pT/9uQSq8Zxl7BrdiKdi0G2ppEn4Nym+VRLTv2+lNa3kvlrj25Lop7wDZkVRecK5oDvdaQHrm4KKiF7jZNbHEreWGsINLpGvzBMRNztRtOJ6+XEQIDAQAB"

    # 加载公钥
    key = RSA.import_key(base64.b64decode(public_key))

    # 使用 PKCS1_v1_5 进行加密
    cipher = PKCS1_v1_5.new(key)
    encrypted_data = cipher.encrypt(plain_text.encode('utf-8'))

    # 返回 Base64 编码的加密结果
    return base64.b64encode(encrypted_data).decode('utf-8')

e

直接暴力搜索 ["e"]，发现有 20 多个位置，不过非常容易定位到其生成的位置：

由 Q0o0o0 函数生成，进入后发现也是随机生成的：

import random

def generate_random_string():
    # 字符集
    characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"
    # 随机生成 127 长度的字符串
    random_string = "".join(random.choice(characters) for _ in range(108))
    # 在随机位置插入一个反斜杠
    insert_position = random.randint(0, len(random_string))
    random_string = random_string[:insert_position] + "\\" + random_string[insert_position:]
    return random_string

h

搜索 _callback 或者 h= 可以定位到目标位置， 就在生成 idf 的下面：

将前面的请求参数，拼接成字符串，然后再进行 O00O0o["hash128"] 函数的加密：

query_string = "?" + urllib.parse.urlencode(params)
h = oo0OOQ.hash128(query_string)

hash128 可以直接扣 js 代码，不多，或者直接用 python 还原：

纯 python 算法的源码，会分享到知识星球当中，需要的小伙伴自取，仅供学习交流。

结果验证