聲明

本文章中所有內容僅供學習交流，抓包內容、敏感網址、數據接口均已做脫敏處理，嚴禁用于商業用途和非法用途，否則由此產生的一切后果均與作者無關，若有侵權，請聯系我立即刪除！

逆向目標

• 目標：Steam 登錄

• 主頁：aHR0cHM6Ly9zdG9yZS5zdGVhbXBvd2VyZWQuY29tL2xvZ2lu

• 接口：aHR0cHM6Ly9zdG9yZS5zdGVhbXBvd2VyZWQuY29tL2xvZ2luL2RvbG9naW4v

• 逆向參數：

  Form Data：

  password: MzX419b8uvaNe//lkf+15sx6hnLD/L1BX...... captchagid: 5718995253934681478 rsatimestamp: 374533150000

逆向過程

抓包分析

來到 Steam 的登錄頁面，隨便輸入一個賬號密碼登錄，抓包定位到登錄接口為 aHR0cHM6Ly9zdG9yZS5zdGVhbXBvd2VyZWQuY29tL2xvZ2luL2RvbG9naW4v ，POST 請求，Form Data 里，donotcache 是 13 位時間戳，密碼 password 被加密處理了，captchagid 和 rsatimestamp 不知道是什么，captcha_text 是驗證碼：

我們注意到登錄請求的上面，還有一個 getrsakey 的請求，很明顯和 RSA 加密有關，應該是獲取 key 之類的參數，可以看到其返回值類似于：

{"success":true,"publickey_mod":"b1ae3215684fd66207415e39810dcbda75c143dc8c4497994db51591ed5bd17dbaf75e1e......", "publickey_exp":"010001","timestamp":"288093900000","token_gid":"c304e76a58481ad12" }

這里可以發現登錄請求的 rsatimestamp 參數就是這里的 timestamp，其他參數在后面會用到。

XHR 斷點定位

本次案例我們使用 XHR 斷點來定位加密的位置，首先了解一下什么是 XHR，XHR 全稱 XMLHttpRequest，XHR 可以在不重新加載頁面的情況下更新網頁、在頁面已加載后從服務器請求、接收數據，是 Ajax 的基礎，屬于 Ajax 特殊的請求類型，利用瀏覽器控制臺可以過濾 XHR 請求。

既然是 XHR 斷點，那么這種方法就只能用于 XHR 請求，這也是這種方法的缺點，通過 XHR 斷點，定位到的位置通常在加密處理完成之后，已經準備發送請求了，這樣的優點是我們可以跟蹤棧，能比較容易地找到加密的地方。

XHR 斷點定位有兩種方法，第一種是找到發送請求的 URL 之后，截取 URL 的一部分，在 Source 面板下，右側 XHR/fetch Breakpoints 里添加你截取的 URL，如下圖所示，已成功斷下：

第二種方法，在 Network 面板，點擊 XHR 過濾 XHR 請求，在 Initiator 項里可以看到調用的 JS，鼠標移到 JS 上，可以看到調用棧，點擊第一個，即可進入到發送請求的地方，定位到的位置和第一種方法是一樣的。這種方法需要注意的是，XHR 過濾不一定準確，但是只要是 Initiator 項里可以看到 JS，就說明可以跟進去進行調試，如果是通過 Form 表單或者其他方式發送的請求，Initiator 項會顯示 Other，此時就不能通過這種方法進行調試。

參數逆向

前面 XHR 的兩種方法，無論使用哪一種，定位到的位置都是一樣的，查看右側 Call Stack，即調用棧，一步一步往上查看調用的函數，在 login.js 里面，可以找到語句 var encryptedPassword = RSA.encrypt(password, pubKey);，非常明顯的 RSA 加密：

可以關鍵代碼改寫一下，方便本地調試：

function getEncryptedPassword(password, results) {var pubKey = RSA.getPublicKey(results.publickey_mod, results.publickey_exp);password = password.replace(/[^\x00-\x7F]/g, '');var encryptedPassword = RSA.encrypt(password, pubKey);return encryptedPassword }

找到加密的位置后，就可以埋下斷點，取消 XHR 斷點，重新進行調試，可以看到 results 就是前面 getrsakey 請求返回的數據：

RSA.getPublicKey 和 RSA.encrypt 分別是 rsa.js 里面 RSA 的 getPublicKey 和 encrypt 方法：

將整個 rsa.js 復制下來進行本地調試，會提示 BigInteger 未定義，鼠標放上去會看到是用到了 jsbn.js 里面的方法，如果一個一個函數去扣的話會比較麻煩，直接將整個 jsbn.js 文件代碼復制下來即可：

完整代碼

GitHub 關注 K 哥爬蟲，持續分享爬蟲相關代碼！歡迎 star ！https://github.com/kgepachong/

**以下只演示部分關鍵代碼，不能直接運行！**完整代碼倉庫地址：https://github.com/kgepachong/crawler/

JavaScript 加密關鍵代碼架構

navigator = {};var dbits;// JavaScript engine analysis var canary = 0xdeadbeefcafe; var j_lm = ((canary & 0xffffff) == 0xefcafe);// (public) Constructor function BigInteger(a, b, c) {}// return new, unset BigInteger function nbi() {}// am: Compute w_j += (x*this_i), propagate carries, // c is initial carry, returns final carry. // c < 3*dvalue, x < 2*dvalue, this_i < dvalue // We need to select the fastest one that works in this environment.// am1: use a single mult and divide to get the high bits, // max digit bits should be 26 because // max internal value = 2*dvalue^2-2*dvalue (< 2^53) function am1(i, x, w, j, c, n) {}// 此處省略 N 個函數var RSAPublicKey = function ($modulus_hex, $encryptionExponent_hex) {};var Base64 = {};var Hex = {};var RSA = {};function getEncryptedPassword(password, results) {var pubKey = RSA.getPublicKey(results.publickey_mod, results.publickey_exp);password = password.replace(/[^\x00-\x7F]/g, '');var encryptedPassword = RSA.encrypt(password, pubKey);return encryptedPassword }// 測試樣例 // var results = { // publickey_exp: "010001", // publickey_mod: "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", // success: true, // timestamp: "370921200000", // token_gid: "3d1df3e102d1a1d2" // } // // console.log(getEncryptedPassword("12345678", results))

Python 登錄關鍵代碼

#!/usr/bin/env python3 # -*- coding: utf-8 -*-import timeimport execjs import requests from PIL import Imageindex_url = '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler' login_url = '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler' get_rsa_key_url = '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler' render_captcha_url = '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler' refresh_captcha_url = '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler'headers = {'Host': '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler','Origin': '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler','Referer': '脫敏處理，完整代碼關注 GitHub：https://github.com/kgepachong/crawler','sec-ch-ua': '" Not;A Brand";v="99", "Google Chrome";v="91", "Chromium";v="91"','User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36' } session = requests.session()def get_cookies():response = session.get(url=index_url, headers=headers)cookies = response.cookies.get_dict()print(cookies)return cookiesdef get_captcha(cookies):# 首先獲取 giddata = {'donotcache': str(int(time.time() * 1000))}refresh_captcha_response = session.post(url=refresh_captcha_url, data=data, cookies=cookies, headers=headers)gid = refresh_captcha_response.json()['gid']# 攜帶 gid 獲取驗證碼params = {'gid': gid}render_captcha_response = session.get(url=render_captcha_url, params=params, cookies=cookies, headers=headers)with open('code.png', 'wb') as f:f.write(render_captcha_response.content)image = Image.open('code.png')image.show()captcha = input('請輸入驗證碼: ')return captcha, giddef get_rsa_key(username, cookies):data = {'donotcache': str(int(time.time() * 1000)),'username': username}response = session.post(url=get_rsa_key_url, data=data, cookies=cookies, headers=headers).json()print(response)return responsedef get_encrypted_password(password, rsa_key_dict):with open('encrypt.js', 'r', encoding='utf-8') as f:steampowered_js = f.read()encrypted_password = execjs.compile(js).call('getEncryptedPassword', password, rsa_key_dict)print(encrypted_password)return encrypted_passworddef login(username, encrypted_password, cookies, rsa_key_dict, captcha, gid):data = {'donotcache': str(int(time.time() * 1000)),'password': encrypted_password,'username': username,'twofactorcode': '','emailauth': '','loginfriendlyname': '','captchagid': gid,'captcha_text': captcha,'emailsteamid': '','rsatimestamp': rsa_key_dict['timestamp'],'remember_login': False,# 'tokentype': '-1'}print(data)response = session.post(url=login_url, data=data, cookies=cookies, headers=headers)print(response.text)def main():username = input('請輸入登錄賬號: ')password = input('請輸入登錄密碼: ')# 獲取 cookiescookies = get_cookies()# 獲取驗證碼和 gidcaptcha, gid = get_captcha(cookies)# 獲取 RSA 加密所需 key 等信息rsa_key_dict = get_rsa_key(username, cookies)# 獲取加密后的密碼encrypted_password = get_encrypted_password(password, rsa_key_dict)# 攜帶 用戶名、加密后的密碼、cookies、驗證碼等登錄login(username, encrypted_password, cookies, rsa_key_dict, captcha, gid)if __name__ == '__main__':main()

總結

以上是生活随笔為你收集整理的【JS 逆向百例】XHR 断点调试，Steam 登录逆向的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。