语言:js、python
工具: pycharm、chrome浏览器F12调试、chatgpt(补充js第三方库,转python)、node.js(js运行)(必须)
**目标:**学习掌握基本js逆向知识。
对象: 有道翻译 ;原因:1、平台加密相对而言,比较简单。2、但是相较于一般平台,已加入了混淆;适合入门进阶
读了此文,你可以得到? 能够了解逆向的整体流程和手段。具有一定指导性意义; chatgpt在逆向中的应用。
基本逻辑:
通过xhr debug、栈debugger、事件定位等多种调试手段,在js文件中找到完整的核心js函数、变量。抠出来,通过chatgpt补全第三方的引用,最后通过chatgpt转为python。
笔者说
本文使用有道翻译作为逆向对象。请不要对它做出任何学习之外的恶意破坏。保护好这个逆向入门网站。
逆向
逆向实际上就是破解平台的一些防骚扰的算法机制。能够有效的排除掉爬虫或者恶意程序的干扰。其本质就是通过对一些参数加上一些算法计算,再对代码进行混淆,建立起一种技术壁垒,来防止恶意程序实现自动化骚扰。
但是,web端、app端、小程序端,在进行加解密时,实际上都已经把加解密的代码开放了出去。只是通过代码混淆压缩来建立了一层壁垒。
平台分析
每输入一个词,都会发起3个请求,逐个看每个请求的功能。
第一个请求:https://dict.youdao.com/webtranslate/key
接口入参中,有很多参数,大部分都是固定的。有一个sign(签名算法一般都使用这个名字)是每次都会变。每次调用都改变一般就和时间戳有关系。所以在入参中还有一个mysticTime,时间戳。
接口返回如下:含有secretkey,aeskey和aesIv。其中aes加解密相关的key和Iv对应的就是aes加密解密(对称式)需要的key和偏移量。
而且,连续几次请求用的都是同一个key和iv。这个和翻译之后的数据解密有关。
(如果不了解aes加密,即使看到了这两个参数,实际上也是会一脸懵的)
{
"data": {
"secretKey": "fsdsogkndfokasodnaso",
"aesKey": "ydsecret://query/key/B*RGygVywfNBwpmBaZg*WT7SIOUP2T0C9WHMZN39j^DAdaZhAnxvGcCY6VYFwnHl",
"aesIv": "ydsecret://query/iv/C@lZe2YzHtZ2CYgaXKSVfsb7Y4QWHjITPPZ0nQp87fBeJ!Iv6v^6fvi2WN@bYpJ4"
},
"code": 0,
"msg": "OK"
}
第二个请求:https://dict.youdao.com/webtranslate
这个是实现翻译的核心接口。简单先看一下入参和返回
入参也是有一大串的。但是变化的就是sign和时间戳。其它都是固定的。
返回的是 一大串加密后的字符串,要解析就需要使用上面第一个接口返回的aeskey和iv
有道的两层防守手段,第一层是sign签字。但是这一层的代码应该有两年都没有变化过了。
高明的是这个第二层的,将结果进行加密,可以有效的防止通过返回来分析规则。
Z21kD9ZK1ke6ugku2ccWu4n6eLnvoDT0YgGi0y3g-v0B9sYqg8L9D6UERNozYOHqf2QTmhAp9WGaulUyTQ4s3ranWlk7VID05DYO_x8OdLrxURRu0VER-u407MPgt1GF9jL87ya3ywgMjI4dogesKMFrUn8JkXGvgwGAWE7qMheCHpc-IP6wyUkLABQ4qGhPKC-WPVfy4cfiIJm3g7hJu_7FlPywY8hRHD6QPkawOYIgBcFEQjNI97SNhcnOAIrNmTVM-q_OzgrzXxzs8R99HMEISgzcFMllP91KfYX6shvvGFYYmwmjHElaKhdiqr-yLfZPIsUJ0ku8ocrARJh1UrbwC81Kz8EFdecwtUhKWrsi5NR3iH50GWiZxbntDq55jSU2zKFIPwmBjsrdeuQ3XmW-z6P6LqZrHuvNhqFIxtejFwZHJip836njYi9yhnfgkr57e4xC3NNgFB62M1cy8id-IZtqrHbIkverpN9i4_l6oL7aDciL3P_GcyQvm3j7DpaQ0w-DcEOCj69q0U6wksxTe3YcKXz4HYXECs4ej7UwMbyB6WpT_Qqg3yVev7ksXAmxtUqQxg-Tg65_uGOEvCqo8nEirTjTKyHFDthxi4zAPK88ke1qp4RoM6qLsmcMiMSZTPM-PzmtcWCk0sbMn6V7t-qbqU_-c4IzvSIaok-OGsIqtAHC7LZEODcQQsc8WcirWpWE5mvqHwGsGzRI-9 v5QBe4PNOnLcNda_Lb50YyPcSvOBDGvxd2V1VHuB7Jf-i6xLcelejuQXtwt1Uc9yUW8z4oLJWw_iBV7cJ89tstcPxP1B9MtMiHHl7DT9TOzx7-5 NMzJQKLSk8imT6SJ4oWHvSIa39EoOcfjU-ABZZPLbe3VP8aUnCrSdGMRfC3peaOIAa1xXLfz8OzOA3FzUYTBzN0FnAwow4EAEvqwW38tztPqzO9jVIQrDYlG91DAA7a8b-EpAd7Ynq8D_ui3uBY-AjtYkT_25JVuCHurjsIGAyvJGmhfkhDJr6uZNe01u5MqJUK8MFJed26byYHQHm-ZnmnssqdnOa1jRiIpJCkfYClX9uMqztqkmpVmxH6bdWbmpdVW1LMW3UFL1T01_qqzZFWDV03ORaqogkOnsKWH1vp3xEX7jR7x3bmNM8FoM6ZKzrTZ2dxx5cR-F2Ehu2genVUZGg11rX4apk-UQ77tIUrFGXz4_ZZSZ-AYUWIzxSCmMGCUIupG572i_Idp4pGmUmPlUfMIgnhHAK_z1689vdki_ldjrd_qnbjPbSNAJK68YM5yc31P45ltQ72cYCLgVHlxjicMsQCS6XK3x8NKGyQEvHNiDe_5Eknz4_4YOdofL-KYVhQck84lSnCGp3QaAwO-5 DFnpyZj1UpQ5kSzWRP5b1IBeyIqTG5EgAF
这个接口的入参中有两个参数:每次调用时,都会发生改变,这个
第三个接口:https://dict.youdao.com/keyword/key
入参就是我们的输入的待翻译的文本"技术"
返回是一个空的。确认的内容。由此可见,需要处理的就是前面两个接口的内容。
{"code":0,"message":"SUCCESS","data":[]}
明确逆向目标
由此可见,如果我们想完成有道的逆向,就需要完成第一层,解开sign相关加密逻辑,第二层:response的aes解析。
选择定位、调试手段
很多适合,定位核心代码都是一套组合拳定位。
|-------|--------------------------------------------|---|
| 方法 | 适配 | |
| 事件断点 | 适合监控点击事件;是监控变化,自动发出的请求。 | |
| 全局搜索 | 适合带关键字的,比如sign。 在本示例中是可行的。可以直接定位。 | |
| xhr断点 | 适合接口定位,支持接口关键字筛选;挺好,可以监控到所有的xhr请求。还可以过滤接口。 | |
| 栈分析 | 适合,很酷的方法,几乎可以媲美xpath在爬虫中的定位。 | |
2024年5月24日 闪了一下,编辑好的,都快弄完了。结果全部退回到昨天保存的了。都不想写了
第一层:逆向sign
如何定位sign签字,几乎每一个接口都有sign,换句话说,通过xhr指定一个接口,然后通过逐步调试是一定能够找到这句核心代码的。
但是通过sign:来进行搜索也是很快。但是这个靠运气。
后续可以培养一个分析思路,是接口涉及的就通过xhr debug来。xhr是什么?就是下面这个。高级在,能够自动取捕获接口,并产生断点。
xhr加上,栈几乎无敌。栈断点是什么?是下面这个。记录了一个完整的调用链路。通过栈几乎一定可以找到你想要的那个逻辑。
因为混淆,所以每一行其实是一个函数,从上到下,从最新到最初。
随便点击一个La:进入了我现在O函数的上一个函数。(在下面的第二层你能学习到。)
那就继续:定位到sign后,通过查看函数的方式,你会发现,代码居然都在一块。S函数,S函数中调用的_函数,这个名字有点奇怪"_", 不过也在上面有的。至此,搞定。
为什么不继续看i函数的定义了。因为经验告诉我,这个是一个crypto的第三方库,如果继续调试,会进入三方库的代码中,没有必要。好在js逆向常见的集中算法,aes、md5、base64都有明显的一些函数特征,见过几次都一眼知道了。
然后就是把代码扣下来。扣下来之后的代码,一般是不能运行的。缺乏变量输入什么的。而且也需要进行三方库引用的替换,冗余项的删除,函数的优化。
|----------|----------------------------------------------------------------------------------------------------------|
| | |
| 变量补全 | 补全可以通过调试是,查看变量的值。而后在抠出来的文件中使用const定义。 |
| 三方库引用的替换 | 通过chatgpt,添加第三方引用; 比如crypto,md5这些事需要转成本地第三方库的。 |
| 函数的优化 | 1、冗余项的删除,有些函数的返回值中有很多参数,和目标参数不相关的都可以删除掉。 2、可以把最后的返回retrun 变为console.log,降低报错风险。 3、转python只需要chatgpt一句话即可 |
如下,比如crypto的引用。
javascript
const e = "fsdsogkndfokasodnaso"
// const t= "fsdsogkndfokasodnaso"
const d = "fanyideskweb"
const u = "webfanyi"
const crypto = require('crypto');
function _(e) {
const hash = crypto.createHash('md5');
hash.update(e.toString());
return hash.digest('hex');
}
function S(e, t) {
return _(`client=${d}&mysticTime=${e}&product=${u}&key=${t}`)
}
function k(e) {
const o = (new Date).getTime();
console.log(o)
sign = S(e, o)
console.log(sign)
}
k(e)第二层:返回值逆向解析aes解密
通过xhr debug或者通过栈 debug几乎都能定位到decodeData这句核心代码。在这里出现了待加密的数据o,这个也就是translateWeb接口的返回值。
在这里打上断点后,不要直接通过调试来进入decodeData的代码。新手这样就进入了无限循环的代码中了,因为混淆,加上跳转,加上单步调试,有时会直接进入了第三方库的内部,里面几乎是一些算法逻辑的实现,很容易晕头。
而且如果是采用扣代码的方式,每一次跳转一个新地方,都意味着需要采集这一步的代码,这几乎是不可能完成的。这也是新手容易进入的误区。
正确的处理方法是: 选中_a这个奇怪的对象。会弹窗这个对象的内容,选中A,因为decodeData的加密函数来自A,发现在A中我们可以找到decodeData的名字,这样就简单了。右键这个函数,居然可以跳转到函数定义。
函数的定义,其实很简单。转16进制,
扣出来如下:可能你会注意到,在上面是s.alloc,i.createDecipheriv,这些在抠出来之后都变了引用。其实这些是引用的第三方库的内容,完全可以在扣出来之后,从新引用第三方库来搞定。如果你继续调试进入到createDecipheriv这个函数,你会发现进入了一个算法。在混淆之后的代码中去扣一个加密算法是很有难度的。
所以直接调用第三方库也好。这也是新手逆向需要总结的一个经验。他能够避免新手走入无限的死循环中,好在逆向的算法几乎都是aes、md5、base64,见几次几乎就知道了。
javascript
function tt(e, t, o) {
if (!e)
return null;
const a = Buffer.alloc(16, T(t))
, n = Buffer.alloc(16, T(o))
, r = crypto.createDecipheriv("aes-128-cbc", a, n);
let l = r.update(e, "base64", "utf-8");
return l += r.final("utf-8");
}差点遗漏了。这里还有一个函数T。T(t)、T(o)。相同的方式,右键好像没有调出来显示定义。但是,弹框中显示了函数定义在哪里。点击链接。
是一个简单的md5加密。抠出来。使用第三方库搞定了。
第二层完整代码如下:
javascript
const e = "Z21kD9ZK1ke6ugku2ccWu4n6eLnvoDT0YgGi0y3g-v0B9sYqg8L9D6UERNozYOHq4CkCZNz7GphbExY0aTIyrsa9Cq7T1ujm-y1-Z41UJGr2t68llVA1tycni4mhWuRwKlhfrgxpSuWj15TCakNruiYKMr3HGq_XWpB-dMezH0iHY9DEFu1IU-YzjbPGr9XVRLmXqKbQg1nCHZ9rmAMFDXxqqCdPiA_04b69hMTmvloCcEd6pQ2bfTs7gnzVfWMjWww_3vq0qrZ0R1xytgrCuOft_88XsQzxVJ20qgEGrXiP9s51LSz8_nACzmbfZCMHXPBiq6vEOg93r7wZq5Klvu4Wpk3lbQtoUmhSmPO0guhMWJntjCBBydX9Z13ScPSPQsmZwskc4D7qI0vDdQck-X14hKaYb-zKcjx4ccLpPln8w1R04UVuwSQUkMRbkGCcmHosL3rwfw4eydByQ-Ifqw==";
const t = "ydsecret://query/key/B*RGygVywfNBwpmBaZg*WT7SIOUP2T0C9WHMZN39j^DAdaZhAnxvGcCY6VYFwnHl";
const o = "ydsecret://query/iv/C@lZe2YzHtZ2CYgaXKSVfsb7Y4QWHjITPPZ0nQp87fBeJ!Iv6v^6fvi2WN@bYpJ4";
const crypto = require('crypto');
const s = crypto.createHash('sha256');
function T(e) {
const hash = crypto.createHash('md5');
hash.update(e);
return hash.digest();
}
function tt(e, t, o) {
if (!e)
return null;
const a = Buffer.alloc(16, T(t))
, n = Buffer.alloc(16, T(o))
, r = crypto.createDecipheriv("aes-128-cbc", a, n);
let l = r.update(e, "base64", "utf-8");
return l += r.final("utf-8");
}
console.log(tt(e,t,o));ps: 下面是几个简单的实例,很适合入门阅读
跟栈调试逆向
https://segmentfault.com/a/1190000040741361