11回答

1收藏

[小林]微店UA分析

信息分享 信息分享 5260 人阅读 | 11 人回复 | 2020-09-10

项目地址:aHR0cHM6Ly9kLndlaWRpYW4uY29tL3dlaWRpYW4tcGMvbG9naW4vIy8=
观前提示:

本文章仅供学习交流,切勿用于非法通途,如有侵犯贵司请及时联系删除




加密点定位


输入账号密码点击登录能看到一个login包




[ttreply]

看一下data 发现ua不知道是哪里来的 所以我们本篇文章分析一下ua参数


接着搜索一下这个网址就能看到 ua是URI编码的n




n为window.getUa()


打上断点再次登录看看




成功断下 所以ua的加密点就找到啦

分析


进入这个函数可以发现 是一个OB混淆加密




正常可以用我的软件解混淆


但是我不呢?如果不用那个软件 要怎么硬刚?

可以看到它是变量混淆了 我们的操作只需要圈住解密函数部分 便可显示原文




继续下看分析


我们需要的是_0x261229这个值

而这个值的生成逻辑是
var _0x7dfc34 = new Date()['getTime']();
var _0x261229 = _0x1722c3(_0x2e98dd) + '|' + _0x1722c3(_0x420004) + '|' + _0x7dfc34['toString'](0x10);
_0x261229 = btoa(_0x570bef['gzip'](_0x261229, {            'to': 'string'        }));
那岂不是很简单啦 我们先看看_0x2e98dd这个值是什么?






同理_0x420004也是 监测了一些鼠标事件 你们可以选择自己构造也可以选择直接固定 就看微店严不严格了




可以看到这俩Object是一堆浏览器的参数啥的东西 它都把检测的东西给我准备好了 那我们就给他JSON输出出来




然后经过了_0x1722c3这个函数处理一下再拼接

拼接完后再GZIP压缩然后btoa一下就能拿到我们所需要的ua了




至于怎么扣呢?


首先 先把解密函数扣下来先 因为代码里面有很多没解密的字符串 需要这个解密函数的支持 如果不带上是运行不起来的




然后再进去把_0x1722c3扣下来








接着运行一下 看报错 去页面里面找那个函数

缺啥就补啥就行了 很快就能扣完 还是很简单的




扣完提示没有btoa is not defined 再补一个btoa就完整了

[ttreply]

运行

node运行一下js 完美可用



然后在py上带上ua登录看看






也是完美可用



[完]




长按点击关注

逆向小林











[/ttreply]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
分享到:
回复

使用道具 举报

回答|共 11 个

小威

发表于 2020-9-10 18:37:24 | 显示全部楼层

学习
回复

使用道具 举报

startzm

发表于 2020-9-11 07:00:41 | 显示全部楼层

康康
回复

使用道具 举报

franky

发表于 2020-9-11 14:09:36 | 显示全部楼层

666
回复

使用道具 举报

fuckspider

发表于 2020-9-11 16:55:48 | 显示全部楼层

kk
回复

使用道具 举报

Masol7

发表于 2020-9-21 15:24:48 | 显示全部楼层

6
回复

使用道具 举报

luohua

发表于 2020-10-9 14:29:07 | 显示全部楼层

o
回复

使用道具 举报

george

发表于 2020-10-11 16:02:59 | 显示全部楼层

康康
回复

使用道具 举报

axingwang

发表于 2021-3-14 23:39:51 | 显示全部楼层

我居然搜到了这个 刚学JS逆向 我的天 这个加密也太难了 为什么我输出显示乱码
回复

使用道具 举报

Ajian

发表于 2021-7-18 18:54:46 | 显示全部楼层

瞅瞅
回复

使用道具 举报