7Gowkt.png

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

前言

最近在看知识星球群聊的时候,发现有小伙伴在讨论酷某音乐的相关问题,之前也有星球成员私信询问这个案例。K哥一向是尽力满足粉丝需求的,本文就对该站进行逆向研究,该案例较为新奇,既能满足粉丝需求,也是对 wasm 逆向案例的补充与完善:

7GovR5.png

7GoWB3.png

逆向目标

  • 目标:酷某音乐,逆向分析
  • 地址:aHR0cHM6Ly93d3cua3Vnb3UuY29tLw==

抓包分析

进入首页,随机输入手机号,点击发送验证码,弹出验证码弹窗,进行抓包,有很多响应。经过分析,有用的接口为 send_mobileget_verfy_info

7GZzbe.jpg
经过首次 send_mobile 接口后会在响应协议头里返回 ssa-code:

7GZXq6.jpg

同时在 get_verfy_info 接口将会携带这个参数:

7GZ4RP.jpg

最终,通过该接口返回一个 sessionid,代表会话创建完毕,是全局唯一的标识符:

7GZCZw.jpg

然后,通过易盾点选/滑块验证码,发现会经过 v4/verify_user_info 进行验证:

7GZoO9.jpg

该接口参数很多,同时还观察到了有 wasm 相关的字样:

7Gd9fY.jpg

最终,再次调用 send_mobile 接口,status:1 则代表发送成功:

7GdBlH.jpg

经过抓包分析,我们需要逆向的参数为:miduuidsignatureparamspksidedt

逆向分析

mid、uuid 参数

点击发送按钮,然后我们查看 send 的堆栈,从第一个进入:

7GdNiL.jpg

然后搜索 mid: 发现有几处地方可疑,在这几处分别下断,最终在如下的地方成功断下来:

7GdQOV.jpg

我们进入 getKgMid 方法,发现他取了 cookie 中的 kg_mid,且这个值与我们刚刚看到的值相同,如果 cookie 中不存在该参数,那么将会调用下面的方法取浏览器的指纹信息,通过 md5 算法生成该值:

7GdulJ.jpg

所以我们直接利用 v_jstools 去 hook 一下该 cookie 参数是如何生成的,Hook 脚本如下:

(function () {
  'use strict';
  var cookieTemp = '';
  Object.defineProperty(document, 'cookie', {
    set: function (val) {
      if (val.indexOf('kg_mid') != -1) {
        debugger;
      }
      console.log('Hook捕获到cookie设置->', val);
      cookieTemp = val;
      return val;
    },
    get: function () {
      return cookieTemp;
    },
  });
})();

清空浏览器缓存,刷新发现成功断下,向上跟栈,找到该参数生成的位置如下:

7GdwVG.jpg

分析可知,该参数是通过生成 uuid 然后利用 md5 算法生成的,跟进 uuid 的生成函数中,其生成逻辑如下:

Guid: function() {
        function S4() {
            return (((1 + Math.random()) * 0x10000) | 0).toString(16).substring(1);
        }
        return (S4() + S4() + "-" + S4() + "-" + S4() + "-" + S4() + "-" + S4() + S4() + S4());
    }

至此 mid、uuid 参数就分析完毕了。

signature 参数

signature 参数同上也是全局搜索 signature 最终在该地方成功断下,其生成逻辑如下:

7GdhdP.jpg

将 url 中的 parm 参数与 data 参数进行拼接,然后分别调用 K.unshift(y) K.push(y) 在数组开头和结尾分别插入一个固定字符串,最终通过 join 将数组拼接成字符串进行 md5 加密生成 signature 参数。

params、pk 参数

params 参数就生成在 mid 参数下面,逻辑如下:

7GdxO6.jpg

通过将待加密的 obj 对象传入 AES 函数中,最后返回 key 与 encryptedStr 参数。我们进入 AES 函数查看其生成逻辑:

7Gd5iO.jpg

经过分析可知,通过随机生成 t ,然后将 t 经过指定的处理逻辑将其处理为 key 和 iv ,最后将加密参数与 t 一起返回,复现如下:

function AES_Encrypt(data) {
    // 将输入数据转换为JSON字符串
    const jsonString = JSON.stringify(data);

    // 生成随机密钥(Key)
    const generateRandomKey = (length) => {
        const chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
        let randomKey = '';
        for (let i = 0; i < length; i++) {
            randomKey += chars.charAt(Math.floor(Math.random() * chars.length));
        }
        return randomKey;
    };

    // 如果未提供密钥,则生成一个16字符的随机密钥
    key = generateRandomKey(16);

    // 使用MD5对密钥进行编码,并截取前32字符作为实际密钥
    const md5Key = md5_encode(key).substring(0, 32);

    // 如果未提供向量(IV),则使用密钥的最后16字符
    iv = md5Key.substring(md5Key.length - 16);

    // 将密钥和向量转换为CryptoJS的Utf8对象
    const cryptoKey = CryptoJS.enc.Utf8.parse(md5Key);
    const cryptoIv = CryptoJS.enc.Utf8.parse(iv);

    // 使用AES算法进行加密
    const encrypted = CryptoJS.AES.encrypt(jsonString, cryptoKey, {
        iv: cryptoIv,
        mode: CryptoJS.mode.CBC,
        padding: CryptoJS.pad.Pkcs7
    });

    // 将加密结果转换为Hex字符串
    const encryptedHexStr = CryptoJS.enc.Hex.stringify(CryptoJS.enc.Base64.parse(encrypted.toString()));

    return {
        key: key,
        encryptedStr: encryptedHexStr
    };
}

接着继续往下,发现 pk 是由 rsa 生成的,主要是对 key 进行了加密:

7GdDhj.jpg

进入 RSA.encrypt 函数,发现是一个公钥指数为 10001 类型为 NoPadding 的 RSA 加密:

7GdOr5.jpg

每次加密的结果都有且只有一个唯一值,经过引库或者 wt-js 进行复现,发现最终生成的加密值与其不同,最终我们将代码全部拿下,放到 nodepad 中:

7GdSem.jpg

发现其在一个大模块当中,我们将他改写为一个自执行函数,并且以模块的形式将他导入:

const RSA = require('./rsa'); // 引入保存的rsa.js文件

function rsa_encode(word){
    word = JSON.stringify(word)
    // 使用的公钥
    const publicKey = "B1B1EC76A1BBDBF0D18E8CD9A87E53FA3881E2F004C67C9DDA2CA677DBEFA3D61DF8463FE12D84FF4B4699E02C9D41CAB917F5A8FB9E35580C4BDF97763A0420A476295D763EE10174E6F9EBF7DF8A77BA5B20CDA4EE705DEF5BBA3C88567B9656E52C9CD5CD95CA735FF2D25F762B133273EEEB7B4F3EA8B6DA29040F3B67CD";
    
    // 使用 encrypt 函数进行加密
    const encryptedMessage = RSA.encrypt(word);
    return encryptedMessage
    
    }

最后与网页对照结果一致:

7Gd1w4.jpg

sid、edt 参数

解决完上面的参数以后,最终来到 sid 与 edt 参数这边,同样利用堆栈和搜索,快速定位到如下位置:

7GdCmU.jpg

发现其生成逻辑如下:

var t = new wasm_bindgen.EData;
e.sid = t.get_sid(),
e.edt = c

发现是先 new 了一个 wasm_bindgen 下的 EData 对象,我们进入 EData 里面查看,其逻辑为:

7GdXrs.jpg

我们全局搜索 wasm_bindgen 在该变量赋值的地方下一个断点,清除缓存,点击发送在初始化的位置成功断下:

7Gdjea.jpg

随后单步跟进,发现在该方法初始化完毕以后,在如下位置开始加载 wasm 文件:

7GdIy7.jpg

紧接着就准备与 WebAssembly (Wasm) 模块交互,具体来说,开始为 WebAssembly 实例配置导入对象 imports。当然这也是本文最最最恶心的部分,在交互部分进行了大量的检测。

原型链的检测:

7Gd2WJ.jpg

DOM 层相关检测:

7GeTs6.jpg

WebGL 原型链检测:

7GeBUw.jpg

7GekyP.jpg

WebGL 相关 API 操作检测:

7GepEO.jpg

如果我们还是像以往那样,在 node 中使用 WebAssembly 去加载 wasm 必然会出错,因为我们缺少对应的环境,所以我们需要将 verifycode.js 全部拉下来到本地,如下:

7GeLcQ.jpg

然后我们还是使用往期蜜雪的代理框架:最新雪王 type__1286 参数逆向分析,K哥带你免费喝一杯~

将我们的老生常谈的 document、window、navigator、canvas、location 等等全部挂上代理。

_instanceof 解析

原始代码如下:

function _instanceof(left, right) {
  if (right != null && typeof Symbol !== "undefined" && right[Symbol.hasInstance]) {
    return !!right[Symbol.hasInstance](left);
  } else {
    return left instanceof right;
  }
}
  • 使用 Symbol.hasInstance 进行类型检查

    • 如果 rightSymbol.hasInstance 方法,则调用并将 left 传递给 right[Symbol.hasInstance]
    • !! 用于将结果强转为布尔值,即如果返回值为真值 (truthy),则返回 true;否则,返回 false
  • 如果不满足前面的条件(即 right 为空,或者没有 Symbol.hasInstance 方法),则使用 JavaScript 内置的 instanceof 操作符进行类型检查。

    • left instanceof right 检查 left 是否是 right 的实例。

所以在补的时候就需要注意原型链的继承关系,比如 window 以及 navigator、canvas 等,这里举几个例子说明:

HTMLCanvasElement = function HTMLCanvasElement (){
}
canvas.__proto__=HTMLCanvasElement.prototype

function WebGLRenderingContext() {}

// 为 WebGLRenderingContext 添加 Symbol.hasInstance
 Object.defineProperty(WebGLRenderingContext, Symbol.hasInstance, {
  value: function (obj) {
    return obj && typeof obj === 'object' && obj.drawingBufferWidth !== undefined && obj.drawingBufferHeight !== undefined;
  }
}); 

在补的时候,可以去检测的地方插桩打印输出相关信息,或者可以直接修改 ret =true(前提你是得知道检测点在哪里):

7Ge0jf.jpg

又或者可以大胆尝试修改 _instanceof 函数,在不影响 wasm 加载的情况下,使其部分检测返回 true 也不为一种办法(当然前提你也得知道检测什么),无脑返回 true 可能会导致假值或者不能用的情况。

<img src="https://v1.ax1x.com/2024/08/20/7GeHQ9.gif" alt="7GeHQ9.gif" style="zoom:50%;" />

在整体代码全部补完以后,我们运行用网页上的方式去调用:

var t = new wasm_bindgen.EData;
console.log(t.get_sid())
console.log(t.get_edt())

发现提示如下错误:

7Gelpc.jpg

提示,我们的 wasm 下不存在该模块,但是当我们打印 wasm 的时候却发现 wasm 确确实实存在,且加载完成。进一步分析后得知,wasm 是 fetch 加载,而 fetch 又是异步的形式,所以当我们直接去调用的时候,肯定是调用不到的,同样需要写一个异步去调用:

setTimeout(() => {
             var t = new wasm_bindgen.EData;
            console.log(t.get_sid())
            console.log(t.get_edt())
                setTimeout = function(){}
}, 1000);

最终,我们用 node 起接口,将异步结果导出:

const express = require('express');
const app = express();
const port = 3000;
// 定义一个接口来获取get_sid和get_edt的值
app.get('/getValues', async (req, res) => {
    // 模拟延时并获取值
    setTimeout(() => {
        try {
            var t = new wasm_bindgen.EData(); 
            const get_sid = t.get_sid();
            const get_edt = t.get_edt();
        res.json({ get_sid, get_edt });
    } catch (error) {
        res.status(500).json({ error: error.message });
    }
}, 1000);
});

app.listen(port, () => {
    console.log(`Server is running on http://localhost:${port}`);
});

关于易盾的相关讲解,可以参考往期文章:【验证码识别专栏】通杀空间推理验证码训练与识别

结果验证

最终的实现流程如下:

7Gew2h.jpg


K哥爬虫
161 声望134 粉丝

Python网络爬虫、JS 逆向等相关技术研究与分享。