[js逆向补环境专栏]过xhs的x2 x-s环境检测 -- part1
[补环境]过xhs的x2环境检测 – part1
Xhs的jsvmp用算法逆向确实容易头秃,扣代码对vmp而言也用处不大,此时补环境的重要性就出来了,通过把运行js的环境伪造得像浏览器一样,就能模拟出好像请求都是通过浏览器发起的一样。
这里要区分两个问题:
1.补环境是为了补充nodejs没有的一些方法,对象等
2.补环境同样是为了规避nodejs被检测
这两个听起来很类似但确实不同
比如如果node运行代码提示没有window对象,那么这个属于情况1
但是如果代码里有这么一段代码:
let nd = global==undefined
if (!nd){
X2=“此人不是浏览器”
//做一些见不得人的检测勾当,把你的调试引入歧途……
}
这样的代码即为检测nodejs的代码,这些代码悄悄地进行检测,然后把xhs的x2参数变得和浏览器不一样,让你无法得到正确的x2,
为了生动形象,加深对技术本质的理解,本着知其然还要知其所以然的态度,我们以xhs的代码为例,一步一步深入挖掘,看看补环境的是是非非……
故事开始……
今天我拿到了xhs的加密js源码,我直接一个Ctrl c把所有的代码,复制到本地,添加下面的代码测试加密函数:
var u = “/api/sns/web/v2/comment/page?note_id=648723c9000000001300a677&cursor=”;
function get_xsxt(url, json_data){
let ans = window._webmsxyw(url, json_data)
return ans
}
let ans = get_xsxt(u,“”)
console.log(ans)
保存为xhs.js,好!打开终端,输入node xhs.js,坐等结果,好!逆向真简单!
不出意外的话还是出意外了,提示没有window对象,这就是补环境的发源之地,行吧,那我就补上window对象!也就是说这份代码会使用到window对象里面的一些东西,包括但不限于使用里面的对象啊、方法啊、值啊等的,这个时候补充window=global、(或者window={},然后一步一步的补充需要的对象),但是window=global简单粗暴但是也容易被检测到你使用的js runtime和浏览器不一样,那么你就坐等被检测吧……,但是!我们由浅入深,就看看他妈的,他能怎么检测,我就用window=global试试先:
提示没有RegExp这个东西,但是明明global对象是有这个函数的啊:
不管他,我们按照浏览器的将RegExp补充在window对象上,我们补上:
window.RegExp = function RegExp(){};
再次运行:
好家伙,还是有问题,于是,我们一观察调用位置,也许_ace_0a916._ace_936这个对象就不是window呢?
于是我们直接打个断点来进行调试看看,到底是谁调用了RegExp属性!
我勒个去去,调用者936是undefined……,那肯定是没有RegExp属性的……,那么这条路走到这,是不是意味着走不下去了呢?如果就自己手动往上跟栈的话,是比较头疼的……那么,我们不妨试试一开始补window={}看看效果如何?
结果出乎意料的相似,是一样的,那么现在怎么办呢?打开思路,我们去浏览器同样断下来看看这个地方正确的应该是什么?
那么就奇了怪了,为什么我们补充了window对象却没有??
这时候,我们请出所谓的补环境框架,看看这框架到底是如何解决我们这些问题的?:
通过补环境的框架可知,它是因为有circle的引用,导致我们上面的补法出现问题,因为我们上面的补法,window下面并没有window,于是我们加上看看!:
let window = global
window.RegExp = function RegExp(){};
window.window = window
再次运行:
这个RegExp的报错我们就通过了,那么为什么这个补环境的框架能够捕捉到这种情况,而我们手动没法捕捉到呢?这就是得益于proxy的运用,每次一旦访问和设置proxy代理的对象的值,都会hook到,也就是链式的hook,于是,便有了补环境框架的由来。
书归正传,我们现继续手动补着看!
现在需要补充createElement,这个定义在了document上,我们直接补充:
let document = {};
document.createElement = function createElement(tagName) {
let tagname = tagName.toLowerCase() + ‘’
debugger;
return {}
}
运行看看:
还是这个错,借鉴上面的思路,我们需要把document作为window的属性加入进去,于是调整补充的代码:
let document = {};
document.createElement = function createElement(tagName) {
let tagname = tagName.toLowerCase() + ‘’
debugger;
return {}
}
let window = global
window.RegExp = function RegExp(){};
window.document = document;
window.window = window
运行看看:
补充这个getAttribute,这个有过正向设计的经验的人都知道,这是HTML元素获取自己的属性的方法,那么假如你是没有正向设计的经验的人,也可以通过这个网站去查看,(不过我建议最好学习正向设计,后面看效益也会在星球发布教程,主打一融会贯通和深入理解)。
getAttribute 如下资料:
这个方法应该定义在被创建的元素的对象上,那么我们这次仅仅针对xhs就直接这样补:
let document = {};
document.createElement = function createElement(tagName) {
let tagname = tagName.toLowerCase() + ‘’
debugger;
return {
“getAttribute”:function getAttribute(attName){
debugger;
return “”
}
}
}
let window = global
window.RegExp = function RegExp(){};
window.document = document;
window.window = window
运行看看:
也不行,这个就奇怪了……,
那么答案只可能有一个就是,调用者不是创建的元素,而是另有其人!
那么我们可以,在这个地方打上断点,去浏览器看是什么元素调用的getAttribute属性:
通过断点能看到是documentElement,查资料如下:
因此补充为:
document.documentElement = {}
document.documentElement.getAttribute = function getAttribute(attName) {
console.log(“getAttribute->”,attName)
}
再次运行:
这里也是老方法,打上断点对比浏览器得出,8721是getContext方法,于是补充:
let window = global;
let document = {};
document.documentElement = {}
document.documentElement.getAttribute = function getAttribute(attName) {
console.log(“getAttribute->”,attName)
}
document.createElement = function createElement(tagName) {
let tagname = tagName.toLowerCase() + ‘’
console.log(“createElement->”,tagname)
const canvas = new (function () { })
canvas.getContext = function getContext(pixs) {
console.log(“getContext->”, pixs)
debugger;
return {}
}
return canvas
}
window.RegExp = function RegExp(){};
window.document = document;
window.window = window;
再次运行:
终于输出值了,很明显值不对,此时的x2为:
而浏览器的x2为:x2=0|0|0|1|0|0|1|0|0|0|1|0|0|0|0,显然是不正确的
肯定是某些环境检测没有通过,导致的,就比如我们的cookie是必须的,但是手动补的方法,从头到尾对于我们来说对cookie的关键性都是无感知的,因此,这种错误驱动型的补环境策略并不靠谱。
因此,我们需要引入proxy代理,便于对那些不抛出异常的检测点进行捕捉,然后补上环境,我们放在下一篇part2中介绍。
记得加入我们的学习群呀!
529528142
[js逆向补环境专栏]过xhs的x2 x-s环境检测 -- part1相关推荐
- 【瑞数5】浅谈某普期刊JS逆向的环境检测点
[瑞数5]浅谈某普期刊JS逆向的环境检测点 前言 JS加载流程 第一个JS 第二个JS 第三个JS AST简单解混淆 环境检测 前奏 异步执行JS流程 高潮 运行结果 总结 鸣谢 前言 这几天把某期刊 ...
- JS逆向之浏览器补环境详解
JS逆向之浏览器补环境详解 "补浏览器环境"是JS逆向者升职加薪的必备技能,也是工作中不可避免的操作. 为了让大家彻底搞懂 "补浏览器环境"的缘由及原理,本文将 ...
- 【JS逆向系列】某乎x96参数3.0版本与jsvmp进阶
[JS逆向系列]某乎x96参数3.0版本与jsvmp进阶 前言 初看js代码 补环境方案 修改字节码方案(反混淆与反汇编) 算法还原 后记 前言 距离上一次的某乎jsvmp也过了好一段时间,现在也从2 ...
- 爬虫逆向 js逆向常用工具简单介绍
古语有云:工欲善其事,必先利其器. 作为逆向的开始,这个自然是无法避免的,毕竟js逆向的环境是浏览器,而浏览器自然为开发做了很多工具,方便再开发的时候检测开发过程中是否有问题,就像开发过程中debug ...
- JS逆向之补环境过瑞数详解
JS逆向之补环境过瑞数详解 "瑞数" 是逆向路上的一座大山,是许多JS逆向者绕不开的一堵围墙,也是跳槽简历上的一个亮点,我们必须得在下次跳槽前攻克它!! 好在现在网上有很多讲解瑞数 ...
- JS逆向、破解、反混淆、反浏览器指纹——JS补环境框架
JS逆向的主要思路一般有这几种 1,利用AST反混淆,因为用的就是AST混淆的,所以理论上应该都能用AST再返回去.但是实际操作好像不容易. 2,跟值,一步一步找到加密方法和密钥.现在很多混淆方法,把 ...
- js逆向之补环境过瑞数5.0某银河证券,你还在拿某药监局做案例?该换换啦.
网址: aHR0cDovL3d3dy5jaGluYXN0b2NrLmNvbS5jbi9uZXdzaXRlL2Nncy1zZXJ2aWNlcy9zdG9ja0ZpbmFuY2UvYnVzaW5lc3NB ...
- 【JS逆向】魔改Node JS补环境框架
[JS逆向]魔改Node JS补环境框架 前言 魔改Node Js补环境框架 内置模块wanfeng 内置对象Utils node框架使用说明 js框架简介 注意事项 警告 赞助 结束语 前言 由于J ...
- 《封号码罗》关于js逆向猿人学第一题m值的获取[纯补环境](二十四)
网上有很多资料,包括视频都讲解了m值的生成方式,但是我自己总是看过之后,有很多疑惑,所以我自己再总结一遍. 抓包看看请求 m值得生成位置 用AST简单解混淆一下,源码就是整个混淆的js复制到本地文件 ...
- 补环境:vm2 transformer.js 源码分析
在补环境框架的文件夹里执行 vm2 文件能成功得到结果,但是将合并了环境和原 js 文件后的代码内容单独提取出来通过 vm2 调用却报错提示 SyntaxError: Use of internal ...
最新文章
- 服务器负载不高 响应慢_负载均衡有哪几大类别?
- 如何在面试中介绍自己的项目经验,很重要!
- Leetcode题库169.多数元素(c实现)
- asp.net中条件查询+分页
- adnroid string拼接_Android开发中string.xml文件中字符串的拼接
- Java分段函数选择结构,编程流程作业选择结构(50题)
- 获取虚拟账号列表失败啥意思_「图」Windows 10 Build 18963发布:可显GPU温度 支持重命名虚拟桌面...
- Qt插件机制介绍及实现
- 2.14.PHP7.1 狐教程-【PHP 静态类、静态方法、静态属性】
- struts2面试题大全含答案
- 如何设置DiffMerge不进行Class文件的比较
- 器件基础知识——电阻
- MATLAB中的sym函数、syms函数、symfun函数以及symvar函数的简单介绍
- 微信java精简版低内存_微信精简版低内存apk-微信精简版2019下载v7.0.6 安卓版-腾牛安卓网...
- 安装Tomcat步骤
- mac删除分区并合并分区
- PHP招聘:如何面试应届生求职者
- 查看网页源代码的方法
- 6-2 判断水仙花数 (10 分)
- Ubuntu16.04 系统下的pytorch库(cpu版)安装与demo测试