【JS 逆向百例】無限debugger繞過,某政民互動資料逆向
宣告
本文章中所有內容僅供學習交流,抓包內容、敏感網址、資料介面均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關,若有侵權,請聯絡我立即刪除!
逆向目標
- 目標:某政務服務網 —> 政民互動 —> 我要諮詢
- 主頁:aHR0cDovL3p3Zncuc2FuLWhlLmdvdi5jbi9pY2l0eS9pY2l0eS9ndWVzdGJvb2svaW50ZXJhY3Q=
- 介面:aHR0cDovL3p3Zncuc2FuLWhlLmdvdi5jbi9pY2l0eS9hcGktdjIvYXBwLmljaXR5Lmd1ZXN0Ym9vay5Xcml0ZUNtZC9nZXRMaXN0
- 逆向引數:
- Request Headers:
Cookie: ICITYSession=fe7c34e21abd46f58555124c64713513
- Query String Parameters:
s=eb84531626075111111&t=4071_e18666_1626075203000
- Request Payload:
{"start":0,"limit":7,"TYPE@=":"2","OPEN@=":"1"}
- Request Headers:
逆向過程
繞過無限 debugger
我們嘗試抓包,開啟開發者工具,重新整理一下頁面,會發現此時頁面被斷到 debugger 的位置,點選下一步,又會被斷到另一個 debugger 的位置,這種情況就是無限 debugger,無限 debugger 存在的意義就是防止一部分人進行除錯,但事實上繞過無限 debugger 的方法非常簡單,方法也非常多,以下介紹常用的幾種繞過方法。
1.Never pause here
在 debugger 位置,點選行號,右鍵 Never pause here,永遠不在此處斷下即可:
2. Add conditional breakpoint
同樣右鍵選擇 Add conditional breakpoint,輸入 false 即可跳過無限 debugger,其原理是新增條件斷點,不管前面程式碼的邏輯是什麼,執行到 debugger 的時候必定是 true 才能執行,只需要將其改為 false,那麼它就不執行了:
3.中間人攔截替換無限 debug 函式
所謂中間人攔截替換,就是狸貓換太子,將原來的含有無限 debugger 的函式給替換掉,這種方法適用於知道無限 debugger 函式所在的具體 JS 檔案,重寫 JS 檔案,使其不含有無限 debugger 的函式,利用第三方工具將原來的 JS 檔案替換成重寫過後的檔案,這類工具有很多,例如瀏覽器外掛 ReRes,它通過指定規則,可以把請求對映到其他的 URL,也可以對映到本機的檔案或者目錄,抓包軟體 Fidder 的 Auto responder 功能,也可以實現替換。
4.方法置空
直接在 Console 中將無限 debugger 的函式重寫置空也可以破解無限 debugger,缺點是重新整理後失效,基本上不太常用。
抓包分析
繞過無限 debugger 後,點選下一頁進行抓包分析,資料介面類似於:http://zwfw.xxxxxx.gov.cn/icity/api-v2/app.icity.guestbook.WriteCmd/getList?s=d455731630315957615&t=2491_d51515_1630315979000
,Cookie、Query String Parameters 和 Request Payload 的引數需要我們解決。
引數逆向
首先是 Cookie,直接搜尋,可以發現在首頁的請求中,Set-Cookie 裡設定了 cookie 值,那麼使用 get 方法請求主頁,在 response 裡面直接取 Cookie 即可:
Request Payload 的引數經過觀察可以發現 start 每一頁 +7,其他引數不變
Query String Parameters 的兩個引數 s 和 t,是經過 JS 加密後得到的。
全域性搜尋 s 這個引數,由於 s 太多,可以嘗試搜尋 var s
,可以找到一個 var sig
的地方,這段函式後面有兩個比較明顯的語句:curUrl += "?s=" + sig;
curUrl += "&t=" + t;
,不難看出是 URL 拼接語句,s 引數就是 sig,埋下斷點,可以看到正是我們要找的引數:
將這段函式 copy 下來進行本地除錯,會發現提示 LEx 未定義,直接跟進 LEx.isNotNull
這個函式,將原函式 copy 下來即可:
再次除錯,會提示 __signature
引數未定義,全域性搜尋發現這個值在主頁的 HTML 裡面可以找到,直接正則表示式提取出來即可。
完整程式碼
GitHub 關注 K 哥爬蟲,持續分享爬蟲相關程式碼!歡迎 star !https://github.com/kgepachong/
以下只演示部分關鍵程式碼,不能直接執行!完整程式碼倉庫地址:https://github.com/kgepachong/crawler/
JS 加密程式碼
isNotNull = function (obj) {
if (obj === undefined || obj === null || obj == "null" || obj === "" || obj == "undefined")
return false;
return true;
};
function getDecryptedParameters(__signature) {
var sig = "";
var chars = "0123456789abcdef";
if (!isNotNull(__signature)) {
var curTime = parseInt(Math.random() * (9999 - 1000 + 1) + 1000) + "" + Date.parse(new Date());
sig = chars.charAt(parseInt(Math.random() * (15 - 15 + 1) + 10)) + chars.charAt(curTime.length) + "" + curTime;
} else {
sig = __signature;
}
var key = "";
var keyIndex = -1;
for (var i = 0; i < 6; i++) {
var c = sig.charAt(keyIndex + 1);
key += c;
keyIndex = chars.indexOf(c);
if (keyIndex < 0 || keyIndex >= sig.length) {
keyIndex = i;
}
}
var timestamp = parseInt(Math.random() * (9999 - 1000 + 1) + 1000) + "_" + key + "_" + Date.parse(new Date());
var t = timestamp;
//LEx.azdg.encrypt(timestamp,key);
t = t.replace(/\+/g, "_");
return {"s": sig, "t": t};
}
// 測試樣例
// console.log(getDecryptedParameters("c988121626057020055"))
Python 程式碼
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import re
import execjs
import requests
index_url = '脫敏處理,完整程式碼關注 GitHub:https://github.com/kgepachong/crawler'
data_url = '脫敏處理,完整程式碼關注 GitHub:https://github.com/kgepachong/crawler'
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36'}
session = requests.session()
def get_encrypted_parameters(signature):
with open('encrypt.js', 'r', encoding='utf-8') as f:
js = f.read()
encrypted_parameters = execjs.compile(js).call('getDecryptedParameters', signature)
return encrypted_parameters
def get_signature_and_cookies():
response = session.get(url=index_url, headers=headers)
cookies = response.cookies.get_dict()
cookie = cookies['ICITYSession']
signature = re.findall(r'signature = "(.*)"', response.text)[0]
return cookie, signature
def get_data(cookie, parameters, page):
payload_data = {'start': page*7, 'limit': 7, 'TYPE@=': '2', 'OPEN@=': '1'}
params = {'s': parameters['s'], 't': parameters['t']}
cookies = {'ICITYSession': cookie}
response = session.post(url=data_url, headers=headers, json=payload_data, params=params, cookies=cookies).json()
print(payload_data, response)
def main():
ck, sig = get_signature_and_cookies()
for page in range(10):
# 採集10頁資料
param = get_encrypted_parameters(sig)
get_data(ck, param, page)
if __name__ == '__main__':
main()