【验证码逆向专栏】某盾 v2 滑动验证码逆向分析

于 2025-03-03 17:38:49 发布
阅读量1.5k 收藏 12
点赞数 15
文章标签: 数据库 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kdl_csdn/article/details/145994584
版权

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

前言

之前分析了某盾 Blackbox 的指纹算法, 这次再来做做它的验证码,该指纹算法在验证码参数里面也会有用到,

详细查看往期文章 :

【JS逆向百例】某盾 Blackbox 算法逆向分析:https://mp.weixin.qq.com/s/ueWVmlpLOljOLb1a7vEBag

逆向目标

目标:某盾 v2 滑动验证码

网站:aHR0cHM6Ly9sb2dpbi5kb3NzZW4uY29tL3Nzby9jaGVja0xvZ2lu

7WIyK7.png

抓包分析

抓包分析,发现 图片接口 和 验证接口 是同一个接口只是请求参数不同:

7WIH1I.png

需要分析的参数有 P1 ~ P9 看着多,我们慢慢来。

验证结果:

  • 失败:
    • needValidateCode :true
    • 继续返回图片接口信息

7WIK6V.png

  • 成功:
    • needValidateCode :false
    • 返回 validateToken

7WIgNL.png

逆向分析

我们先来看图片接口的 P1 ~ P9 生成,通过堆栈即可定位目标参数生成位置:

7WIhvJ.png

点击进入:

7WI8IG.png

非常明显,我们依次对 P1 ~ P9 进行分析,其中 QQoooQ.blackBox 就是我们前言提到的 某盾 Blackbox 的指纹算法,也可暂时写死:

  • p1 = oQO0Q0

    7WIx0B.png

    • oOoQQ0 为固定值:
    "b37uCyfyme4S7TF/MVDRqSRxP4CB2BjsnDxr4bSxz0vSL/~hXNGID9Tr7vzaBm~F"
    • window._fmOpt.token,搜索定位,由 window._fmOpt.partner、时间戳和随机数拼接而成:

    7WI5xt.png

    • window._fmOpt.partnerwindow._fmOpt.appName:不同网站的标识;
    • oO0QQo.mfaIdundefined 不用管。

  • p2 = OoOQ0O:

    7WIA4b.png

    • 调试分析可知,由 QQoooQ.blackBox + ^^1^^1^^1 生成。

  • p3 = oQOoO0(ooQQ0Q, QQQOQO)

    7WIW9e.png

    • ooQQ0Q,调试分析可知:

      var ooQQ0Q = QOOO0O(p1 + '^^' + p2) + '^^|^^|^^|' +QOOO0O(oOOoQO)

      其中oOOoQO,由固定值 161155 拼接时间戳构成:

      "161155^^|^^|^^1739762660066"

      还差 QOOO0O 函数,我们进到该函数中去:

      7WIcKP.png

      常数特征很明显,我们也可以问下 deepseek

      7WIvPw.png

      验证之后为标准的 MD5 哈希算法。

    • QQQOQO:

      var OOOQOQ = window._fmOpt.token.split('-');
var QoQQo0 = OOOQOQ[OOOQOQ.length - 2] + '-' + OOOQOQ[OOOQOQ.length - 1];
var QQQOQO = QQ00QO('stq67pv9') + QoQQo0.substring(10, 18);

      window._fmOpt.tokenp1 分析过;

    QQ00QO('stq67pv9'):生成固定值 rsp67ou9

    • oQOoO0 最后的加密函数,我们同样先跟进去观察,然后单步走,就定位到如下 return 的位置,发现关键字 AESiv = Moa14C2uXpe8AUJ5

      7WIa66.png

      跟我们分析某盾 Blackbox 的 DES3 加密,大差不差,需要自己处理一下:

    from Crypto.Cipher import AES
import base64


def swap_characters(input_str):
  return input_str.replace('q', 'tem1').replace('p', 'q').replace('tem1', 'p').replace('I', 'tem2').replace('J',
                                                                                                            'I').replace(
      'tem2', 'J')


def encrypt_aes_cbc(data, key):
  iv = 'Mnz14C2tXod8AUJ5'
  block_size = AES.block_size
  pad = lambda s: s + (block_size - len(s) % block_size) * chr(block_size - len(s) % block_size)
  data = pad(data)
  cipher = AES.new(key.encode('latin-1'), AES.MODE_CBC, iv.encode('latin-1'))
  encrypted = cipher.encrypt(data.encode('latin-1'))
  return swap_characters(base64.b64encode(encrypted).decode('latin-1').swapcase().replace('+', '~'))


print(encrypt_aes_cbc('d2f551c596fe634b5d7956250a1d5274^^|^^|^^|e0315c2431445fccb801d5a1349aa50f', 'rsp67ou9626-390c'))

  • p4 = oQOoO0(QOo0Oo, QQQOQO)

    7WIONO.png

    • oQOoO0:就是上面的 AES 加密,iv 不变;
    • QOo0Oo:图片接口直接 "|^^|^^|" 写死即可;
    • QQQOQO:同上,key 一致。

  • p5 = QoOO00

    • QQ00QO('xfc'):“web”,写死。

  • p6 = Qoo0Q0

    var QOQQO0 = o0QoQQ(8);
var Qoo0Q0 = oQOoO0(QOQQO0 + window.location.href, QQQOQO)
    • o0QoQQ 函数进去调式发现,就是取几位随机数:

    7WISaQ.png

    • oQOoO0:上面的 AES 加密, iv 不变;
    • window.location.href:不同网站不同,写死;
    • QQQOQO:同上,key 一致。

  • p7 = QOQ0QQ + o0QoQQ(32)

    • o0QoQQ(32):取 32 位随机数;

    • QOQ0QQ = QOOO0O(Qoo0Q0) + QOOO0O(oOOoQO)

      QOOO0O:标准 MD5 加密;

      Qoo0Q0p6 值;

      oOOoQO:上面分析过了。

  • p8 = QOQQO0

    • QOQQO0 = o0QoQQ(8):取 8 位随机数,与 p6 生成中的要一致。

  • p9 = oOOoQO

    • oOOoQO = oQOoO0(oOOoQO, QQQOQO)

      oQOoO0:上面的 AES 加密,iv 不变;

      oOOoQO:上面分析过了;

      QQQOQO:同上,key 一致。

组包后,请求图片接口数据,发现大图是乱序的,需要还原:

7WIUIf.png

通过加载的事件断点,即可定位到图片还原的代码:

7WIP0c.png

整体逻辑就是按上下 2 层平均分割成 16 张小图,然后通过图片接口返回的 bgImageSplitSequence 参数,计算新的顺序,再进行排序拼接,转换为 python 代码如下:

from io import BytesIO
from PIL import Image

def reconstruct_image(segment_sequence, image_binary):
    """
    重新构建图像,将输入图像拆分为8x2的网格并按照指定的顺序重新排列。
    
    :param segment_sequence: bgImageSplitSequence 参数,16进制字符串列表,表示重新排列的顺序
    :param image_binary: 二进制图像数据
    :return: 重新排序后的图像二进制数据
    """
    # 加载图像
    img_io = BytesIO(image_binary)
    original_img = Image.open(img_io)
    
    # 定义图像尺寸和分割参数
    img_width, img_height = 320, 180
    segment_width, segment_height = img_width // 8, img_height // 2
    
    # 拆分图像
    image_layers = [{}, {}]
    for layer in range(2):
        y_start = layer * segment_height
        for i in range(8):
            x_start = i * segment_width
            crop_box = (x_start, y_start, x_start + segment_width, y_start + segment_height)
            image_layers[layer][i] = original_img.crop(crop_box)
    
    # 创建新图像
    new_image = Image.new('RGB', (img_width, img_height))
    new_image_layers = [{}, {}]
    
    # 重新排序
    for index, hex_value in enumerate(segment_sequence):
        position = int(hex_value, 16)
        layer, segment = divmod(position, 8)
        original_layer = 1 if index >= 8 else 0
        new_image_layers[layer][segment] = image_layers[original_layer][index % 8]
    
    # 拼接图像
    for layer in range(2):
        for i in range(8):
            new_image.paste(new_image_layers[layer][i], (segment_width * i, segment_height * layer))
    
    # 转换为二进制数据
    img_byte_arr = BytesIO()
    new_image.save(img_byte_arr, format='PNG')
    return img_byte_arr.getvalue()

以及滑块识别代码:

import cv2
import numpy as np

def bytes_to_cv2(img):
    """
    将二进制数据转换为 OpenCV 图像。

    参数:
    img (bytes): 读取的二进制图片数据。

    返回:
    numpy.ndarray: OpenCV 格式的 BGR 图像。
    """
    # 将二进制数据转换为 NumPy 数组
    img_buffer_np = np.frombuffer(img, dtype=np.uint8)
    # 解码为 OpenCV 图像格式
    img_np = cv2.imdecode(img_buffer_np, cv2.IMREAD_COLOR)
    return img_np


def get_distance(bg, tp, save_path=None):
    """
    计算滑块验证码缺口的位置,并在背景图上标记。

    参数:
    bg (bytes): 背景图片的二进制数据。
    tp (bytes): 滑块图片的二进制数据。
    save_path (str, 可选): 若提供路径,则保存标记后的图片。

    返回:
    dict: 缺口位置的坐标 {'x': x 坐标, 'y': y 坐标},若未找到则返回 None。
    """

    # 将二进制数据转换为 OpenCV 图像
    bg_img = bytes_to_cv2(bg)
    tp_img = bytes_to_cv2(tp)

    # 转换为灰度图,并进行高斯模糊,减少噪声影响
    tp_gray = cv2.GaussianBlur(cv2.cvtColor(tp_img, cv2.COLOR_BGR2GRAY), (5, 5), 0)
    bg_gray = cv2.GaussianBlur(cv2.cvtColor(bg_img, cv2.COLOR_BGR2GRAY), (5, 5), 0)

    # 使用 Canny 边缘检测提取图像特征
    lower_threshold = 30  # 低阈值
    high_threshold = 100  # 高阈值
    tp_edge = cv2.Canny(tp_gray, lower_threshold, high_threshold)
    bg_edge = cv2.Canny(bg_gray, lower_threshold, high_threshold)

    # 使用模板匹配算法 (TM_CCORR_NORMED) 计算滑块与背景的最佳匹配位置
    result = cv2.matchTemplate(bg_edge, tp_edge, cv2.TM_CCORR_NORMED)

    # 获取匹配位置的最大值(即最匹配的点)
    _, _, _, max_loc = cv2.minMaxLoc(result)

    # 寻找滑块图像的轮廓
    contours, _ = cv2.findContours(tp_edge, cv2.RETR_EXTERNAL, cv2.CHAIN_APPROX_SIMPLE)
    
    if contours:
        # 选择面积最大的轮廓
        contour = max(contours, key=cv2.contourArea)
        # 获取该轮廓的边界框
        x, y, width, height = cv2.boundingRect(contour)

        # 在背景图上绘制矩形标记滑块缺口位置
        cv2.rectangle(bg_img, 
                      (max_loc[0] + x, max_loc[1] + y), 
                      (max_loc[0] + x + width, max_loc[1] + y + height),
                      (0, 255, 0), 2)  # 绿色矩形框,线宽 2

        # 如果提供了保存路径,则保存标记后的图片
        if save_path:
            cv2.imwrite(save_path, bg_img)

        # 返回缺口的 x, y 坐标
        return {'x': max_loc[0] + x, 'y': max_loc[1] + y}
    else:
        return None  # 未找到匹配的缺口

最后再来看验证接口的 P1 ~ P9 生成,我们只讲不同的地方:

  • p2,由 QQoooQ.blackBox + '^^3^^1^^1' 生成;

  • p3,加密的明文多了:

    • validateCodeObj:图片接口返回的 validateCodeObj 对象;

    • userAnswer

      userAnswer = Math.round(QoO0Oo / Oo0OOo) + QQ00QO('|10|') + new Date().getTime()

      Math.round(QoO0Oo / Oo0OOo):滑块识别的距离;

      QQ00QO('|10|'):固定值 "|10|"

  • p4:加密的明文多了个 mouseInfo 轨迹信息,经过测试写死即可。

Python 算法的源码,会分享到知识星球当中,需要的小伙伴自取,仅供学习交流。

结果验证

7WIR53.png

K哥爬虫
关注
博客
当爬虫工程师遇到 CTF丨2021 年 B 站 1024 安全攻防题解
10-23 6415
文章目录第一题:加密解密第五题:APP 逆向总结最近看到哔哩哔哩上线了一个 1024 程序员节的活动,其中有一个技术对抗赛,对抗赛又分为算法与安全答题和安全攻防挑战赛,其中安全攻防挑战赛里面有 7 个题,其中有 APP 逆向和解密的题目,作为爬虫工程师,逆向分析的技能也是必须要有的,于是 K 哥就以爬虫工程师的角度,尝试做了一下其中逆向相关的两个题,发现逆向不是很难,分享一下思路给大家。(以爬虫工程师的角度分析安全攻防的题,网安大佬勿喷!)1024 程序员节活动地址:https://www.bi..
博客
JS 逆向之 Hook,吃着火锅唱着歌,突然就被麻匪劫了!
09-29 2万+
关注微信公众号:K哥爬虫,QQ交流群:808574309,持续分享爬虫进阶、JS/安卓逆向等技术干货!什么是 Hook?Hook 中文译为钩子,Hook 实际上是 Windows 中提供的一种用以替换 DOS 下“中断”的系统机制,Hook 的概念在 Windows 桌面软件开发很常见,特别是各种事件触发的机制,在对特定的系统事件进行 Hook 后,一旦发生已 Hook 事件,对该事件进行 Hook 的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。在程序中将其理解为“劫持”可能会更.
博客
【验证码逆向专栏】某采购网,360 磐云盾、文字点选验证码逆向分析
04-28 1780
最近星球有个小伙伴,公司是做 gov 相关业务的,碰到一个采购网站,感觉有些棘手,故咨询 K 哥。该业务网站,一打开,转起来了,当然,和国外产品,完全不是一个量级。
博客
【验证码识别专栏】某盾躲避障碍与某里图像复原验证码识别
04-21 2813
近期有粉丝咨询验证码识别相关的问题,是某里 v2 系列中的验证码,其也属于新的验证码类型,但是如果能吃透往期验证码识别相关的文章,这类型验证码的解决方法也是大同小异的。
博客
【APP 逆向百例】淘某热点 APP 逆向分析
04-07 1123
定位这个参数的方法有很多,可以直接搜索关键字 sign,也可以 frida 进行 hook,这里我们使用 frida 对 Java 的。可以看到,deepseek 说的也很清楚明了,先进行加盐,然后 base64 编码,最后进行 sha1 算法进行加密。命令进行 frida 注入,注意捕获到的东西可能有点多,可以在输出一段时间后,在控制台输入 exit 回车关掉。发现结果一致,我们继续向下分析,点进去这个函数,最后定位到 native 层加密,并加载。这个函数接受一个字符,该字符的长度以及。
博客
【APP逆向百例】某蜂窝逆向分析
03-03 1603
unidbg 是一款基于 unicorn 和 dynarmic 的逆向工具,一个标准的 java 项目,它通过模拟 Android 运行时环境,让用户能够在没有实际设备的情况下,分析和调试 Android 应用的行为。把作者给的样例,例如 TTEncrypt 代码 copy 一份,改一下,这个 app 检测环境较少,可以算入门 unidbg 的案例,基本上简单修改完作者给的代码样例就能使用。注意,捕获的东西有点多,可能导致卡死、应用闪退,可以在输出一段时间后手动关掉,或者根据相关字段进行过滤。
博客
【验证码逆向专栏】最新某验四代动态参数逆向详解
02-10 1476
近期查看星球群聊,发现有群友讨论关于某验蝌蚪文的问题,根据以往经验来看,绝对不仅仅是单纯的 js 混淆,而逻辑不变。
博客
【JS逆向百例】某盾 Blackbox 逆向分析
01-20 1714
本文只对某盾 Blackbox 的其中一种算法进行逆向分析,不涉及指纹风控、环境部分。也是由时间戳、随机数组成,可以重新刷新,我们看看还有什么参数是走的这个算法。算法的源码,会分享到知识星球当中,需要的小伙伴自取,仅供学习交流。进入到该函数内,重新下断点刷新网站,单步往下跟,定位到最后。搜索发现 在 js 文件中是写死的,经过测试是标准的。接口的这些请求参数,非常之多,但是不要怕,慢慢来。将前面的请求参数,拼接成字符串,然后再进行。可以直接扣 js 代码,不多,或者直接用。
博客
【APP 逆向百例】某豆 app 逆向分析
01-13 1597
SDK Platform-Tools 包含多个实用工具,其中最常用的是。ADB 是一个通用的命令行工具,提供 Android 设备与 PC 端之间的桥梁。安装和调试应用程序。操作设备上的文件。查看设备的状态信息。执行其他与设备相关的操作。
博客
【JS逆向百例】某江 Hospital 逆向分析
12-30 1644
最近又有小伙伴在逆向某网站的时候,碰到了点棘手的问题,过来询问 K 哥。经过分析,该网站既有加密参数,又使用了 WebSocket 协议来传输数据,正好可以丰富 JS 逆向百例专栏。
博客
【JS逆向百例】爱疯官网登录分析
12-30 1722
最近有些小伙伴在微信群交流,关于爱疯登录相关加密参数的问题,同时,也有粉丝私信,想让 K 哥出关于 m1、m2 相关参数逆向的系列教程。
博客
【JS逆向百例】东某航空数美指纹 v4 设备 ID 逆向分析
12-10 1637
Protocol,与上面包含 DES key 的大对象关联,保持一致,跟某数滑块一样也是动态的。文件加载出来的,进入后,发现经过 ob 混淆了,不过通过搜索也能轻松定位到。,不过赋值在两个不同的对象中,只用分析下面的就行,下面的后面会用到,跟进。摘要算法,经过测试也是标准的,继续往下走,跟进到。最后,风控部分就需要自己去探索了,跑多了,如果遇到。是标准的 AES,CBC 加密,加密内容为。,就是触发了数某的验证码,携带验证成功的。搜索后发现,“B” 后面的内容,是由。的生成方式还不知道,发现也是在。
博客
【验证码识别专栏】今天不炼丹,用 cv 来秒验证码
12-10 1192
最近查看 QQ 群消息,无意间看到了粉丝们关于 opencv 的相关讨论,有热心的群友给出了大致的解决方向。同时也有很多星球伙伴,在星球分享关于验证码识别的相关知识,学习交流的氛围很好。
博客
【验证码逆向专栏】某多多验证码逆向分析
11-29 906
某多多的验证码,类型有很多,滑块、点选、手势等等,其中点选的题目繁多,每刷一次都能给你整个新的出来。
博客
【验证码逆向专栏】某里 v2 滑动验证码分析
11-29 1087
最近有粉丝反馈,在处理业务网站的时候,碰到了某里的验证码,但是又和大伙所熟知的 226、227 不一样:其实这是某里 v2 验证码,相较于 228、231 这种旗舰产品,之前使用 v2 的网站并不是很多,不过最近有多起来的趋势。部分小伙伴可能看到了某里系的验证码,就认为解决不了,直接放弃,其实都没有那么复杂,不说全纯算还原,至少补环境是可以尝试一下的。
博客
【验证码逆向专栏】vaptcha 手势验证码逆向分析
11-18 1176
因为获取图片和验证的加密内容基本一致,且都在 vm 文件里面,这里就一同分析。跟到这里,会发现加载了几次图像,当我们刷新图片的时候,会看到图片不断地切换。这个接口返回了验证码类型,其中 embed 的值就是嵌入式点击验证码,其他三个分别对应三种类型。另外上面的 globalMd5 中的 splicingObj 函数也不一样,扣的时候注意点就行。可以看到是一个控制流语句,en 的值都是由 encryFunc 加密生成,接受两个参数,但是我们最终还原的图像结果不在这,因为最后一次循环执行时,没有获取。
博客
【JS逆向百例】cebupacificair 航空逆向分析
11-18 1287
近期在知识星球中,有位星友在逆向一个航司的时候,遇到了点阻碍,向我提问,本期就对该网站进行逆向分析:目标:cebupacificair 航空查询逆向分析网站:打开网站,找到返回机票信息的机票查询接口 :目测,有这四个参数需要分析,分析之前先搜索,免得是接口返回,发现 和 是另外一个 接口返回的:该接口有四个参数需要分析,也是有两个 ,估计都大差不差,我们继续先搜索,发现 是 文件返回的:而 文件是通过首页加载的,大致流程都梳理清晰了,我们开始进行逆向分析:从头开始,我们请求首页,发现他并没有返回
博客
17track物流查询平台 last-event-id 参数逆向分析
10-21 599
就容易多了,只需要将下面这几个关于代码检测的函数都删除掉,都是些无关的代码,检测代码格式化 、解完混淆后代码就清晰可见,缺啥扣啥,一步步来就好了,代码也不多,可见 AST 解混淆的重要性。Github 仓库:https://github.com/cilame/v_jstools。目标:17xx 物流查询平台 last-event-id 参数逆向分析。在线分析工具:https://astexplorer.net。然后再通过工具替换代码,这边选用。,映入眼帘的就是我们熟悉的。, 我们直接看它触发。
博客
【JS逆向百例】某赚网 WebSocket 套 Webpack 逆向分析
10-21 1265
近期有粉丝私信,提到了某网站抓不到包的问题,之前还有不少新手粉丝提到不会 webpack。
博客
【验证码识别专栏】大炮打麻雀 — CLIP 图文多模态模型,人均通杀 AIGC 六、九宫格验证码!
10-21 1284
近期有粉丝私信,不知道如何训练某讯系点选验证码,之前星球群也有不少粉丝讨论相关问题,为满足粉丝们的需求,本文将对这型验证码的训练进行讲解, 文末可以下载相关的工具,包括文章配套标注工具文章配套训练代码部分学习数据集(少量类目,仅供学习使用,不设计成品)六宫格推理比较算法。CLIP(Contrastive Language-Image Pre-Training)是由 OpenAI 在 2021 年发布的一种多模态预训练神经网络模型,旨在将图像和自然语言的表示空间统一起来,使得它们可以相互理解和关联。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值