wasm转c调用实战

查看 89|回复 9
作者:漁滒   
@TOC
本篇文章共介绍两个案例。在本篇文章中,之前文章讲过的内容会进行跳过,主要讲新的内容和知识,所以建议先看前置阅读
1.某德地图矢量瓦片逆向(快速wasm逆向),执行wasm2c翻译出来的c代码一
2.执行wasm2c翻译出来的c代码二
3.wasm转c调用与封装至dll案例
4.XXX视频cKey9.1的生成分析和实现
案例一:猿人学2022新春题
样品地址:https://match.yuanrenxue.com/match/20
新学习的知识:
[ol]
  • 导入函数环境检测处理
  • 二级指针取值
  • 编译为命令行方式调用
    [/ol]
    打开网址用f12抓包

    看到参数中有一个sign,通过调用堆栈,很容易找到其是调用sign函数计算的结果

    打断点后跟入,发现是调用wasm的导出函数

    搜索wasm下载,转成c文件

    在头文件中,可以看到有很多的导入函数,这里需要实现用到的函数的逻辑,最粗暴的方法是在所有的导入函数下断点,哪个运行到了就补哪一个

    例如这里调用了导入函数__wbindgen_is_undefined,根据js逻辑,就可以直接改为
    u32 wbindgen_is_undefined(u32 p0i32){
        return 0;
    }
    其他的如此类推,一直没有执行过的就直接赋值NULL即可,完整代码如下
    u32 wbg_self_e23d74ae45fb17d1(void){
        return 36;
    }
    u32 wbindgen_object_clone_ref(u32 p0i32){
        return p0i32 + 1;
    };
    u32 wbindgen_is_undefined(u32 p0i32){
        return 0;
    }
    u32 wbg_instanceof_Window_434ce1849eb4e0fc(u32 p0i32){
        return 1;
    }
    u32 wbg_document_5edd43643d1060d9(u32 p0i32){
        return p0i32 + 1;
    };
    u32 wbg_body_7538539844356c1c(u32 p0i32){
        return p0i32 + 1;
    };
    void wbindgen_object_drop_ref(u32 p0i32){
    }
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_instanceof_Window_434ce1849eb4e0fcZ_ii)(u32) = wbg_instanceof_Window_434ce1849eb4e0fc;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_document_5edd43643d1060d9Z_ii)(u32) = wbg_document_5edd43643d1060d9;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_body_7538539844356c1cZ_ii)(u32) = wbg_body_7538539844356c1c;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_newnoargs_f579424187aa1717Z_iii)(u32, u32) = NULL;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_call_89558c3e96703ca1Z_iii)(u32, u32) = NULL;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_globalThis_d61b1f48a57191aeZ_iv)(void) = NULL;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_self_e23d74ae45fb17d1Z_iv)(void) = wbg_self_e23d74ae45fb17d1;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_window_b4be7f48b24ac56eZ_iv)(void) = NULL;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbg_global_e7669da72fd7f239Z_iv)(void) = NULL;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbindgen_is_undefinedZ_ii)(u32) = wbindgen_is_undefined;
    u32 (*Z_Z2EZ2Findex_bgZ2EjsZ___wbindgen_object_clone_refZ_ii)(u32) = wbindgen_object_clone_ref;
    void (*Z_Z2EZ2Findex_bgZ2EjsZ___wbindgen_object_drop_refZ_vi)(u32) = wbindgen_object_drop_ref;
    void (*Z_Z2EZ2Findex_bgZ2EjsZ___wbindgen_throwZ_vii)(u32, u32) = NULL;
    这样就完成了所有的导入函数,接下来就是写自己的导出函数

    这里函数调用后,得到的是一个二级指针,要得到最终的字符串,需要先读取一次指针,再读取字符串,完整代码入下
    #include
    #include
    #include "match20.c"
    extern void init_wasm(void);
    extern char* get_sign(char*);
    void init_wasm(){
        init_func_types();
        init_globals();
        init_memory();
        init_table();
        init_exports();
    }
    char* get_sign(char* content){
        u32 retptr = w2c___wbindgen_add_to_stack_pointer(-16);
        int content_len = (int)strlen(content);
        u32 content_ptr = w2c___wbindgen_malloc( content_len + 1);
        memcpy(w2c_memory.data + content_ptr, content, content_len + 1);
        w2c_sign(retptr, content_ptr, content_len);
        int out_ptr = 0;
        out_ptr += (w2c_memory.data + retptr)[0];
        out_ptr += (w2c_memory.data + retptr)[1]
    然后编译为dll进行调用
    "D:/MinGW64/bin/gcc" -shared -Os -s -o match20.dll main.c wasm-rt-impl.c
    然后尝试在python中进行调用

    非常诡异的错误,目录下明明有这个文件,却显示找不到模块,如果有大佬知道是为什么,麻烦在评论区回复一下我,先谢谢了。
    既然dll没法调用,exe总归能调用,那么也可以通过命令行来传参,调用exe获取结果。main函数中提供了两个参数来接受命令行参数。argc和argv,一个是命令行参数的长度,一个是命令行参数列表,完整代码如下
    int main(int argc,char *argv[]) {
        init_wasm();
        char* content = argv[1];
        u32 retptr = w2c___wbindgen_add_to_stack_pointer(-16);
        int content_len = (int)strlen(content);
        u32 content_ptr = w2c___wbindgen_malloc( content_len + 1);
        memcpy(w2c_memory.data + content_ptr, content, content_len + 1);
        w2c_sign(retptr, content_ptr, content_len);
        int out_ptr = 0;
        out_ptr += (w2c_memory.data + retptr)[0];
        out_ptr += (w2c_memory.data + retptr)[1]
    这次编译的是为exe
    "D:/MinGW64/bin/gcc" -o match20 main.c wasm-rt-impl.c
    把生成的exe放到py文件同目录下

    完美得到结果
    import requests
    import time
    import os
    from urllib import parse
    def main():
        sums = 0
        headers = {
            'cookie': '',
            'user-agent': 'yuanrenxue.project',
            'x-requested-with': 'XMLHttpRequest'
        }
        for page in range(1, 6):
            data = {
                'page': str(page),
                't': str(int(time.time())) + '000'
            }
            nodejs = os.popen('match20 "' + data['page'] + '|' + data['t'] + '"')
            data['sign'] = nodejs.read().replace('\n', '')
            nodejs.close()
            print(data)
            url = 'https://match.yuanrenxue.com/api/match/20?' + parse.urlencode(data)
            response = requests.get(url, headers=headers).json()
            print(response)
            for each in response['data']:
                sums += each['value']
        print(sums)
        # 总和:253014
    if __name__ == '__main__':
        main()

    dll调用修复,在6楼Frhvjhhv大佬提到的,是因为缺少引用的dll文件,使用Depends查看编译出来的dll

    可以看到,确实缺少了一个libgcc_s_sjlj-1.dll。这个dll可以在gcc目录下找到【D:\MinGW64\x86_64-w64-mingw32\lib】,把缺少的dll复制到编译出来的dll同目录下。再次尝试调用dll

    调用成功,测试也可以成功获取数据
    import ctypes
    def main():
        dll = ctypes.windll.LoadLibrary('match20.dll')
        dll.init_wasm()
        dll.get_sign.argtypes = [ctypes.c_char_p]
        dll.get_sign.restype = ctypes.c_char_p
        ckey = dll.get_sign(ctypes.c_char_p(b"2|1643370206000"))
        print(ckey.decode())
    if __name__ == '__main__':
        main()
    案例二:某讯视频ckey参数获取
    样品地址:aHR0cHM6Ly92LnFxLmNvbS94L2NvdmVyL216YzAwMjAwbXA4dm85Yi9uMDA0MWFhMDg3ZS5odG1s
    新学习的知识:
    [ol]
  • 导入数值处理
  • 带有闭包的导入函数环境检测处理
    [/ol]
    大部分js分析的过程在前置阅读的第四篇已经有详细介绍,就不多说了,这里直接进入wasm的内容
    创建完项目后,根据文章中的代码,导入函数中除了getTotalMemory和_get_unicode_str,其他都可以直接给NULL,具体怎么补后面说。
    然后是导入内存和导入表,前置阅读的第三篇已经详细介绍过,这里就跳过
    最后是导入数值,导入数值比较暴力,首先设置为NULL

    然后在所有引用到的地方修改为导入的数值


    这样导入数值就处理完了,最后就是上面留下的两个导入函数。
    getTotalMemory比较简单,在js中可以看到返回的是一个定值
    u32 envZ_getTotalMemoryZ_iv(void){
      return 16777216;
    }
    _get_unicode_str比较麻烦,它的js函数如下
    function P() {
        function a(a) {
            return a ? a.length > 48 ? a.substr(0, 48) : a : ""
        }
        function b() {
            var b = document.URL
              , c = window.navigator.userAgent.toLowerCase()
              , d = "";
            document.referrer.length > 0 && (d = document.referrer);
            try {
                0 == d.length && opener.location.href.length > 0 && (d = opener.location.href)
            } catch (e) {}
            var f = window.navigator.appCodeName
              , g = window.navigator.appName
              , h = window.navigator.platform;
            return b = a(b),
            d = a(d),
            c = a(c),
            b + "|" + c + "|" + d + "|" + f + "|" + g + "|" + h
        }
        var c = b()
          , d = p(c) + 1
          , e = Pb(d);
        return o(c, e, d + 1),
        e
    }
    可以看到其通过闭包获取了document.URL和window.navigator等等的值。那么这里尽量把可以写死的值写死,document.URL只能够传进去,那么怎么解决?
    那么可以在函数外面定义一个变量,然后再调用之前给这个变量赋值,代码如下
    char *url;
    void set_url(char *url_str){
        url = url_str;
    }
    u32 envZ__get_unicode_strZ_iv(void){
      int c_len = (int)strlen(url);
      u32 e = w2c__malloc(c_len + 75);
      memcpy(w2c_memory.data + e, url, c_len);
      memcpy(w2c_memory.data + e + c_len, "|mozilla/5.0 (windows nt 10.0; wow64) applewebkit||Mozilla|Netscape|Win32", 73);
      return e;
    }
    这样就可以曲线处理闭包的参数,完整的导入函数处理如下
    static wasm_rt_memory_t w2c_memory;
    static wasm_rt_table_t w2c___indirect_function_table;
    char *url;
    void set_url(char *url_str){
        url = url_str;
    }
    u32 envZ__get_unicode_strZ_iv(void){
      int c_len = (int)strlen(url);
      u32 e = w2c__malloc(c_len + 75);
      memcpy(w2c_memory.data + e, url, c_len);
      memcpy(w2c_memory.data + e + c_len, "|mozilla/5.0 (windows nt 10.0; wow64) applewebkit||Mozilla|Netscape|Win32", 73);
      return e;
    }
    u32 envZ_getTotalMemoryZ_iv(void){
    return 16777216;
    }
    wasm_rt_memory_t (*Z_envZ_memory) = &w2c_memory;
    wasm_rt_table_t (*Z_envZ_table) = &w2c___indirect_function_table;
    u32 (*Z_envZ_enlargeMemoryZ_iv)(void) = NULL;
    u32 (*Z_envZ_getTotalMemoryZ_iv)(void) = envZ_getTotalMemoryZ_iv;
    u32 (*Z_envZ_abortOnCannotGrowMemoryZ_iv)(void) = NULL;
    void (*Z_envZ_abortStackOverflowZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_iiZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_iiiiZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_vZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_viZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_viiiiZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_viiiiiZ_vi)(u32) = NULL;
    void (*Z_envZ_nullFunc_viiiiiiZ_vi)(u32) = NULL;
    void (*Z_envZ____lockZ_vi)(u32) = NULL;
    void (*Z_envZ____setErrNoZ_vi)(u32) = NULL;
    u32 (*Z_envZ____syscall140Z_iii)(u32, u32) = NULL;
    u32 (*Z_envZ____syscall146Z_iii)(u32, u32) = NULL;
    u32 (*Z_envZ____syscall54Z_iii)(u32, u32) = NULL;
    u32 (*Z_envZ____syscall6Z_iii)(u32, u32) = NULL;
    void (*Z_envZ____unlockZ_vi)(u32) = NULL;
    void (*Z_envZ__abortZ_vv)(void) = NULL;
    u32 (*Z_envZ__emscripten_memcpy_bigZ_iiii)(u32, u32, u32) = NULL;
    u32 (*Z_envZ__get_unicode_strZ_iv)(void) = envZ__get_unicode_strZ_iv;
    u32 (*Z_envZ_memoryBaseZ_i) = NULL;
    u32 (*Z_envZ_tableBaseZ_i) = NULL;
    u32 (*Z_envZ_DYNAMICTOP_PTRZ_i) = NULL;
    u32 (*Z_envZ_tempDoublePtrZ_i) = NULL;
    u32 (*Z_envZ_STACKTOPZ_i) = NULL;
    u32 (*Z_envZ_STACK_MAXZ_i) = NULL;
    f64 (*Z_globalZ_NaNZ_d) = NULL;
    f64 (*Z_globalZ_InfinityZ_d) = NULL;
    接着可以写自己的导出函数,这时就没有什么难度了,都前面说过的
    #include
    #include
    #include "txckey91.c"
    extern void init_wasm(void);
    extern char* get_ckey(int, char*, char*, char*, char*, char*, int);
    void init_wasm(){
        init_func_types();
        init_globals();
        init_memory();
        init_table();
        init_exports();
    }
    char* get_ckey(int platform, char* url_str, char* appVer, char* vid, char* empty_str, char* guid, int tm){
        set_url(url_str);
        int appVer_len = (int)strlen(appVer);
        u32 appVer_ptr = w2c__malloc( appVer_len + 1);
        memcpy(w2c_memory.data + appVer_ptr, appVer, appVer_len + 1);
        int vid_len = (int)strlen(vid);
        u32 vid_ptr = w2c__malloc( vid_len + 1);
        memcpy(w2c_memory.data + vid_ptr, vid, vid_len + 1);
        int empty_str_len = (int)strlen(empty_str);
        u32 empty_str_ptr = w2c__malloc( empty_str_len + 1);
        memcpy(w2c_memory.data + empty_str_ptr, empty_str, empty_str_len + 1);
        int guid_len = (int)strlen(guid);
        u32 guid_ptr = w2c__malloc( guid_len + 1);
        memcpy(w2c_memory.data + guid_ptr, guid, guid_len + 1);
        u32 out_ptr = w2c__getckey(platform, appVer_ptr, vid_ptr, empty_str_ptr, guid_ptr, tm);
        char* out_str = (char *)malloc(512);
        memcpy(out_str, w2c_memory.data + out_ptr, 512);
        w2c__free(appVer_ptr);
        w2c__free(vid_ptr);
        w2c__free(empty_str_ptr);
        w2c__free(guid_ptr);
        return out_str;
    }
    int main(int argc,char *argv[]) {
        return 0;
    }
    编译文件为dll
    "D:/MinGW64/bin/gcc" -shared -Os -s -o txckey91.dll main.c wasm-rt-impl.c
    尝试在python中调用

    运行正常,得出的结果与浏览器结果对比完全一致。完结
    import ctypes
    def main():
        dll = ctypes.windll.LoadLibrary('txckey91.dll')
        dll.init_wasm()
        dll.get_ckey.argtypes = [ctypes.c_int, ctypes.c_char_p, ctypes.c_char_p, ctypes.c_char_p, ctypes.c_char_p, ctypes.c_char_p, ctypes.c_int]
        dll.get_ckey.restype = ctypes.c_char_p
        ckey = dll.get_ckey(ctypes.c_int(10201), ctypes.c_char_p(b"https://v.qq.com/x/cover/mzc00200mp8vo9b/x0041qq"),
                            ctypes.c_char_p(b"3.5.57"), ctypes.c_char_p(b"x0041qqe42w"), ctypes.c_char_p(b""),
                            ctypes.c_char_p(b"f13cfbab245307b814a9dad672908bc7"), ctypes.c_int(1643337028))
        print(ckey.decode())
    if __name__ == '__main__':
        main()

    在这里, 函数

  • Frhvjhhv   

    亲测可用。找不到指定的模块是缺一些c++运行库。gcc编译的dll有时候就会这样。解决方法:下载Depends软件,把编译的match20.dll拖进去。就可以看到外部的dll调用。爆红的就是找不到的dll,从网上下载,拷贝到match20.dll所在目录或者系统目录即可。如果出现一大堆爆红的,就说明某个c++运行库没有安装,网上下载这些dll所属的c++运行库,安装(一大堆爆红的说明肯定有那个运行库没有安装。最好先用DirectX修复工具或者3dm通用运行库安装一下)。Depends软件使用说明https://www.pianshen.com/article/91021094433/
    warner   

    渔滒yyds
    xixicoco   

    前排抱紧渔哥哥大腿!
    [i]
    白龙第一分龙   

    渔歌,牛逼大牛
    ofo   

    渔滒yyds
    Frhvjhhv   

    不错的教程,上次的实现成功,这个明天动手
    漁滒
    OP
      

    至于为啥exe可用但是dll不可用,原理不知道,但是用depends软件查看dll依赖,你会发现的确是缺失dll的
    勇敢南山   


    Frhvjhhv 发表于 2022-1-29 00:34
    亲测可用。找不到指定的模块是缺一些c++运行库。gcc编译的dll有时候就会这样。解决方法:下载Depends软件, ...

    感谢,我去尝试一下
    勇敢南山   

    感谢分享,学习了
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部