抓包分析
我们选择邮箱,输入账号密码进行登录,发了一个login请求,其中参数k是需要逆向分析的,请求头和响应都不需要额外处理。
1.png (49.6 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
因为参数k并没有什么特征,所以直接搜索不太现实,所以我们选择跟栈来看参数如何生成的。
从启动器入手,看到了Promise.then,那参数的生成有可能涉及异步,那我们在异步之后下断点,验证一下猜想。
2.png (27.23 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
可以看到异步之后参数k已经生成,那大概率就涉及异步了。
3.png (45.63 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
逆向分析
既然知道可能涉及异步,那我们就在异步之前下断,可以找一找请求拦截器。
4.png (26.41 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
5.png (11.64 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
可以看到data中参数k还没有生成。
6.png (18.77 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
那我们可以简单hook一下参数k(这里因为只剩下参数k还没有set,且只是为了找到位置,所以hook代码就简单写了,更完善的hook代码可以自行查资料实现)。
Object.defineProperty(e.data, 'k', {
set(){
debugger
}
})
hook代码生效后,过掉断点,发现参数k的set并没有hook到,那么根据经验,data可能在过程中被重新赋值了,所以我们hook一下data的set方法。
Object.defineProperty(e, 'data', {
set(){
debugger
}
})
成功hook到data设置参数。
7.png (7.13 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
往上跟一个栈,我们就可以发现参数k的生成位置了。
8.png (12.38 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
把断点下好,重新刷新网页(因为之前的hook代码写得很潦草,防止出现不期待的情况),然后进行参数k的逆向。
在逆向过程中,有很多小技巧可以简化我们的逆向过程,比如这里的t.data,在经过h()(t.data, !1) || {}其实并没有变化,那我们就可以不去抠h()的代码。
9.png (12.38 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
然后我们的重点是Object(y.a)这个函数,直接跟进去,e是data,path是路径参数/v1/user/company/login,n就是前文的n,r是请求方法。
10.png (20.49 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
可以直接把这个函数拉下来本地,然后缺什么补什么,还是那句话,能简化的东西就简化,能不抠的代码就不要去抠。
这里的t经过c()函数后并没有发生变化,那就可以不抠c()的代码,直接var n = t;
11.png (13.28 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
这里的!l()(n)可能只是在校验n这个对象是什么类型,在生成参数k这一细分流程中,n始终是对象类型,那我们也没必要去抠l()的代码,直接把条件当true处理。
12.png (25.41 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
l()函数代码
13.png (18.72 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
然后就是加密方法Object(_.b),我们直接跟进去。可以清晰地看到是aes-cbc的加密,但我们常遇到的是用crypto-js这个库实现的,这里显得有些陌生。
14.png (11.7 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
遇事不决,那就问一问AI,可以看到AI也是很给力,给出了一版答案。
15.png (32.58 KB, 下载次数: 0)
下载附件
2025-5-3 13:52 上传
16.png (48.08 KB, 下载次数: 0)
下载附件
2025-5-3 13:53 上传
我们本地模拟实现,和网站的结果对比一下,可以看到结果是正确的。
17.png (2.9 KB, 下载次数: 0)
下载附件
2025-5-3 13:53 上传
18.png (833 Bytes, 下载次数: 0)
下载附件
2025-5-3 13:53 上传
那我们的代码就算是抠完了。
那么有人就好奇,在进行aes加密时用到的几个参数,看起来并没有规律,那为什么我们并没有去跟,其实这都是经验之谈。
服务器拿到我们生成的加密参数,是需要去校验的,对于aes这种对称加密算法而言,它的key和iv肯定在服务器中存有一份,既然login接口没有上报,那key和iv要么是固定的,要么是服务器下发的,这个网站每次刷新key和iv都会变,那大概率是服务器下发的,我们可以直接搜索。
可以看到这些参数确实在html页面中(服务器下发)。
19.png (111.62 KB, 下载次数: 0)
下载附件
2025-5-3 17:56 上传
那我们模拟登录的流程就是:先请求html页面拿到s、k和l三个参数,然后通过前文的流程生成参数k,最后携带生成的参数模拟请求。
模拟请求结果:
20.png (62.39 KB, 下载次数: 0)
下载附件
2025-5-3 13:53 上传
成功!!!
