某东H5st 5.1.2版本逆向实战：从日志断点到参数拼接的完整扣码解析

1. 逆向分析前的准备工作

第一次接触某东H5st 5.1.2版本逆向时，我建议先准备好以下工具和环境。工欲善其事必先利其器，这些工具在后续的分析过程中会频繁使用：

• 抓包工具：Charles或Fiddler都可以，我个人习惯用Charles，界面更友好
• 浏览器开发者工具：Chrome DevTools是必备的，特别是它的Network和Sources面板
• Node.js环境：建议安装最新LTS版本，用于后续的代码调试和验证
• 代码编辑器：VSCode配合JavaScript调试插件会事半功倍

在实际操作前，我通常会先创建一个干净的测试环境。具体做法是打开Chrome的无痕模式，这样能避免浏览器插件对请求的干扰。然后登录某东账号，随便搜索一个关键词（比如"手机"），这时候Charles就能抓到搜索接口的请求了。

2. 定位加密函数入口

通过抓包分析搜索接口，我发现请求中有个特别的参数叫h5st。这个参数明显是经过加密处理的，长度固定为64位，由数字和小写字母组成。根据经验判断，这很可能是某东前端对请求做的签名校验。

在Sources面板中，我习惯先用全局搜索（Ctrl+Shift+F）查找"h5st"这个关键词。通常能很快定位到加密相关的代码段。找到疑似加密函数的位置后，我会在函数入口处打上断点，然后重新触发请求。

这里有个小技巧：不要直接在加密函数的第一行打断点，而是在函数被调用的地方打断点。因为加密函数可能被多处调用，这样能更清楚地看到调用栈和参数传递过程。

3. 分析加密函数结构

进入加密函数后，我发现核心逻辑是通过一个数组c来传递各种参数。这个数组在不同case分支中被不断修改，最终生成h5st参数。为了理清这个转换过程，我在switch语句的每个case分支都加上了console.log输出数组c的状态。

通过日志分析，我发现加密过程大致分为三个阶段：

1. 生成tk参数（一个固定值，变化频率很低）
2. 生成t6参数（一个长字符串，看起来像是多个数据拼接而成）
3. 将tk、t6等参数组合生成最终的h5st

在case 71处，我注意到有个函数调用生成了t6字符串。这个函数内部又调用了其他函数，形成了多层嵌套。为了不迷失在代码海洋中，我采用了"由外向内"的分析方法：先理清外层函数的输入输出，再逐步深入分析内部实现。

4. 拆解t6生成逻辑

t6字符串的生成是整个逆向过程中最复杂的部分。通过日志追踪，我发现它经历了两次关键转换：

1. 原始对象转为init对象
2. init对象转为最终的t6字符串

在case 26处打断点后，可以清晰地看到第一个转换过程。这里有个技巧：在日志输出时，我不仅打印变量值，还会输出变量的类型和长度。比如：

console.log('init对象:', typeof initObj, initObj.length, initObj)

第二个转换函数相对简单些，主要是将init对象进行某种编码处理。我直接把这个函数扣出来，在Node.js环境中单独测试，确认它的功能就是把特定格式的对象转为固定长度的字符串。

5. 处理动态参数

在分析过程中，我发现有些参数虽然是动态生成的，但设置为固定值也能请求成功。比如bu3和bu6这两个参数，分别代表head和body的子元素节点数。在实际逆向时，可以先把它们设为固定值，等主要逻辑跑通后再考虑动态生成。

对于随机数生成的部分，我找到了对应的random函数。有意思的是，虽然叫random，但其实是通过特定算法生成的伪随机值。我把这个函数完整扣出来后，发现它依赖于以下几个参数：

• 当前时间戳
• 页面加载时生成的种子值
• 用户操作触发的事件类型

6. 关键参数溯源技巧

当遇到多层嵌套的参数生成逻辑时，我总结出一个有效的分析方法：

1. 从最终生成的字符串开始，逆向查找其直接来源
2. 对每个中间变量都打日志断点，记录其生成过程和变化
3. 特别注意数组操作（如slice、splice、concat等）和位运算

比如在分析16位数组转4位数组的过程中，我发现代码对数组做了位置交换（第一位和第三位互换）。这种细节很容易被忽略，但却是还原算法准确性的关键。

7. 完整扣代码流程

经过上述分析，现在可以梳理出完整的扣代码步骤：

1. 先扣取最外层的加密函数框架，保留主要switch结构
2. 按照日志分析顺序，逐个扣取内部函数
3. 对每个扣取的函数进行独立测试，确保功能正确
4. 处理依赖关系，把需要用到的全局变量和工具函数都补全
5. 最后组装所有部分，生成完整的h5st参数

在实际操作中，我建议准备一个测试页面，把扣出来的代码逐步加入并验证。每次只添加一小部分功能，确保当前修改不会破坏已有逻辑。

8. 常见问题与解决方案

在逆向过程中，我遇到过几个典型问题，这里分享下解决方法：

问题1：扣出来的代码在本地运行报错这是因为漏掉了一些环境依赖。解决方法是在原页面通过Object.keys(window)查找所有用到的全局变量，然后在本地模拟这些环境。

问题2：生成的h5st参数长度不对通常是某个转换步骤出错。建议在每个关键步骤都输出参数长度，比如：

console.log('步骤3输出长度:', output.length)

问题3：请求返回签名错误这说明某些动态参数处理不正确。可以先用固定值替换所有动态参数，等请求成功后再逐个替换回动态生成逻辑。

9. 优化与调试建议

完成基本功能后，还可以做些优化提升代码质量：

1. 缓存固定参数：像tk这种变化频率低的参数可以缓存起来，不必每次重新生成
2. 错误处理：对可能出错的地方加上try-catch，避免整个流程中断
3. 日志分级：开发时用详细日志，上线后只保留关键错误日志
4. 性能监控：记录每个函数的执行时间，优化慢速操作

调试时我习惯用这样的日志格式：

console.log(`[${new Date().toISOString()}] [函数名] 参数:`, params)

这样可以清晰看到日志的时间顺序和调用关系。

10. 安全与合规注意事项

虽然我们已经完成了技术层面的逆向分析，但必须注意：

1. 这类分析仅限学习交流目的
2. 不要频繁请求以免对服务器造成压力
3. 分析过程中获取的任何用户数据都要妥善处理
4. 商业使用前务必确认相关合规要求

在实际项目中，我通常会加个请求频率限制，比如：

const delay = ms => new Promise(resolve => setTimeout(resolve, ms)) async function safeRequest() { await delay(1000) // 每次请求间隔至少1秒 // 发起请求的代码 }