网址:aHR0cHM6Ly93d3cubm1tZS54eXov
先帝创业未半。。。
e4f658ffece563e93ae9cc28c1ae545.png (54.81 KB, 下载次数: 0)
下载附件
2023-4-27 11:13 上传
解决方法:
永不在此暂停,注意当debugger住时已经晚了,直接页面'about:blank',所以要先勾上script断点,在图中debugger断住前断住勾上永不在此暂停,弊端:刷新就要重复当前步骤
替换响应,使用python的mitmproxy
7a0d8cc4a35ab0d8e03595cd17e9d73.png (33.84 KB, 下载次数: 0)
下载附件
2023-4-27 11:24 上传
发现凡是链接位置都是javascript;;,后面的data-url一眼顶真,'=='盲猜是base解密url
fa9714d0418d69bdddc6c8f7d27957f.png (36 KB, 下载次数: 0)
下载附件
2023-4-27 09:36 上传
27c3227b7beb071a90d0f79cccffb87.png (21.33 KB, 下载次数: 0)
下载附件
2023-4-27 09:40 上传
b71e919c32a8f8e1dc66b550f117193.png (21.04 KB, 下载次数: 0)
下载附件
2023-4-27 09:41 上传
先看复制链接这个加密,发现并不对,可能修改过或者在解密前做了其他操作
289be6f408e880ebed36369011152fb.png (8.46 KB, 下载次数: 0)
下载附件
2023-4-27 11:09 上传
点击后解密复制在了剪贴板,所以目标可以选择找click事件或copy函数,点击Elements点击事件监听器
ee952a1b424000ff6ed8901d75e1ed3.png (71.49 KB, 下载次数: 0)
下载附件
2023-4-27 11:38 上传
进入后指向这个文件的这个方法,直接下断点,看到这些变量命名就像回到家一样,自己也尝试实现过
简单例子:
混淆StringLiteral:win['document'] => win[d] => win[F('?','?')]
混淆BinaryExpression:a + b => F('?','?') + F('?','?') => O[F('?','?')](F('?','?'),F('?','?'))
eb268d72a9c1ea959e550323d000900.png (26.52 KB, 下载次数: 0)
下载附件
2023-4-27 11:42 上传
cf3dea76d3eec4c4e9979fa00233049.png (31.74 KB, 下载次数: 0)
下载附件
2023-4-27 11:43 上传
不解混淆,直接跳过混淆的对象赋值和各种赋值,在if分支后面下断点运行直接到最后一个else,这种混淆除了进入解密算法前大部分分支都是无意义的
f97a8906644e24ae28a8856aa1bf4fc.png (53.84 KB, 下载次数: 0)
下载附件
2023-4-27 14:45 上传
9d88a295092def197833b95e7046f56.png (9.89 KB, 下载次数: 0)
下载附件
2023-4-27 14:48 上传
不像解密算法该有的样子,那就是还在准备调用前跳转,不用一个一个用鼠标去选查看混淆前上什么,直接无脑步入步出
0c6c33d7ad4a56e87dbcbbc26dd8600.png (1.21 KB, 下载次数: 0)
下载附件
2023-4-27 15:05 上传
这个就是自己计算取真实代码,步出再步入
82211650bf89e709d92c94daea3cbe0.png (18.89 KB, 下载次数: 0)
下载附件
2023-4-27 15:06 上传
开始拼接复制的部分文本,我们要的是链接解密,步出步入
7d8fc3d299b1c591ae7216162a9e703.png (20.74 KB, 下载次数: 0)
下载附件
2023-4-27 15:12 上传
到达最高城 理塘 ,看函数名就知道到达理塘了,并且参数刚好是要解密的字符串,估计网站作者没充钱,藏了又跟没藏一样,算法很短,for循环里的if分支也是假的,直接走最后一个else分支,流程base64解密 ->跟固定字符串异或 ->base64解密 = 明文
013b9d239550214a912bb5f01ad0b7a.png (37.24 KB, 下载次数: 0)
下载附件
2023-4-27 15:16 上传
9fdd029de832e14c4ac912ece2922c2.png (59.45 KB, 下载次数: 0)
下载附件
2023-4-27 15:23 上传
结果
[Python] 纯文本查看 复制代码import base64
def atob(string):
return base64.b64decode(string.encode()).decode()
def decrypt(string, res=''):
temp = atob(string)
for i in range(len(temp)):
res += chr(ord(temp) ^ ord("nmmeccpan"[i % 9]))
return atob(res)
print(decrypt('DyU/VQArPVciF1QaPDRXBTgDKB03LTYWKVNXGiFeKBUuKAVfDTUJFy1QABc9KTc6BFMbGQAmLDU4DlNSIyYNQQ4lAQgzJAZaISkKWA=='))
#https://pan.baidu.com/s/1wuqwk7zoHfVkLbhpWRM5Hg?pwd=8888
还有另一个加密链接,本来看不看无所谓,但是传入解密代码它报错耶,这不能忍,这个密文链接是点击跳转另一个页面,直接hook window.open = (e) => {debugger}运行,查看e值
cbaf21b0b8408470da9170506f8b6a9.png (24.39 KB, 下载次数: 0)
下载附件
2023-4-27 16:10 上传
结果:python直接请求 url = location.origin + '/open/other/' + 那串不是密文的密文 直接跳转
fbdc1b372e793cd6a890213b91b8e7b.png (26.7 KB, 下载次数: 0)
下载附件
2023-4-27 16:27 上传
完结
分析时间 < 写文章时间
