某东和文泉在线阅读epub解密
本帖最后由 我是不会改名的 于 2022-5-12 17:37 编辑# 在线阅读epub解密简单分析
参考文章:
1. (https://www.runoob.com/js/js-tutorial.html)
2. (https://www.52pojie.cn/home.php?mod=space&uid=557195&do=thread&view=me&order=dateline&from=space&page=2)
3. 反爬虫AST原理与还原混淆实战(微课视频版)
4. (https://blog.csdn.net/oldguncm/article/details/9708323)
5. (https://www.52pojie.cn/thread-1572529-1-1.html)
6. [某网站webpack逆向](https://www.52pojie.cn/thread-1613466-1-1.html)
7. (https://www.52pojie.cn/thread-1097692-1-1.html)
8. (https://jwt.io/)
## 前言
测试的网址都比较简单,适合新手练手,我也刚学
本文仅仅针对标准的epub格式,有兴趣可以去了解下,这里放一张图对比。仅仅涉及解密过程,不涉及下载。
!(https://img02-xusong.taihe.com/311EE51B-59EA-4CF0-9E56-EDFC3A4267B8.png)
温馨提示,本文内容仅做学习交流,禁止用于批量或非法爬取。如有侵犯你的权益请联系我,将于24h内删除。
## 某东专业版pc+h5_1
目标网站:dG9iLW0uamQuY29t,aHR0cHM6Ly9neC5qZC5jb20vZ3gvZ3hfaW5kZXguYWN0aW9u;
打开网站,随便打开一本书,按下F12,先别刷新,直接点下一章,因为这样方便定位请求的地址
!(https://img02-xusong.taihe.com/E0083135-E290-4FF5-A5A8-3229BA1FE8BD.png)
很明显请求的就是这个地址,但k后面的内容以及响应的内容貌似是加密的,先分析请求中的k值,注意前面的关键词read_chapter.action,直接搜索,很容易定位到这里,下个断点,刷新,在控制台执行一下代码
!(https://img02-xusong.taihe.com/D0870333-2DFE-4160-AF5B-847CA3AC4E9E.png)
很好就是这个,跟下去,格式化一下,点左下角{}
!(https://img02-xusong.taihe.com/CC3829EC-BBE1-4262-B815-433F3F68314E.png)
```javascript
var _0xodF='jsjiami.com.v6',
*********
_0x49ac=_0xodF='jsjiami.com.v6';
```
jsjiami.com.v6加密的,有兴趣的看一下上面提到的ast系列文章,尝试还原一下,在附件里面我上传了混淆和还原后的js
!(https://img02-xusong.taihe.com/749DFD3D-E64B-481A-8A65-E2092E52DAB5.png)
因为很短就直接分析了懒得替换,搜索关键词readType,定位到关键代码,下个断点,在控制台中执行关键的代码,很容易发现原始和加密后的数据
!(https://img02-xusong.taihe.com/6F74F110-3149-4571-AA2E-B4E43A4F27F9.png)
然后又是一个混淆了的,和上面一样,不多讲了,很短没必要还原,直接看就行了
```javascript
var pc1 = new PC1();
function encryption(_0x30c8da) {
var _0x138c44 = {
'ovOTw': _0x1ad9('5d', 'ch8w')
};
return pc1(pc1(pc1['utf16ToBytes'](_0x30c8da), pc1['stringToBytes'](_0x138c44['ovOTw']), ![]));
}
function decryption(_0x547fb5) {
var _0x156c4 = {
'EapRO': _0x1ad9('60', 'tlv1')
};
return pc1['bytesToUtf16'](pc1(pc1['hexToBytes'](_0x547fb5), pc1(_0x156c4['EapRO']), !![]));
}
```
很明显了下面是写了一个调用上面的函数,看不懂,没关系,只需要知道,加密是函数 encryption同时传入了参数_0x30c8da(从上面可知是{"encrypt":1,"bookId":"30734545","chapterId":"90594508"}),然后干了啥,不需要知道,直接保存下来,用python调用,因为很短,逻辑很清晰可以这样,执行py,网页返回的信息,完全一样,没有问题。
!(https://img02-xusong.taihe.com/33FFC6C3-107E-4A3F-825D-92834051E019.png)
然后就是解密响应内容了,根据上面的分析,很容易发现,在加密的下面,就是解密,同样的调用js,解密内容。
```python
decryption = context.call("decryption", content)
原始数据 {"encrypt":1,"bookId":"30734545","chapterId":"90594508"}
加密后的内容 c32bc*******c9493
返回的数据 3d7bddef9dad847e1bb12aae18 ****省略***456b9af5
解密后的内容 {"contentList":[{"content":"<?xml version=\"1.0\" encoding=\"utf-8\" standalone=\"no\"?><!DOCTYPE html PUBLIC \****省略***\/html>"}]}
```
很明显content里面的内容就是我们所需要的,具体怎么处理转换成epub就不讲了,我也不会,可以自己了解一下epub格式。
还剩最后一个问题,chapterId,是从哪里来的,直接搜什么内容也没有,那么很明显了就是加密的,直接搜关键词chapterId,发现有很多。
但我们前面,讲了一个加密解密的方法,那么很明显,按照摸鱼三大法则,大胆猜测肯定也在这里附近,直接在加密和解密这下个断点,刷新,果然发现了和之前的不一样,原始数据没有chapterId,再继续执行,看返回后的数据解密后,果然
chapterId就在这里面,虽然名字不叫chapterId,但看长度一搜明显就是,到此关键的部分结束了。
!(https://img02-xusong.taihe.com/0B86A2FB-2D44-4583-A793-8085D99FE8EB.png)
这里分析的是H5-1,pc网页和这个是完全一样的只是名字稍微改了一下,就不多讲了。
## 某东专业版H5-2
测试网站:aHR0cHM6Ly9tLXRvYi5qZC5jb20vcmVhZGVydG9iL3JlYWRlcj9lYm9va0lkPTMwNjc0MDQ3
重复上面的第一步,然后定位到关键的位置
!(https://img02-xusong.taihe.com/A8B6AFB9-1E54-451D-9034-390F8B962B3D.png)
是个webpack,有兴趣可以了解一下,同样搜索关键词,定位到关键函数
```javascript
enData: function(e) {
var t = this.getKey(this.time)
, n = this.encrypt(e.split("?"), t, this.time);
return e = e.split("?") + "?enc=1&app=" + this.app + "&tm=" + this.time + "¶ms=" + encodeURIComponent(n)
}
```
控制台执行,发现多了很多未知的参数
!(https://img02-xusong.taihe.com/9126CCF2-8CC4-4419-BAFD-3D9A026567CB.png)
先不管,后面再来解决,继续跟进
```javascript
return n % 2 == 0 ? this.AESEncrypt(e, t) : this.DESEncrypt(e, t)
```
那么很明显了,根据上面n是时间戳,根据时间戳为奇数或者偶数分为了,AES和DES,为了方便我把时间戳写死了,写成偶数,因为不太熟悉DES。
继续执行,发现就是一个AES/ECB/Pkcs7,然后e为待加密的内容,t取md5值作为key
```javascript
AESEncrypt: function(e, t) {
var n = U.a.enc.Utf8.parse(e)
, o = U.a.MD5(U.a.enc.Utf8.parse(t));#取
return U.a.AES.encrypt(n, o, {
mode: U.a.mode.ECB,
padding: U.a.pad.Pkcs7
}).toString()
}
```
防止魔改,用其他软件实现对比一下,没有问题
!(https://img02-xusong.taihe.com/34D43522-C1AC-4FFA-8AEC-38FE52C384F8.png)
然后查看返回数据发现仍然是加密的,同样的根据摸鱼三大定律,解密部分就在加密下面,根据时间戳来判断解密方式,e为加密内容,t取md5值作为key
```javascript
AESDecrypt: function(e, t) {
var n = U.a.MD5(U.a.enc.Utf8.parse(t))
, o = U.a.AES.decrypt(e, n, {
mode: U.a.mode.ECB,
padding: U.a.pad.Pkcs7
});
return U.a.enc.Utf8.stringify(o).toString()
}
```
!(https://img02-xusong.taihe.com/4D427470-A918-4477-900F-4EB96B74F522.png)
那么就只剩下上面提到的一些参数了,随便搜一下,team_id是学校的编号固定的,cookie里面有,就不分析了
```
/jdread/api/download/chapter/30470981?app=tob-web&tm=1651292175581&team_id=*****&uuid=****&client=pc&os=web&sign=*****
```
搜索关键词uuid,定位到关键代码,下断点
```
getUuid: function(e) {
var t = ""
, n = Q.a.get("u") || "";
return e.uuid ? t = e.uuid : (n ? localStorage.setItem("_u", n) : (n = localStorage.getItem("_u")) || (n = "h5" + this.guid(),
localStorage.setItem("_u", n)),
t = n),
_e.uid || t
}
```
结果发现信息在这之前就有了,无论怎么调试,一直都找不到关键位置
凭借我初中水平(因为小学没学英语)的英语注意到localStorage(本地**),说明在这之前就存入了
那么我们先清空,控制台输localStorage.clear(),刷新发现回到了登录界面,很明显了,多半就是登录的时候写入了,搜索关键词,下断点,刷新,进入关键函数
这里需要自己扣代码,或者一步步调试进入js,详情可以看看上面的webpack,关键就差不多这样,结果意外发现sign也在这里,先记住,在这里明显看出,uuid:h5+guid(),那么进入关键函数
```
import Cookies from 'js-cookie'
import md5 from 'blueimp-md5'
import { HOST, APP } from './global'
import { getQuery, guid, getOS } from './common'
*******
if (url.indexOf('uuid=') === -1) {
if (u) {
localStorage.setItem('_u', u)
} else {
u = localStorage.getItem('_u')
if (!u) {
u = 'h5' + guid()##########
localStorage.setItem('_u', u)
}
*********
// 加密内容*********
const salt = md5(app + time + uuid)
return salt
*********
// 加密签名
*********
const sign = md5(salt + URI + queryString)
*********
// WEBPACK FOOTER //
// ./src/utils/encrypt.js
```
发现就是最常用生成的uuid的方法,那就没什么好讲的了,自行百度吧。
```
import { mediaWidth } from '../config'
**********
// 生成唯一id
const guid = () => {
function S4 () {
return (((1 + Math.random()) * 0x10000) | 0).toString(16).substring(1)
}
return (S4() + S4() + S4() + S4() + S4() + S4() + S4() + S4())
}
**********
// WEBPACK FOOTER //
// ./src/utils/common.js
```
然后只剩下sign了,上面已经提到了sign加密函数,就简单看一下,首先是对取(app + time + uuid)的MD5值得到salt,app对应类型tob-web是固定的,time是时间戳,uuid就是上面提到的,为了方便同样把时间写死,然后再对salt + URI + queryString取MD5值,url和queryString自己看图,和前面的进行对比完全一样,到此所有加密参数都基本搞定了
!(https://img02-xusong.taihe.com/2F319F3E-048E-416D-9FE2-8AC94FFDF404.png)
## 某学堂
aHR0cHM6Ly93cWJvb2sud3F4dWV0YW5nLmNvbS9kZWVwL3JlYWQvZXB1Yj9iaWQ9MTAzNzQx
学堂有两个部分需要解密,第一个就是,请求内容时候的k值,这里面(https://www.52pojie.cn/thread-1097692-1-1.html)说的很清楚了,自己去看看吧。
然后呢对于pdf来说,返回的就是图片,不用解密,但对于epub来说返回的数据还是加密的,还需要继续解密,直接开搞
快速定位到相关位置,点进去。
!(https://img02-xusong.taihe.com/C900CCE4-4871-4989-8156-B4F2F8F4A565.png)
!(https://img02-xusong.taihe.com/1456C4D0-795F-41D3-B618-AE2802982C36.png)
一个ob混淆,而且很大,试了下一键还原的插件不行,那么自己想办法还原,整个五一加一周学了下ast。
然后准备先还原js,还原之前,先大致了解js内容,看图吧。
先分析下第一个整体结构,大致就这样。
!(https://img02-xusong.taihe.com/785789CF-8290-4189-A070-29F428A230F9.png)
再分析内部的基本结构与逻辑。
!(https://img02-xusong.taihe.com/38C53CE7-8473-4512-9793-B98BBAE0F515.png)
!(https://img02-xusong.taihe.com/0A975458-E893-44AA-8D11-B03AB504924D.png)
!(https://img02-xusong.taihe.com/0197EC74-14ED-4245-8640-05C1959E210B.png)
删除第一个,继续分析下一个,就简单分析一下
!(https://img02-xusong.taihe.com/567041A5-29D4-4E57-B075-78647CF958E1.png)
!(https://img02-xusong.taihe.com/A28647B1-5D45-466F-8779-A8A14780686D.png)
后面没啥好讲的了,基本就是平坦流,花指令啊之类的,基本可以用插件一键还原。
然后花了,整个五一假期门都没出加一周学ast,还原js,结果
!(https://img02-xusong.taihe.com/FA1A5BCB-FCF8-4548-8C46-6E57272C29E2.jpg)
!(https://img02-xusong.taihe.com/60E0FF1B-E737-4358-85D2-5DBAC2F670D9.png)
没什么好说的了,就是CryptoJS,改了下,重新分析网页
既然返回的数据是加密的,对于js来说,肯定要解析内容,转化成数组,直接搜Uint8Array,定位到解密后的函数
!(https://img02-xusong.taihe.com/35CEB561-A3E6-4B0C-908C-40FC673F87A4.png)
运气很好,很快注意到,response以及,Uint8Array(t);,这里面创建了很多数组,注意我标注的位置,后面都有用到,唯一有一个,dpbt函数是自己写的,反混淆后长这样。
!(https://img02-xusong.taihe.com/5A891630-6D0B-4B90-B15A-05AE8FFB36E1.png)
```
dpbt = function(t) {
for (var r = new Uint8Array(4), e = r.length - 1, i = t.length - 1; e >= 0; e--,
i--)
r = i >= 0 ? t : 0;
var n = (255 & r) << 24
, o = (255 & r) << 16
, a = (255 & r) << 8
, s = 255 & r;
return n + o + a + s
}
```
其实,对于解密epub来说,可以看出来,o始终是定值,那么a也始终是定值48,很容易想到16+32,大胆猜测,算了继续看下去吧。
继续跟进,来到了今天的正题。
首先传进来了几个值,t就是上面的l,n是上面的f,i是CryptoJS,其余两个没啥用。然后就开始了两次AES/ECB解密,第一次就用到了前面提到的16+32,第二次就用第一次解密后的内容作为key解密epub内容,但要注意解密的并不是全部返回数据,而是去掉了前十位后的数据再解密,至此解密完成了。
!(https://img02-xusong.taihe.com/2BF09459-6887-4025-AC31-A03B1DC89328.png)
再用软件还原对比一下,防止魔改。
!(https://img02-xusong.taihe.com/09AFBC43-8DCF-48D5-884D-8A4D6009B525.png)
很好,没有问题,到此全部结束了,原本还打算继续加一个圣才(很简单)和可知(很麻烦)的,是在没时间了,看后续有时间再继续写。
大部分内容能给的都上传到附件了,就别问我了,没写下载软件也不会。
[附件](https://nicaicai.lanzouh.com/i7dqM04o1m8f) @无敌小儿
@poke2008
(4/6更新) 密码学工具 v1.12.3~~新版本全功能发布,按需配置~~
https://www.52pojie.cn/thread-1501153-1-1.html
(出处: 吾爱破解论坛)
本帖最后由 侃遍天下无二人 于 2023-5-20 11:54 编辑
其实如果只是想把资源搞下来的话,某学堂那个还真不需要费劲解密,可以这样
document.querySelector("#iFrame").contentDocument.documentElement.ownerDocument.querySelector("body")
然后把每个结果处理下单独保存到html文件中就行了,具体代码如下,这个可比下pdf简单多了
// ==UserScript==
// @name 文泉epub下载
// @namespace http://tampermonkey.net/
// @version 0.1
// @description下载文泉学堂的epub格式图书,将内容保存在一个压缩包中,后续可以用pandoc处理
// @author kbtx
// @match https://*.wqxuetang.com/deep/read/epub?bid=*
// @match http://*.wqxuetang.com/deep/read/epub?bid=*
// @icon https://www.google.com/s2/favicons?sz=64&domain=wqxuetang.com
// @require https://cdn.bootcdn.net/ajax/libs/jszip/3.7.1/jszip.min.js
// @grant none
// ==/UserScript==
(function() {
'use strict';
// Your code here...
let button = document.createElement('button');
button.textContent = '正在初始化...';
// 设置按钮的样式
button.style.position = 'fixed';
button.style.bottom = '150px';
button.style.right = '50px';
document.body.appendChild(button);
// 设置延迟,防止网页未加载导致的问题
setTimeout( ()=>{
let btn_prev = document.querySelector("#pagebox > div.read-content-btn-wrapper > a:nth-child(1)")
let btn_next = document.querySelector("#pagebox > div.read-content-btn-wrapper > a:nth-child(2)")
let btn_single_layout = document.querySelector("#app > div.page > div.read-header > div > div.read-header-left > div:nth-child(3) > div > div.popup-item.infeed-wrapper > div.popup-content-row > a:nth-child(1)")
let current_page_count = 0;
let zip = new JSZip();
// 打包并下载zip
function packZip(){
zip.generateAsync({ type: 'blob' }).then(blob => {
const link = document.createElement('a');
link.href = URL.createObjectURL(blob);
// 将文件命名为 "当前书名.zip"
link.download = document.querySelector("#app > div.page > div.read-header > div > div.read-header-title").innerText + ".zip";
link.click();
});
}
button.textContent = '立即导出已有内容';
button.addEventListener('click', packZip);
let page_switcher = setInterval( ()=>{
// 如果当前找不到翻页按钮,说明在双栏布局下,此时切换到单栏布局,并重新定位翻页按钮
if(!btn_next || !btn_next.click){
btn_single_layout.click();
btn_prev = document.querySelector("#pagebox > div.read-content-btn-wrapper > a:nth-child(1)")
btn_next = document.querySelector("#pagebox > div.read-content-btn-wrapper > a:nth-child(2)")
}
current_page_count++;
if(btn_next.classList === 'disabled'){
// 已经到达最后一页,清理定时器
clearInterval(page_switcher);
packZip();
}else{
// 由于可能切换布局导致重新加载,这里要略微延迟一下,等待浏览器重新排版
setTimeout( ()=>{
// 获取到的页面数据,格式为html
let page_data = document.querySelector("#iFrame").contentDocument.documentElement.ownerDocument.querySelector("body").innerHTML;
// 将data-src中的图片地址替换掉src的
page_data = page_data.replaceAll('data-src', 'data-sss')
.replaceAll(/src="([^"]*)"/g, '')
.replaceAll('data-sss', 'src');
// 将数据存入压缩包中
zip.file(current_page_count.toString().padStart(4, '0')+'.html', page_data)
// 先获取数据再翻页,可以确保所需数据已经加载
btn_next.click();
},500);
}
}, 5000 )
}, 5000 )
})(); 努力学习生争取早日白嫖 谢谢分享 感谢分享,辛苦了 我是来学习的!谢楼主! 收藏,慢慢看,向大佬学习 认真学习 小声逼逼,某东开发者这也太掉价了,用这种玩意加密。。。
不知道小偷会偷代码吗。。。
感谢分享,太详细了