當(dāng)前位置：首頁(yè) > 前端技术 > javascript >内容正文

javascript

【JS 逆向百例】Fiddler 插件 Hook 实战，某创帮登录逆向

發(fā)布時(shí)間：2023/12/10 javascript 34 豆豆

生活随笔收集整理的這篇文章主要介紹了【JS 逆向百例】Fiddler 插件 Hook 实战，某创帮登录逆向小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

關(guān)注微信公眾號(hào)：K哥爬蟲，QQ交流群：808574309，持續(xù)分享爬蟲進(jìn)階、JS/安卓逆向等技術(shù)干貨！

聲明

本文章中所有內(nèi)容僅供學(xué)習(xí)交流，抓包內(nèi)容、敏感網(wǎng)址、數(shù)據(jù)接口均已做脫敏處理，嚴(yán)禁用于商業(yè)用途和非法用途，否則由此產(chǎn)生的一切后果均與作者無(wú)關(guān)，若有侵權(quán)，請(qǐng)聯(lián)系我立即刪除！

逆向目標(biāo)

目標(biāo)：某創(chuàng)幫登錄接口
主頁(yè)：aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9sb2dpbi9vdGhlci1sb2dpbi5odG1s
接口：aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9hcGkvbG9naW4vbG9naW4=
逆向參數(shù)：
- Query String Parameters：rnd: 0.22465933864494048
- Request Payload：password: "25D55AD283AA400AF464C76D713C07AD"

準(zhǔn)備工作

該站點(diǎn)的加密其實(shí)并不復(fù)雜，直接搜索加密參數(shù)也可以很快定位到加密代碼，但是本文主要介紹使用 Fiddler 抓包軟件，搭配插件，使用 Hook 的方式來(lái)定位加密位置，如果遇到加密參數(shù)搜索不到，或者搜索結(jié)果太多的情況，Hook 是比較高效的方法，能夠幫助你快速定位加密入口，有關(guān) Hook 的詳細(xì)知識(shí)，在 K 哥前期的文章有詳細(xì)介紹：JS 逆向之 Hook，吃著火鍋唱著歌，突然就被麻匪劫了！

本文用到的抓包軟件，可在 Fiddler 官網(wǎng)下載，官網(wǎng)提供了五個(gè)不同的版本/服務(wù)：

Fiddler Everywhere：跨平臺(tái)抓包軟件，支持 MacOS、Windows 和 Linux，相當(dāng)于 Classic 版本的改進(jìn)增強(qiáng)版；
Fiddler Classic：傳統(tǒng)的 Fiddler，僅支持 Windows，一般 Windows 用戶都是用的這個(gè)版本；
Fiddler Jam：瀏覽器插件，收費(fèi)，主要用于網(wǎng)站優(yōu)化、安全故障排除等；
Fiddler Cap：專為非技術(shù)用戶而設(shè)計(jì)的輕量級(jí)抓包軟件，僅支持 Windows；
Fiddler Core：Fiddler 核心，可嵌入的 .NET 庫(kù)，收費(fèi)。

如果你是 MacOS 或者 Linux 用戶，可以選擇 Fiddler Everywhere，如果你是 Windows 用戶，建議選擇 Fiddler Classic，抓包軟件的使用方法，證書配置等等，這里不做介紹，網(wǎng)上有很多教程可以參考。

需要注意的是，Fiddler 本身沒(méi)有 Hook 功能，需要自己編寫插件，而且只有 Fiddler Classic 版本是支持插件的，可以參考 Fiddler Classic 插件編寫文檔，也就是說(shuō) MacOS 和 Linux 用戶可能無(wú)法通過(guò) Fiddler 插件進(jìn)行 Hook，但是不用擔(dān)心，MacOS 和 Linux 用戶可以通過(guò)編寫瀏覽器插件的方式來(lái)進(jìn)行 Hook，后續(xù) K 哥也會(huì)寫一篇實(shí)戰(zhàn)文章來(lái)演示如何編寫瀏覽器插件進(jìn)行 Hook，敬請(qǐng)關(guān)注！

關(guān)于 Fiddler Classic 的 Hook 插件，已經(jīng)有大佬寫好了，這里用到的是編程貓的插件，要求 Fiddler Classic 的版本必須 >= v4.6.3，除了 Hook 功能以外，還有 JS 調(diào)試、內(nèi)存漫游、JSON 解析、常見數(shù)據(jù)加密解密等，插件可以在 K 哥爬蟲公眾號(hào)輸入關(guān)鍵字【Fiddler插件】獲取，安裝方法在壓縮包里也有，這里不再贅述。

逆向過(guò)程

抓包分析

隨便輸入一個(gè)賬號(hào)密碼，點(diǎn)擊登陸，抓包定位到登錄接口為 aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9hcGkvbG9naW4vbG9naW4= ，POST 請(qǐng)求，Request Payload 里，密碼 password 被加密處理了，此外，Query String Parameters 里還帶有一個(gè) rnd 的參數(shù)，每次請(qǐng)求都會(huì)改變。那么 password 和 rnd 就是本次要逆向的目標(biāo)。

參數(shù)逆向

password

我們知道在 JavaScript 中 JSON.stringify() 方法用于將 JavaScript 對(duì)象或值轉(zhuǎn)換為 JSON 字符串，JSON.parse() 方法用于將一個(gè) JSON 字符串轉(zhuǎn)換為 JavaScript 對(duì)象，某些站點(diǎn)在向 web 服務(wù)器傳輸用戶名密碼時(shí)，會(huì)用到這兩個(gè)方法，在本案例中，就用到了 JSON.stringify() 方法，針對(duì)該方法，我們編寫一個(gè) Hook 腳本：

(function() {var stringify = JSON.stringify;JSON.stringify = function(params) {console.log("Hook JSON.stringify ——> ", params);debugger;return stringify(params);} })();

整個(gè) Hook 腳本是一個(gè) IIFE 立即調(diào)用函數(shù)表達(dá)式（也叫自執(zhí)行函數(shù)、立即執(zhí)行函數(shù)等），借助 Fiddler 插件，它可以在整個(gè)網(wǎng)頁(yè)加載之前運(yùn)行，首先定義了一個(gè)變量 stringify 保留原始 JSON.stringify 方法，然后重寫 JSON.stringify 方法，遇到 JSON.stringify 方法就會(huì)執(zhí)行 debugger 語(yǔ)句，會(huì)立即斷下，最后將接收到的參數(shù)返回給原始的 JSON.stringify 方法進(jìn)行處理，確保數(shù)據(jù)正常傳輸。

將 Hook 腳本放到 Fiddler 插件里，F12 開啟抓包，刷新網(wǎng)頁(yè)，重新輸入賬號(hào)密碼點(diǎn)擊登錄，就可以看到成功斷下：

此時(shí)的 password 已經(jīng)是加密后的了，想要定位到加密的地方，就需要看右邊的 Call Stack，即調(diào)用棧，顯示的是走到 JSON.stringify() 方法之前，依次經(jīng)過(guò)了哪些函數(shù)的處理，挨個(gè)往上調(diào)試，到 loginAction 方法時(shí)，可以看到變量 V 和 N 依次為明文賬號(hào)密碼，而后經(jīng)過(guò)了 a.hex_md5(N) 處理后，密碼被加密處理了，清晰明了，這就是關(guān)鍵的加密入口函數(shù)。

跟進(jìn) a.hex_md5()，其實(shí)就是 hex_md5() 方法，由名稱也可以看出是個(gè)簡(jiǎn)單的 MD5 加密，只不過(guò)后面把小寫全部轉(zhuǎn)為大寫罷了，完全可以使用 Python 來(lái)實(shí)現(xiàn)：

import hashlibencrypted_password = hashlib.md5("12345678".encode('utf-8')).hexdigest().upper() print(encrypted_password)# 25D55AD283AA400AF464C76D713C07AD

為了練習(xí) JS 代碼的剝離，我們將其加密代碼剝離下來(lái)：

將整個(gè) md5.js 文件里的代碼復(fù)制下來(lái)，可以發(fā)現(xiàn)代碼開頭有個(gè) define 關(guān)鍵字，這種寫法在 JavaScript 中叫做 AMD 規(guī)范，全稱 Asynchronous Module Definition，即異步模塊加載機(jī)制；結(jié)尾有個(gè) module.exports = j，它提供了暴露接口的方法，方便在其他文件中調(diào)用，感興趣的朋友可以自行百度了解，在本地調(diào)試過(guò)程中，直接刪除 define 和結(jié)尾的 module.exports = j，然后使用語(yǔ)句 j.hex_md5() 調(diào)用即可。

rnd

這個(gè) rnd 參數(shù)是直接跟在登錄 URL 后面的，一定是經(jīng)過(guò)了某個(gè)方法將 rnd 參數(shù)與原始 URL 拼接在一起，所以我們可以 Hook 這個(gè)登錄 URL，在 URL 生成之后斷下來(lái)，與 password 類似，編寫如下 Hook 腳本：

XMLHttpRequest 對(duì)象用于在后臺(tái)與服務(wù)器交換數(shù)據(jù)，可以同步或異步地返回 Web 服務(wù)器的響應(yīng)，而 XMLHttpRequest.open() 方法會(huì)初始化一個(gè)請(qǐng)求，基本語(yǔ)法為：XMLHttpRequest.open(method, url, async, user, password)，具體可以參考 MDN XMLHttpRequest.open()，其中的 url 參數(shù)就是發(fā)出請(qǐng)求的完整的 url，這里有個(gè)原型對(duì)象 prototype，所有的 JavaScript 對(duì)象都會(huì)從一個(gè) prototype 原型對(duì)象中繼承屬性和方法，具體可以參考菜鳥教程 JavaScript prototype 的介紹。

在以上 Hook 代碼中，定義了一個(gè)變量 open 保留原始 XMLHttpRequest.open 方法，然后重寫 XMLHttpRequest.open 方法，判斷如果 rnd 字符串值在 URL 里首次出現(xiàn)的位置不為 -1，即 URL 里包含 rnd 字符串，則執(zhí)行 debugger 語(yǔ)句，會(huì)立即斷下。

同樣的，將 Hook 腳本放到 Fiddler 插件里，F12 開啟抓包，刷新網(wǎng)頁(yè)，重新輸入賬號(hào)密碼點(diǎn)擊登錄，就可以看到成功斷下：

和之前查找 password 加密入口一樣的方法，依然是查看右邊的 Call Stack 調(diào)用棧，挨個(gè)往上調(diào)試，到 a 方法的時(shí)候，可以看到有一句 a.url = c.addUrlParam(a.url, "rnd", Math.random());，在 JavaScript 中 Math.random() 函數(shù)返回介于 0（包含） ~ 1（不包含）之間的一個(gè)偽隨機(jī)數(shù)，不難看出 rnd 的值就是一個(gè)隨機(jī)數(shù)。

那么在 Python 中，介于 0（包含） ~ 1（不包含）之間的一個(gè)偽隨機(jī)數(shù)可以使用 random 模塊來(lái)實(shí)現(xiàn)：

import randomrandom_number = random.uniform(0, 1) print(random_number)

完整代碼

GitHub 關(guān)注 K 哥爬蟲，持續(xù)分享爬蟲相關(guān)代碼！歡迎 star ！https://github.com/kgepachong/

**以下只演示部分關(guān)鍵代碼，不能直接運(yùn)行！**完整代碼倉(cāng)庫(kù)地址：https://github.com/kgepachong/crawler/

JavaScript 加密代碼

Python 登錄關(guān)鍵代碼

#!/usr/bin/env python3 # -*- coding: utf-8 -*-import time import random import hashlibimport execjs import requestslogin_url = '脫敏處理，完整代碼關(guān)注 GitHub：https://github.com/kgepachong/crawler'def get_enpwd_and_sign_by_javascript(password):with open('encrypt.js', 'r', encoding='utf-8') as f:encrypt_js = execjs.compile(f.read())encrypted_password = encrypt_js.call('getEncryptedPassword', password)sign = encrypt_js.call('getSign')return encrypted_password, signdef get_enpwd_and_sign_by_python(password):timestamp = str(int(time.time() * 1000))encrypted_password = hashlib.md5(password.encode('utf-8')).hexdigest().upper()sign = hashlib.md5(timestamp.encode('utf-8')).hexdigest().upper()return encrypted_password, signdef get_rnd():rnd = 'rnd' + str(random.uniform(0, 1))return rnddef login(username, encrypted_password, sign, rnd):headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36'}json = {"auth": {"timestamp": str(int(time.time() * 1000)),"sign": sign},"username": username,"password": encrypted_password}response = requests.post(url=login_url, params=rnd, json=json, headers=headers)print(response.json())def main():username = input('請(qǐng)輸入登錄賬號(hào): ')password = input('請(qǐng)輸入登錄密碼: ')# 通過(guò) JavaScript 代碼獲取加密后的密碼和 signencrypted_password, sign = get_enpwd_and_sign_by_javascript(password)# 通過(guò) Python 代碼獲取加密后的密碼和 sign# encrypted_password, sign = get_enpwd_and_sign_by_python(password)rnd = get_rnd()login(username, encrypted_password, sign, rnd)if __name__ == '__main__':main()

總結(jié)

以上是生活随笔為你收集整理的【JS 逆向百例】Fiddler 插件 Hook 实战，某创帮登录逆向的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：全球首款18GB内存骁龙8+旗舰！ROG
下一篇：【JS 逆向百例】网洛者反爬练习平台第六