某易九批x-sign逆向wasm分析
仅供学习使用,如有侵权,联系删除文章!!!
仅供学习使用,如有侵权,联系删除文章!!!
url = aHR0cHM6Ly93d3cueWlqaXVwaS5jb20vIy9pbmRleC9saXN0P3NlYXJjaEtleT0lRTglOEMlODUlRTUlOEYlQjAmZmlyc3RDYXRlZ29yeUlkPSZzb25DYXRlZ29yeUlkPSZicmFuZElkPSZpbWduYW1lPQ==来到这个网站,这个网站也是更新了一波,之前是没上wasm的,首先是一个debugger,直接hook过掉。
Function.prototype.__constructor_back = Function.prototype.constructor ; Function.prototype.constructor = function() { if(arguments && typeof arguments[0]==='string'){ //alert("new function: "+ arguments[0]); if( "debugger" === arguments[0]){ // arguments[0]="consoLe.Log(\"anti debugger\");"; //arguments[0]=";"; return } } return Function.prototype.__constructor_back.apply(this,arguments); };找到需要的数据包,如果直接去请求,会出现419的响应状态码观察到请求头中有有一些需要分析的参数
这里直接搜索定位到参数生成位置
首先是"x-sign-timestamp"和"x-sign-nonce"参数,这里是主要的生成逻辑
for (var c = [], i = "0123456789abcdefghijklmnopqrstuvwxyz", u = 0; u < 36; u++) c[u] = i[r(416)](Math["floor"](16 * Math[r(378)]()), 1); c[14] = "4", c[19] = i[r(416)](3 & c[19] | 8, 1), c[8] = c[13] = c[18] = c[23] = "_"; var s = c[r(410)]("") , d = (new Date)[r(386)]() / 1e3 , l = parseFloat(localStorage["getItem"]("local_init_time") || d) , f = parseFloat(localStorage["getItem"]("server_init_time") || d) , p = f + (d - l); p = (p + "")[r(389)](".")[0],s就是"x-sign-nonce",p就是"x-sign-timestamp","x-sign"是由e["a_h"](y, g)生成的,y就是"x-sign-timestamp",g = e[r(411)](v, t["url"], p, s, m)
这个里面m是对请求参数做了一个sha1加密, e[r(411)]方法里面就是一个wasm
function h(e, n, t, a, i) { var o, u; try { var _ = l(e, r.__wbindgen_malloc, r.__wbindgen_realloc) , s = c , f = l(n, r.__wbindgen_malloc, r.__wbindgen_realloc) , d = c , b = l(t, r.__wbindgen_malloc, r.__wbindgen_realloc) , w = c , y = l(a, r.__wbindgen_malloc, r.__wbindgen_realloc) , v = c , h = p(i) ? 0 : l(i, r.__wbindgen_malloc, r.__wbindgen_realloc) , m = c , x = r.b_r(_, s, f, d, b, w, y, v, h, m); return o = x[0], u = x[1], g(x[0], x[1]) } finally { r.__wbindgen_free(o, u, 1) } }将wasm文件下载下来做导出调用就可以了,这样就得到了g,然后通过e["a_h"]加密就得到了需要的x-sign,e["a_h"]就是这个y函数。
function y(e, n) { var t, a; try { var i = l(e, r.__wbindgen_malloc, r.__wbindgen_realloc) , o = c , u = l(n, r.__wbindgen_malloc, r.__wbindgen_realloc) , _ = c , s = r.a_h(i, o, u, _); return t = s[0], a = s[1], g(s[0], s[1]) } finally { r.__wbindgen_free(t, a, 1) } }最后看一下实现的效果如果加密参数有问题的话,请求一般是报403,报419一般都是时间戳的问题。