@TOC
前言
1.本篇文章讲述一些关键点,无法非常详细
2.部分内容可能需要提前了解旧版算法
3.参考文献
某某聘算法分析
深入的控制流扁平化分析
js逆向初步分析
目标地址:aHR0cHM6Ly93d3cuemhpcGluLmNvbS93ZWIvZ2Vlay9qb2I/cXVlcnk9SmF2YSZjaXR5PTEwMTI4MDcwMA==
当在搜索职位的时候,会发生一次跳转,使用Reqable抓包查看
当第一次访问/wapi/zpgeek/search/joblist.json接口的时候
会显示【您的访问行为异常】,然后还会带有【zpData】后面的三个参数
接着会拼接这三个参数去请求一个中间的验证页面
这样的话,可以下一个【脚本】断点来在中间页面的时候断下
一致点击执行,直到出现中间页面
此时就可以搜索关键参数【zp_stoken】
可以看到上面会加载一个关键的js,并且在回调里面会调用ABC的z方法,生成的值就是zp_stoken,那么在函数调用的地方下一个断点,并可以关闭前面设置的脚本断点
可以在控制台上尝试一下是不是我们需要的值
看起来就是需要的值,但是多次执行结果不一样,可以猜测到里面计算涉及到了随机数或者时间
接着进入到函数内部查看
跳转的就是前面加载的js,但是这个文件明显存在混淆,里面把函数实体切分成单条语句放到if或者else里面,如果不还原的话,很难进行调试分析
ast反混淆
使用babel库进行反混淆,首先安装依赖
npm install @babel/core
首先把if转换为switch
例如一开始的
if (M < 4) {
if (M === 0) {
M = 57;
} else if (M === 1) {
M = 25;
} else if (M === 2) {
M = undefined;
} else {
M = 29;
}
}else if (M < 8) {
// 省略
}
那么按照对应的逻辑,就可以转换为
switch (M){
case 0:
M = 57;
break;
case 1:
M = 25;
break;
case 2:
M = undefined;
break;
case 3:
M = 29;
break;
// 省略
}
因为if的深度有多种,所以一般使用递归的方式来提取所有的块
其中需要注意:
1.return语句后面就不需要添加break语句
2.else里面语句用的的case值是if里面的case + 1
这一步比较简单,没有坑
还原到这里后调试的话,虽然每一步都可以直接跳转到实际运行的语句,但是一直跳来跳去的也很烦人
接下来需要把多个单语句的块,合并成一个多语句的块
CFF(控制流扁平化)
假设一个原函数为
function countToAndReturnSum(num) {
let sum = 0;
console.time(`countToAndReturnSum(${num})`);
for (let i = 1; i <= num; i++) {
console.log(i);
sum += i;
}
console.timeEnd(`countToAndReturnSum(${num})`);
return sum;
}
countToAndReturnSum(30);
混淆后为
function countToAndReturnSum(num) {
let jmp_var = 2;
while (jmp_var != 42) {
switch (jmp_var) {
case 7:
console.log(i);
sum += i;
i++;
jmp_var = 4;
break;
case 2:
var sum = 0;
var i = 1;
jmp_var = 5;
break;
case 5:
console.time(`countToAndReturnSum(${num})`);
jmp_var = 4;
break;
case 9:
console.timeEnd(`countToAndReturnSum(${num})`);
return sum;
break;
case 4:
jmp_var = i <= num ? 7 : 9;
break;
}
}
}
countToAndReturnSum(30);
将其转换为图表的形式可以得到
下面主要讲述 2 -> 5 -> 4 的逻辑
可以看到2节点,其仅有一个指出方向,并且指向5。 也就是说当2执行完以后,无论如何都会走到5
再看5节点,其中仅有一个指出方向,并且指向4,仅有一个指人方向,并且指向2。当5的父级执行完成后,如论如何都会轮到5自己,并且当自己执行完成后,无论如何都会走到4
满足这两个条件的时候,就可以把节点 【2 -> 5】 看成一个整体,把2节点的跳转删除,然后把5的内容和跳转合并到2
代码就可以优化为
function countToAndReturnSum(num) {
let jmp_var = 2;
while (jmp_var != 42) {
switch (jmp_var) {
case 7:
console.log(i);
sum += i;
i++;
jmp_var = 4;
break;
case 2:
var sum = 0;
var i = 1;
console.time(`countToAndReturnSum(${num})`);
jmp_var = 4;
break;
case 9:
console.timeEnd(`countToAndReturnSum(${num})`);
return sum;
break;
case 4:
jmp_var = i <= num ? 7 : 9;
break;
}
}
}
countToAndReturnSum(30);
对应的图表为
那么此时整个结构就被优化了,整体的节点数减少了一个
回到前面解混淆后的代码
var M = 75;
while (M !== undefined) {
switch (M) {
// 省略
case 12:
M = 86;
break;
// 省略
case 54:
M = 90;
break;
// 省略
case 64:
M = 96;
break;
// 省略
case 75:
M = 64;
break;
// 省略
case 86:
t = "ect";
M = 54;
break;
// 省略
case 96:
M = 12;
break;
// 省略
}
}
可以看到其中的节点顺序
75 -> 64 -> 96 -> 12 -> 86 -> 54 -> 90 等等,都是符合上面所述的情况,那么就都可以将其一一合并
合并后的代码大概为
var M = 75;
while (M !== undefined) {
switch (M) {
// 省略
case 75:
t = "ect";
M = 90;
break;
// 省略
}
}
合并后由原来的节点数8500+优化为900+,此时再调试的话,难度相当于原来的十分之一了,整个逻辑也是几乎清晰可见
zp_stoken的生成逻辑
将处理完成的js替换到网页上进行调试
可以看到zp_stoken的值就是两个字符串的拼接,至于这些字符串怎么生成的呢,那么就需要单步调试分析了
前面一半都是变量的定义,主要看后面call的部分
第一个函数返回了一个空数组,可以理解为函数的作用是创建一个数组
接着是把前面拿到的seed和ts作为参数,返回一个固定长度为100的数组,但是内容的最后一位会有一些变化
接着把前面创建的数组和100位数组作为参数,返回一个固定长度101的数组,实际是在头部增加了一个100的元素,也就是前面数组的长度
接着是一个没有参数的函数,返回一个不定长的数组,大概在160+的长度这样,实际上这个就是环境检测的结果
然后把前面101位数组和160+位数组进行拼接,得到一个260+位的大数组
接着两个没有参数的函数就是生成两个随机数
接着两个语句是把随机数相加,再转成字符串类型
这里把前面相加后的随机数添加到新创建的数组中
例如我这里的随机数是62991,添加后得到的数组就是[192, 246, 15]
接着是将随机数的字符串类型转为字节数组
例如我这里的随机数是62991,得到的数组就是[54, 50, 57, 57, 49]
这里就是比较重要的一部,把大数组和随机数的字节数组作为参数,返回一个新的加密数组
可以理解成这里的随机数的字节数组作为key,对大数组进行加密
接着拼接序列化整数的数组和加密后的数组
后面的三个函数调用分别是
1.自偏移加密。涉及一些异或和加减法运算,对每一个元素的操作都是相同的
2.序列化数组。把所有元素都序列化为0-255的范围,为下一步做准备
3.标准base64编码。将数组转为base64字符串的形式
此时再头部拼接一个5长度的字符串,就是最终的zp_stoken了
下面来总结一个整个过程
zp_stoken的序列化和反序列化
因为js代码每天都会变化,所以下面的代码均已文章编写当天的为准
根据上面已有的信息,画一个思维导图整理一下
如果要做到序列化和反序列化,那么现有的分析还是不够的,还需要分析100位数组,160+位数组,以及各个加密函数的具体是什么实现的
本篇文章就主要讲述以100位数组为例,其他的分析基本类似
跟进100位数组生成的函数
然后记录所有经过的代码块
在分析过程中,很容易遇到这种类型的分支
这种就是影响正常逻辑的虚假分支,为什么这么说呢
这里的判断条件为P
又因为 P = M + y
继续把 P 公式展开可以得到 P = (((56 | (z)) & (~(56 & (z)))) - (56 ^ (z))) + 56;
上面的 z = !j; 就是布尔型,所以z只能取1或者0
那么无论当z为0还是为1,P都是恒定为56
所以wp = P ? 8289 : 7687;的跳转是一定跳转到8289
相当于可以把wp = P ? 8289 : 7687;优化为wp = 8289;
函数前面的都是变量赋值,最后才到业务逻辑部分
第一步也是创建一个数组
然后把第一步的数组和每天固定变化的5位固定字符串取前四位作为参数
第一步的数组就有5个元素了,这里很明显可以看到,第一位就是指后面数据的长度,接着四位就是传进去的字符串了
这时结合前面可以发现,数据大多以数据头和数据体的方式存在,数据头用来表明了数据提的长度
接着就是传进去seed,猜测一下,很有可能是添加seed的长度和seed的字符串内容
运行后发现确实是这样
接着来到yl,就是传进去的ts的前10位
现在传进去数组的就不是字符串的,而是整数
这里可以看到添加了一个240,剩下的四位就是ts的int类型大端续,但是240这里也不是长度,到底表达什么意思呢
具体可以跟入函数分析,这里实际是一个标志位
240的二进制数为11110000,其中第一个0前面有四个1,说明后面还有四字节数据
这样的做法,类似一个变体型的数据,可以根据参数来改变自身序列化后的长度,来节省网络传输的大小
ul是一个0到100的随机数,两个参数分别就是0和100
接着把随机数放到数组,这个没有什么好说,和前面放入ts一样
最后这里就是做了一个小的加密变化,需要是根据下标来变化字节,篇幅原因就不详细分析列出了
此时就成功得到了100位数组
那么再来总结一下100位数组是怎么组成的
可以看到100位数组是主要用来保存服务器返回的两个重要参数,那么下面160+位数组就没有东西放了,那么是用来保存什么的呢?
可以猜测到,其中大概率就是保存当前的浏览器环境的了
这里160+数组也是类似的分析过程
分析过程可能会遇到两个特殊点
-
请求头的ua计算crc32
1.1 计算结果需要位与 0xffff 才是最终结果,也就是 zlib.crc32(self.info['ua'].encode()) & 0xffff
-
出现hmacsha1
2.1 这里的并不是标准的hmacsha1,存在三处魔改
2.2 第一处魔改是修改了ipad和opad的填充算法,把原来的两个固定字节,修改为两个固定的四字节
2.3 修改了5个初始化的iv值
2.4 修改了4个k值
较为详细的图如下