声明
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!
逆向目标
目标:17xx 物流查询平台 last-event-id 参数逆向分析
网站:aHR0cHM6Ly93d3cuMTd0cmFjay5uZXQvemgtY24=
抓包分析
打开 F12
,映入眼帘的就是我们熟悉的 debugger
, 我们直接看它触发 debugger
的 js 文件:
又是经典的 ob 混淆, 这里直接借用 v佬 的插件快速还原,工具地址如下:
Github 仓库:https://github.com/cilame/v_jstools
在线分析工具:https://astexplorer.net
看了一下也不需要我们做另外的预处理操作了,只需要把代码 ob 混淆的部分放入工具内就可以还原了:
还原后,过 debugger
就容易多了,只需要将下面这几个关于代码检测的函数都删除掉,都是些无关的代码,检测代码格式化 、debugger
等:
然后再通过工具替换代码,这边选用 ReRes
工具进行替换,写好规则保存勾选就好了:
https://github.com/annnhan/ReRes
我们就可以正常抓包分析代码了,目标参数:
通过搜索 last-event-id
就可以定位到,其就在我们解完混淆的文件里:
解完混淆后代码就清晰可见,缺啥扣啥,一步步来就好了,代码也不多,可见 AST 解混淆的重要性。
注意点:
_0x308754 = YQ.configs.md5
来自首页 html 中,通过搜索可以确定:
- 请求需要携带 cookie 值
_yq_bid
并且要和生成last-event-id
中的_yq_bid
一致。
附上完整的 JS
代码:
var _0x199099 = [];
var _0x19d69d = "";
var _0x308754 = "17";
var _0x58ecad = 0;
var _0x269b49 = "";
var _0x288444 = 5;
function _0x5879b4(_0x56b807, _0x3603af) {
var _0x2f5b4a = 1315423911 ^ _0x3603af << 16;
var _0x4844e9;
var _0x4d42c4;
for (_0x4844e9 = _0x56b807.length - 1; _0x4844e9 >= 0; _0x4844e9--) {
_0x4d42c4 = _0x56b807.charCodeAt(_0x4844e9);
_0x2f5b4a ^= (_0x2f5b4a << 5) + _0x4d42c4 + (_0x2f5b4a >> 2);
}
return _0x4243f2(4),
Math.abs(_0x2f5b4a & 2147483647);
};
function _0x4243f2(_0x8916b) {
_0x199099[3] = _0x8916b;
}
function _0x1d212e(_0x3ffdba) {
if (!_0x3ffdba)
return 0;
var _0x9920fa = 5381;
var _0x55570f = _0x3ffdba.length;
while (_0x55570f) {
_0x9920fa = _0x9920fa * 33 ^ _0x3ffdba.charCodeAt(--_0x55570f);
}
return _0x9920fa >>> 0;
};
function _0x39b7cc(_0x18dcad) {
return _0x18dcad.split("").reverse().join("");
};
function _0x402770(_0x1e4f12) {
var _0x3bcbe3 = "";
for (var _0x5f5a6c = 0; _0x5f5a6c < _0x1e4f12.length; _0x5f5a6c++) {
if (_0x3bcbe3 == "")
_0x3bcbe3 = _0x1e4f12.charCodeAt(_0x5f5a6c).toString(16);
else
_0x3bcbe3 += _0x1e4f12.charCodeAt(_0x5f5a6c).toString(16);
}
return _0x3bcbe3;
};
;function _0x4293c9(_0x5b936d) {
function _0x44c5b9(_0x185712, _0x240a39, _0xc135ae, _0x4da978, _0x511583) {
return _0x56f850(_0x185712 - 152, _0x240a39 - 498, _0xc135ae - 247, _0x4da978 - -820, _0x240a39);
}
var _0x147e74 = _0x5b936d;
while (_0x147e74.length < 8) {
_0x147e74 = "0" + _0x147e74;
}
return _0x147e74;
}
;function _0x59789d(_0x20b526, _0x117056, _0x2c2317) {
var _0x26536c = _0x5879b4(_0x20b526, _0x117056);
if (_0x2c2317) {
_0x199099[5] = _0x4293c9(_0x26536c.toString(16));
return;
}
_0x199099[4] = _0x4293c9(_0x26536c.toString(16));
};
function _0x187331(_0xcae6a6) {
var _0x59eb35 = _0xcae6a6;
var _0x46a854 = Math.random();
_0x59eb35 = Math.round(_0x46a854 * _0xcae6a6);
_0x288444 = _0x288444 * _0x288444;
_0x199099[1] = _0x59eb35.toString(16);
_0x199099[2] = _0x59eb35.toString(16).length;
return _0x59eb35;
};
function createGUID(e, t) {
var o = (new Date).getTime();
return (e || "G-xxxxxxxxxxxxxxxx").replace(t || /[xy]/g, function(e) {
var t = (o + 16 * Math.random()) % 16 | 0;
return ("x" == e ? t : 7 & t | 8).toString(16).toUpperCase()
})
}
function get_last_event_id(_0x19d69d, YQ_md5){
_yq_bid = createGUID();
_0x4566f3 = undefined;
_0x59789d(_0x19d69d, _0x19d69d.length, !![])
_0x6de72e = _0x187331(43)
var _0x5d4d80 = "yq-";
_0x58ecad = _0x6de72e;
// 指纹信息 24: screen.colorDepth
cancas_fp = '24\r\nzh-CN\r\n-480\r\n1067x1707\r\n'
var _0x2b62a6 = _0x1d212e(cancas_fp);
var _0x5d74a6 = _0x1d212e(_0x4566f3);
if (_0x6de72e == 0)
_0x5d4d80 += "random";
else {
_0x5d4d80 = "dropdown-menu-footer yq-user-footer clearfix"; // 目测可以写死或者随机取
}
_0x269b49 = _yq_bid;
_0x5d4d80 = _0x269b49;
(_0x58ecad = _0x58ecad * 50,
_0x5d4d80 += ":" + false + ":" + _0x2b62a6 + ":" + _0x6de72e + ":" + _0x58ecad);
_0x5d4d80 += "/" + Date.now().toString(16) + "/11/" + true + "/" + new Date().getTimezoneOffset().toString() + "/" + _0x2b62a6 + "/" + YQ_md5 + "/" + _0x5d74a6;
_0x59789d(_0x5d4d80, _0x6de72e);
_0x5d4d80 = _0x402770(_0x39b7cc(_0x5d4d80));
_0x199099[0] = _0x5d4d80;
return [_0x199099.join(""), _yq_bid]
};
console.log(get_last_event_id('{"data":[{"num":"LZ025387152CN","fc":0,"sc":0}],"guid":"","timeZoneOffset":-480}', '22c342b'));
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。