网站 › 『脱壳破解区』 › 某团新版Web mtgsig1.2 算法解析

hybpjx 发表于 2024-9-14 15:03

某团新版Web mtgsig1.2 算法解析

``` markmap
# 前言
# 声明
# 流程
# a3
# a5
# a6
```

# 前言
最近工作有点小忙。没空更新，现在简单更新一下美团的吧
算法和环境更新了一下。某些接口请求几次就强校验了。今天简单来看看。

# 声明
本文章中所有内容仅供学习交流，抓包内容、敏感网址、数据接口均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关，若有侵权，请联系我立即删除！


# 流程

首先AST解混淆，把代码中b函数给解出来就行了。非常简单。

后面解完之后发现 环境代码非常之多。

这里算了。我补了一天最后还差了200多位。这里正常应该是476位。

这里就不多B了。之间开撸。



这里其实就是一个VMP。

层层入栈 直接插桩

```javascript
ki+1,kg["getUint8"](ki+1),kb
```




保存打印的日志。
​      

# a3





之间搜索dfpID的位置。



扣完 a3 即生成。



# a5

然后找到位置再插一波

如下图

```js
kR["apply"](kS, kP)
```



这里 可以看见 数组转换成字符串。那我们两个断点一起打着看看。



这里重新插一下一开始的位置



单步进栈。发现又是一个 switch 流程

那继续插



OK。那就继续插



定位到下图位置 单步调试跟栈



如下图 扣下来即可。后面就是考虑动态数组的问题了。



即lI，lJ,lK 三个值。那又要插装。

这里重新插装要打印全部值。

这里找到 0,1,2,3,4 ...256的地方。

重新插



这里动态数组。我们JSON.stringify 来分析下。

这里分析如下

```javascript
origin_arr =


// 需要与之运算的16位数组
encrypt_arr =


// 第一个
// 152+0 = 152   152 = 152+0232 第一个数组
152 + 31

1
// 结果
183

// 第二个
// 184+232 = 416   184 = 183+1232 第二个数组
416 + 31
447 - 256 || 447 % 256
// 结果
191


// 第三个
// 193+186   191+2186 第三个数组
379 + 31
410 - 256 || 410 % 256
// 结果
154


// 第四个
// 157 + 109154+3    109 第四个数组
266 + 31
297 - 256 || 297 * 256
// 结果
41

// ==== ..... 一组轮询完毕

// 第16个
// 231 + 56   216 + 1556 第15个数组
287 + 31
318 - 256 || 318 % 256
// 结果
62

// 第17个
// 78+152   62+16   152 第1个数组
230 + 31

261 - 256 || 318 % 256
```

这里直接保姆级教学了。

然后就可以整合算法了。

这里有个小坑~~~ 留着先自己弄弄



这里还有个地方 就是与之运算的16位数组了。

这个地方继续如下图插装



然后插装 13 39



然后发现 这一层是上一层kr = kR[\"apply"\](kS, kP) 生成的。

所以继续插装 这个位置的length

最后走到这个位置。

这里发现。有传参的两个值。第一个 是一串类似于hash加密的。

第二端是把这个值转换成数组。这个直接抠出来就可以。



这里继续回去看最外层的日志。

这里直接贴3张图。一眼就能看懂







至此的话。a5就算是搞定了。



# a6

直接老样子 根据日志 去插装



最后瞎JB一顿乱找 和 乱猜

定位点如下图所示



OK 这个函数直接缺啥扣啥。确实感觉没什么写的。

至此 a3 a5 a6 全部搞定。



后面拼出来就行了。

然后找几个关键校验的接口 这里我用的是某Boking 去测试的。至于 还有a8 和 d1 。。 只能说待续

福仔 发表于 2024-10-13 17:11

最近也在搞这个, 完完全全的一个js新手来搞这玩意, 还好可以动态调试, 能知道正确的执行结果是怎样, 好难, 搞了10来天了, 现在好像是a4, a5 没搞定
a3是服务器返回的一个值, a2也需要服务器返回的一个时间戳
a4是基于a5的基础上进行加密
a6就是环境的加密, a7是小程序id, 可以在源码里写死, x0源码里写死, d1是前面a1-a7运算后进行一个MD5操作
如果a4-a6没错的话, d1一般就没错
有难度的就 a4, a5, a6, a2和a3需要加密一段数据post到服务器, 服务器那边返回a3和服务器时间戳, 这个加密比a6要简单
现在就差a4和a5, 不知道有没有交流交流的

植物大战僵尸 发表于 2024-9-15 09:24

其实我想问问这样做的结果 是什么
‘

tomanpj 发表于 2024-9-15 00:16

绕来绕去，头都晕了，膜拜高手

Xiaosesi 发表于 2024-9-14 16:27

涨知识了，大厂的算法都很难匿

多重色彩 发表于 2024-9-14 17:10

涨知识了，大厂的算法真牛逼

liujiadao233 发表于 2024-9-14 18:14

技术帖，学习学习

beyondzb 发表于 2024-9-14 21:22

牛感谢分享

justwz 发表于 2024-9-14 21:48

跟着大佬学逆向

dfg63678 发表于 2024-9-14 21:52

这确实复杂啊

liyunchao 发表于 2024-9-14 23:28

牛 这是真牛

randeqiang 发表于 2024-9-14 23:56

确实复杂啊

查看完整版本: 某团新版Web mtgsig1.2 算法解析