7xrWpJ.png

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

逆向目标

目标:17xx 物流查询平台 last-event-id 参数逆向分析

网站:aHR0cHM6Ly93d3cuMTd0cmFjay5uZXQvemgtY24=

抓包分析

打开 F12 ,映入眼帘的就是我们熟悉的 debugger , 我们直接看它触发 debugger 的 js 文件:

7xv4uJ.png

7xvCOG.png

又是经典的 ob 混淆, 这里直接借用 v佬 的插件快速还原,工具地址如下:

Github 仓库:https://github.com/cilame/v_jstools

在线分析工具:https://astexplorer.net

看了一下也不需要我们做另外的预处理操作了,只需要把代码 ob 混淆的部分放入工具内就可以还原了:

7xvjlt.png

还原后,过 debugger 就容易多了,只需要将下面这几个关于代码检测的函数都删除掉,都是些无关的代码,检测代码格式化 、debugger 等:

7xvnVb.png

7xvIJe.png

7xvfTP.png

然后再通过工具替换代码,这边选用 ReRes 工具进行替换,写好规则保存勾选就好了:

https://github.com/annnhan/ReRes

7xvihw.png

7xrU2P.png

我们就可以正常抓包分析代码了,目标参数:

7xvsY6.png

通过搜索 last-event-id 就可以定位到,其就在我们解完混淆的文件里:

7xv2dO.png

7xvFwQ.png

解完混淆后代码就清晰可见,缺啥扣啥,一步步来就好了,代码也不多,可见 AST 解混淆的重要性。

注意点:

  • _0x308754 = YQ.configs.md5 来自首页 html 中,通过搜索可以确定:

7xvZOf.png

  • 请求需要携带 cookie 值 _yq_bid 并且要和生成 last-event-id 中的 _yq_bid 一致。

附上完整的 JS 代码:

var _0x199099 = [];
var _0x19d69d = "";
var _0x308754 = "17";
var _0x58ecad = 0;
var _0x269b49 = "";
var _0x288444 = 5;
function _0x5879b4(_0x56b807, _0x3603af) {
    var _0x2f5b4a = 1315423911 ^ _0x3603af << 16;
    var _0x4844e9;
    var _0x4d42c4;
    for (_0x4844e9 = _0x56b807.length - 1; _0x4844e9 >= 0; _0x4844e9--) {
        _0x4d42c4 = _0x56b807.charCodeAt(_0x4844e9);
        _0x2f5b4a ^= (_0x2f5b4a << 5) + _0x4d42c4 + (_0x2f5b4a >> 2);
    }
    return _0x4243f2(4),
    Math.abs(_0x2f5b4a & 2147483647);
};

function _0x4243f2(_0x8916b) {
    _0x199099[3] = _0x8916b;
}


function _0x1d212e(_0x3ffdba) {
    if (!_0x3ffdba)
        return 0;
    var _0x9920fa = 5381;
    var _0x55570f = _0x3ffdba.length;
    while (_0x55570f) {
        _0x9920fa = _0x9920fa * 33 ^ _0x3ffdba.charCodeAt(--_0x55570f);
    }
    return _0x9920fa >>> 0;
};

function _0x39b7cc(_0x18dcad) {
    return _0x18dcad.split("").reverse().join("");
};


function _0x402770(_0x1e4f12) {
    var _0x3bcbe3 = "";
    for (var _0x5f5a6c = 0; _0x5f5a6c < _0x1e4f12.length; _0x5f5a6c++) {
        if (_0x3bcbe3 == "")
            _0x3bcbe3 = _0x1e4f12.charCodeAt(_0x5f5a6c).toString(16);
        else
            _0x3bcbe3 += _0x1e4f12.charCodeAt(_0x5f5a6c).toString(16);
    }
    return _0x3bcbe3;
};

;function _0x4293c9(_0x5b936d) {
    function _0x44c5b9(_0x185712, _0x240a39, _0xc135ae, _0x4da978, _0x511583) {
        return _0x56f850(_0x185712 - 152, _0x240a39 - 498, _0xc135ae - 247, _0x4da978 - -820, _0x240a39);
    }
    var _0x147e74 = _0x5b936d;
    while (_0x147e74.length < 8) {
        _0x147e74 = "0" + _0x147e74;
    }
    return _0x147e74;
}

;function _0x59789d(_0x20b526, _0x117056, _0x2c2317) {
    var _0x26536c = _0x5879b4(_0x20b526, _0x117056);
    if (_0x2c2317) {
        _0x199099[5] = _0x4293c9(_0x26536c.toString(16));
        return;
    }
    _0x199099[4] = _0x4293c9(_0x26536c.toString(16));
};

function _0x187331(_0xcae6a6) {
    var _0x59eb35 = _0xcae6a6;

    var _0x46a854 = Math.random();
    _0x59eb35 = Math.round(_0x46a854 * _0xcae6a6);
    _0x288444 = _0x288444 * _0x288444;
    
    _0x199099[1] = _0x59eb35.toString(16);
    _0x199099[2] = _0x59eb35.toString(16).length;
    return _0x59eb35;
};

function createGUID(e, t) {
    var o = (new Date).getTime();
    return (e || "G-xxxxxxxxxxxxxxxx").replace(t || /[xy]/g, function(e) {
        var t = (o + 16 * Math.random()) % 16 | 0;
        return ("x" == e ? t : 7 & t | 8).toString(16).toUpperCase()
    })
}




function get_last_event_id(_0x19d69d, YQ_md5){
    _yq_bid = createGUID();
    _0x4566f3 = undefined;
    _0x59789d(_0x19d69d, _0x19d69d.length, !![])
    _0x6de72e = _0x187331(43)


    var _0x5d4d80 = "yq-";
    _0x58ecad = _0x6de72e;

    // 指纹信息 24: screen.colorDepth
    cancas_fp = '24\r\nzh-CN\r\n-480\r\n1067x1707\r\n'

    var _0x2b62a6 = _0x1d212e(cancas_fp);
    var _0x5d74a6 = _0x1d212e(_0x4566f3);

    if (_0x6de72e == 0)
    _0x5d4d80 += "random";
    else {
    _0x5d4d80 = "dropdown-menu-footer yq-user-footer clearfix";   // 目测可以写死或者随机取
    }
    _0x269b49 = _yq_bid;


    _0x5d4d80 = _0x269b49;
    (_0x58ecad = _0x58ecad * 50,
    _0x5d4d80 += ":" + false + ":" + _0x2b62a6 + ":" + _0x6de72e + ":" + _0x58ecad);
    _0x5d4d80 += "/" + Date.now().toString(16) + "/11/" + true + "/" + new Date().getTimezoneOffset().toString() + "/" + _0x2b62a6 + "/" + YQ_md5 + "/" + _0x5d74a6;
    _0x59789d(_0x5d4d80, _0x6de72e);
    _0x5d4d80 = _0x402770(_0x39b7cc(_0x5d4d80));
    _0x199099[0] = _0x5d4d80;
    return [_0x199099.join(""), _yq_bid]

};

console.log(get_last_event_id('{"data":[{"num":"LZ025387152CN","fc":0,"sc":0}],"guid":"","timeZoneOffset":-480}', '22c342b'));

结果验证

7xvdic.png


K哥爬虫
166 声望146 粉丝

Python网络爬虫、JS 逆向等相关技术研究与分享。