吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6029|回复: 21
收起左侧

[Web逆向] [补环境流]易盾智能无感逆向fp参数

  [复制链接]
wolfSpicy 发表于 2023-12-14 11:45
本帖最后由 wolfSpicy 于 2023-12-19 10:29 编辑

这2个月一直在忙着写补环境框架,希望能够把执行流程代码丢进去就会自己获取结果(这其中因为无法真正达到浏览器环境,所以一些类似于元素位置等详细信息,轨迹过程就可能需要自己稍微修改)
于是我就在不断进行实战以此来完善和了解其中代码检测流程,所以我的会更多偏向新手类型,很多还是欠缺,很多是自己这个新手总结出来的小心得(大佬们还望手下留情)。

补环境流的思路非常简单粗暴,就是找到加密函数位置然后进行想办法进行导出,然后跑去运行,如果运行出来了还好,不然就继续检测哪里出问题就一步步进入代码里面看看哪里进行环境检测。





接下来进入正题,这是本次要进行的目标



我们由结果来找出我们要进行逆向的目标
Snipaste_2023-12-13_16-03-34.png



在经过一系列检测排除后可以得到我们要逆向的目标

cb
data
callback

不需要我们进行逆向的目标有
id 这个是写死的
token 是网页请求得来的(api/v3/get)  但这个依赖于cb fp
dt 网页请求得来的

fp是我想要说的重点,因为它是经过环境检测的,而其它参数逆向过程中我没有发现


fp就是cookie里面的gdxidpyhxdE
这里在我们进行hook gdxidpyhxdE就能得到以下调用


而函数调用QO这里就是gdxidpyhxdE即fp的 里面也包括了环境检测,建议仔细调试会大有收获


Snipaste_2023-12-14_10-37-55.png


环境检测有Z2=new QR这里函数进去后会看到一些检测如localstorage  body opendatabase   
Snipaste_2023-12-14_10-41-10.png



到了var zc下面会检测到canvas   对于dom节点的检测,我自己尝试过不用jsdom模块去完成,但发现自己要是真弄得考虑非常多问题,可是听说jsdom被检测烂了,但没办法,我就只使用提供的document,不知道大佬有没有更好的方法。




Snipaste_2023-12-14_10-52-21.png
Snipaste_2023-12-14_10-53-15.png

看图上,黑色那部分就是我自己觉得比较重要的一点














直接追进z2这个函数中看,大概是先检测getComputedStyle是否存在然后有没有创建一个元素div然后给它的style color赋值一些值(这里重点是如果单单看值是没有发现和颜色有什么关系的)


其中getComputedStyle如果用的是jsdom的模块中的window的话,后面它检测的时候立马就被发现了。我想过去在源代码基础上进行完善,但实在看的头晕,这个可以自己实现很简单



Snipaste_2023-12-14_10-57-28.png



然后就会执行window.getComputedStyle(div).getPropertyValue('color') 这行代码
这时候奇怪的事情发生了,如果是补环境的人不去仔细看是真的没发现有什么问题
Snipaste_2023-12-14_11-05-40.png




可以看到之前赋值的是div.style.color='ActiveBorder'  这以我们的直觉来说应该没啥问题
但为什么获取getPropertyValue('color') 的时候是转换成rgb呢?





下面我就进行了下实验 拿火狐浏览器和edg浏览器来都给一个元素设置color:activecaption  (这里我做实验的时候忘记拿ActiveBorder了)

Snipaste_2023-12-11_18-35-24.png

Snipaste_2023-12-11_18-35-33.png


从图上可以看出当我设置color:activecaption会自动变成颜色并且不同浏览器颜色不同

所以我就自己斗胆自己搞了下
Snipaste_2023-12-14_11-12-52.png
Snipaste_2023-12-14_11-13-06.png



大概意思就是当style.color设置这些值的时候,并且被getPropertyValue('color')了就会转换成rgb ,我试了下颜色值随机也能过

Snipaste_2023-12-14_11-37-51.png

然后这个函数这样子过掉了

然后接下来就没有什么奇怪的地方了,直接照搬套路看然后丢环境里面跑,最后得到结果
Snipaste_2023-12-13_15-52-32.png


免费评分

参与人数 8吾爱币 +10 热心值 +7 收起 理由
Alrona + 1 + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
XMQ + 1 热心回复!
qiaoyong + 1 + 1 热心回复!
timeslover + 1 + 1 用心讨论,共获提升!
changesmile + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
fengbolee + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
三滑稽甲苯 + 2 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2023-12-19 10:20
wolfSpicy 发表于 2023-12-18 21:18
我看了下底部的没有对应的图片,之前也是莫名其妙多了重复的

应该你多传了一个,我看了下你附件,比如第一个图Snipaste_2023-12-13_15-57-43.png ,就传了2次,你编辑看下上传那,把多余的删除吧,注意一个是使用的一个没使用,我怕给你删丢了
冰茶荼 发表于 2023-12-15 16:28
wudan6 发表于 2023-12-15 20:25
nethunter 发表于 2023-12-16 13:04
66666666666666666666666666666666666666666666666666666666666666666666666666
hao6988456 发表于 2023-12-17 00:56
厉害了,写的很详细。感谢大佬分享
qingfengxulaia 发表于 2023-12-18 12:20
感谢分享
Hmily 发表于 2023-12-18 18:23
底部几幅图是不是重复了?编辑删除一下多余的?
 楼主| wolfSpicy 发表于 2023-12-18 21:16
Hmily 发表于 2023-12-18 18:23
底部几幅图是不是重复了?编辑删除一下多余的?

不说我真不知道,不知道为什么图片老是这样
 楼主| wolfSpicy 发表于 2023-12-18 21:18
Hmily 发表于 2023-12-18 18:23
底部几幅图是不是重复了?编辑删除一下多余的?

我看了下底部的没有对应的图片,之前也是莫名其妙多了重复的

点评

应该你多传了一个,我看了下你附件,比如第一个图Snipaste_2023-12-13_15-57-43.png ,就传了2次,你编辑看下上传那,把多余的删除吧,注意一个是使用的一个没使用,我怕给你删丢了  详情 回复 发表于 2023-12-19 10:20
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 00:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表