猿人学爬虫攻防赛 第10题
题目地址
https://match.yuanrenxue.com/match/10
总的评价:4代R数的低配静态版的壳 + jsjiami.com.v6 + obfuscator
最近学习了AST拿这个题试一下水,从编写提高代码可读性的插件、搭建本地调试环境、扣代码花了整整3天,最后成功的一刻,喜悦满溢。
调试工具和本地调式环境的搭建
确保安装以下软件或环境
- fiddler 使用AutoResponser 替换响应 用于搭建调试环境
- python 和 nodejs 环境和相关依赖,如python的flask nodejs的express等
- chrome 开发者工具
- 启动调试代码中
app.py
- 在fiddler AutoResponer中添加两条规则(如图所示)
EXACT:https://match.yuanrenxue.com/match/10 -> http://127.0.0.1:5000/10regex:https://match.yuanrenxue.com/eval.*? -> http://127.0.0.1:5000/eval
经过这样配置重新打开猿人学第十题的首页仍可以加载数据,按F12打开chrome开发者工具不会进入无限debugger说明调试环境已经搭建成功。
简单讲一下几处使用AST提高代码可读性的地方
- 把$_ts["dfe1683"]的字符串解密为eval执行的字符串
let yuanrenxue_36='';var yuanrenxue_59=968;var i锝塴='jsjiami.com.v6',yuanrenxue_150=[i锝塴, .... 此处省略几百行代码
还原后的结果
let yuanrenxue_36 = '';
var yuanrenxue_59 = 968;
for (let yuanrenxue_229 = 0; yuanrenxue_229 < $_ts["dfe1683"]["length"]; yuanrenxue_229++) {
yuanrenxue_36 += String["fromCharCode"]($_ts["dfe1683"][yuanrenxue_229]["charCodeAt"]() - yuanrenxue_229 % yuanrenxue_59 - 50);
}
yuanrenxue_18 = atob(yuanrenxue_36);
yuanrenxue_31(78, yuanrenxue_18);
- 把首页请求数据的代码还原,用obfuscator混淆的,其他还有几段,ob混淆的都不重要但无限debugger很烦,还原之后就清爽多了。请求在这里但请求的参数m并不是在这里生成的,具体后面再讲。
window["url"] = "/api/match/10";
request = function () {
const _0x434855 = {
"page": window["page"]
};
$["ajax"]({
"url": window["url"],
"dataType": "json",
"async": false,
"data": _0x434855,
"type": "GET",
"beforeSend": function (_0x291a2d) {},
"success": function (_0x1f076c) {
if (window["page"]) {} else window["page"] = 1;
window[_0x1f076c["k"]["k"]["split"]("|")[0]] = parseInt(_0x1f076c["k"]["k"]["split"]("|")[1]);
_0x1f076c = _0x1f076c["data"];
let _0x110e6b = '';
// let _0x14dced = [省略一些不重要的数据,总的来说这段都不重要]
});
$("#feedContent0")["text"]('')["append"](_0x110e6b);
},
"complete": function () {},
"error": function (_0x402e16, _0x4f092f, _0x1c5dfd) {
$(".page-message")["eq"](0)["addClass"]("active");
$(".page-message")["removeClass"]("active");
}
});
};
request();
- eval中控制流平坦化代码的ifelse转switch,减少单步调试时跳的次数
具体见github
https://github.com/skygongque/match-yuanrenxue/tree/master/match10
由于控制流平坦化代码中有对自增变量进行加减操作,以及最大的控制流中属于是多个函数合并的大型控制流代码,存在多个入口和出口,我还还原不了请大佬指点
入口寻找
eval入口
它套了一个4代R数的壳,易得入口是下图,首页搜call即可
eval中m参数加密的入口
上面这个特别长的eval执行完了什么也没返回还是不知道m参数加密的的入口,细心一点可以发现这时候发的ajax请求会自己加上m参数
控制台输出以下xhr的open方法,发现果然被重写了,还是熟悉的配方
进入这个函数打上断点,翻页重新请求一下进入这个函数就看到入口了
即
function _yrxyA$(_yrx7jl, _yrxcze) {
try {
if (typeof _yrx7jl !== _yrxQ9C[6]) {
_yrx7jl += '';
}
} catch (_yrxrqQ) {
return _yrx7jl;
}
if (!(_yrxCJw & 1024)) {
_yrx7jl = _yrxR2F(_yrx7jl);
}
var _yrx$Kn = _yrxtSa(_yrx7jl);
if (_yrx$Kn === null) {
return _yrx7jl;
}
if (_yrx$Kn._yrxKni > 3) {
return _yrxtY2(_yrx$Kn);
}
var _yrxmEu = _yrxWKg(_yrxyHJ(_yrx5XG(_yrx$Kn._yrx2ad + _yrx$Kn._yrxAmM)));
var _yrx7jl = _yrx$Kn._yrxCiX + _yrx$Kn._yrxAmM;
if (_yrx$Kn._yrxAmM === '') {
_yrx7jl = _yrx7jl + '?';
} else {
_yrx7jl = _yrx7jl + '&';
}
var _yrx2LR = _yrx$Kn._yrxiv8 + _yrx7jl;
// 入口,在eval中搜(779 可以直达
_yrx2LR += _yrxBXT(779, _yrx$Kn._yrxQZs, _yrxmEu, _yrxcze);
_yrx2LR += _yrx$Kn._yrxcFt;
return _yrx2LR;
}
扣代码
接下去就是痛苦的扣代码环节了,比较浏览器的结果和nodejs环境的结果最终使得nodejs可以得到与浏览器中相同的结果就可以了。
一个小技巧就是打印了依次执行的case的数字,nodejs与浏览器比较以免误入歧途
部分浏览器环境监测的代码处理
-
如检测创建页面元素的
function _yrxWxt() {
var _yrxrqQ = 3
// var _yrxrqQ = 3
// , _yrx$Kn = _yrxQXc[_yrxQ9C[9]]('div')
// , _yrxmEu = _yrx$Kn[_yrxQ9C[51]]('i');
// while (_yrx$Kn[_yrxQ9C[38]] = _yrxQ9C[478] + ++_yrxrqQ + _yrxQ9C[118],
// _yrxmEu[0])
// ;
// if (_yrxrqQ > 4)
// return _yrxrqQ;
// if (_yrxWeF[_yrxQ9C[87]]) {
// return 10;
// }
// 在控制流中有setcookie
// if (_yrxBXT(135, _yrxWeF, _yrxQ9C[315]) || _yrxQ9C[87] in _yrxWeF) {
// return 11;
// }
}
-
检测userAgent
case 156:
// _yrxTY4 = !(_yrxCJw & 64) || _yrxWeF[_yrxhy4(_yrxQ9C[7])].userAgent[_yrxQ9C[73]](_yrxQ9C[531]) !== -1 || _yrxWeF[_yrxhy4(_yrxQ9C[7])].userAgent[_yrxQ9C[73]](_yrxQ9C[65]) !== -1;
_yrxTY4 = false;
break;
-
检测HeadlessChrome
case 454:
// _yrxTY4 = /HeadlessChrome/[_yrxQ9C[125]](_yrxrqQ[_yrxQ9C[48]]) || _yrxrqQ[_yrxQ9C[275]] === '';
_yrxTY4 = false;
break;
还有很多就不列举了。
最终代码
https://github.com/skygongque/match-yuanrenxue/tree/master/match10
- 先使用
npm instal express安装依赖,node server.js启动服务
python main.py玩耍
其他重要的点
- eval中变量的发现,可以通过比较两份eval字符串发现
成功留念
发表于 2021-8-18 23:15
|
发表于 2021-8-20 16:38
