user 发表于 2020-9-10 14:42:23

[小林]微店UA分析

项目地址:aHR0cHM6Ly9kLndlaWRpYW4uY29tL3dlaWRpYW4tcGMvbG9naW4vIy8=
观前提示:

本文章仅供学习交流,切勿用于非法通途,如有侵犯贵司请及时联系删除

upload/tmp/2260_KE62Q5SVECV47J8.png


加密点定位


输入账号密码点击登录能看到一个login包

upload/attach/202009/2260_U67X83YS789C9MP.jpg




看一下data 发现ua不知道是哪里来的 所以我们本篇文章分析一下ua参数


接着搜索一下这个网址就能看到 ua是URI编码的n

upload/attach/202009/2260_2JX265CGENAD9NH.jpg


n为window.getUa()


打上断点再次登录看看

upload/attach/202009/2260_KQX7WPZBRCRZRTE.jpg


成功断下 所以ua的加密点就找到啦

分析


进入这个函数可以发现 是一个OB混淆加密

upload/attach/202009/2260_69W3QDKQVZST5RW.jpg


正常可以用我的软件解混淆


但是我不呢?如果不用那个软件 要怎么硬刚?

可以看到它是变量混淆了 我们的操作只需要圈住解密函数部分 便可显示原文

upload/attach/202009/2260_X79GEUBAUS734EV.png


继续下看分析


我们需要的是_0x261229这个值

而这个值的生成逻辑是
var _0x7dfc34 = new Date()['getTime']();
var _0x261229 = _0x1722c3(_0x2e98dd) + '|' + _0x1722c3(_0x420004) + '|' + _0x7dfc34['toString'](0x10);
_0x261229 = btoa(_0x570bef['gzip'](_0x261229, {            'to': 'string'        }));
那岂不是很简单啦 我们先看看_0x2e98dd这个值是什么?



upload/attach/202009/2260_2S9D5959JTFSSCJ.png


同理_0x420004也是 监测了一些鼠标事件 你们可以选择自己构造也可以选择直接固定 就看微店严不严格了

upload/attach/202009/2260_83Y7A2NSHCRQG23.png


可以看到这俩Object是一堆浏览器的参数啥的东西 它都把检测的东西给我准备好了 那我们就给他JSON输出出来

upload/attach/202009/2260_VVVCTMH7BKXAJ83.png


然后经过了_0x1722c3这个函数处理一下再拼接

拼接完后再GZIP压缩然后btoa一下就能拿到我们所需要的ua了




至于怎么扣呢?


首先 先把解密函数扣下来先 因为代码里面有很多没解密的字符串 需要这个解密函数的支持 如果不带上是运行不起来的

upload/attach/202009/2260_GFPEN6J2A3EW4SJ.png


然后再进去把_0x1722c3扣下来



upload/attach/202009/2260_4HVHE3C8P5RDXDE.png




接着运行一下 看报错 去页面里面找那个函数

缺啥就补啥就行了 很快就能扣完 还是很简单的




扣完提示没有btoa is not defined 再补一个btoa就完整了



运行

node运行一下js 完美可用

upload/attach/202009/2260_TH2S3G77GTFYRQ5.jpg

然后在py上带上ua登录看看



upload/attach/202009/2260_QZGGCRQKUBWMU9C.png


也是完美可用



[完]




长按点击关注

逆向小林

upload/attach/202009/2260_377W7BREXZ3DR8V.png










小威 发表于 2020-9-10 18:37:24

学习

startzm 发表于 2020-9-11 07:00:41

康康

franky 发表于 2020-9-11 14:09:36

666

fuckspider 发表于 2020-9-11 16:55:48

kk

Masol7 发表于 2020-9-21 15:24:48

6

luohua 发表于 2020-10-9 14:29:07

o

george 发表于 2020-10-11 16:02:59

康康

axingwang 发表于 2021-3-14 23:39:51

我居然搜到了这个 刚学JS逆向 我的天 这个加密也太难了 为什么我输出显示乱码

Ajian 发表于 2021-7-18 18:54:46

瞅瞅
页: [1] 2
查看完整版本: [小林]微店UA分析