javascript混淆解密（JS 逆向百例】猿人学系列 web 比赛第五题：js 混淆 – 乱码增强，详细剖析）

逆向目标

猿人学 - 反混淆刷题平台 Web 第五题：js 混淆    
    
    
    ，乱码增强

目标：抓取全部 5 页直播间热度


     


     


     


，计算前 5 名直播间热度的加和

主页：https://match.yuanrenxue.com/match/5

接口：https://match.yuanrenxue.com/api/match/5?m=XXX&f=XXX

逆向参数：

url 请求参数：m    
    
    
、f Cookie 参数：m     


     


     


    、RM4hZBv0dDon443M

逆向过程

抓包分析

进入网页
 




 




 




，点击右键查看页面源代码   

   

   

   ，搜索不到直播间相关数据信息 

     

     

     

，证明是通过 ajax 加载的数据

  




  




  




，ajax 加载有特殊的请求类型 XHR  


  


  


  ，打开开发者人员工具  
     
     
     
，刷新网页进行抓包


   




   




   




，在 Network 的筛选栏中选择 XHR 



 



 



 ，数据接口为 5?m=XXX&f=XXX                  ，在响应预览中可以看到各直播间热度数据：

接口 url 有两个请求参数 m 和 f



    




    




    




，现在还不知道具体怎么来的：

本题提示 cookie 有效期仅为 50 秒钟














，即 cookie 值是在动态变化的                   ，经过对比分析



     



     



     



，cookie 中有两个动态变化的参数 m 和 RM4hZBv0dDon443M














，接下来需要定位到其生成的位置：

逆向分析

Cookie 加密参数分析

可以通过 Hook Cookie 的方式定位参数位置    
    
    
    ，这里通过 Fiddler 编程猫插件进行 Hook


     


     


     


，相关插件在 K哥爬虫公众号发送【Fiddler插件】即可获取
 




 




 




，Hook 代码如下：

(function () { use strict; var cookieTemp = ; Object.defineProperty(document, cookie, { set: function (val) { if (val.indexOf(RM4hZBv0dDon443M) != -1) { debugger; } console.log(Hook捕获到cookie的值->, val); cookieTemp = val; return val; }, get: function () { return cookieTemp; }, }); })();

将以上代码写入插件中   

   

   

   ，注入 Hook：

清除网页缓存 

     

     

     

，勾选开启框

  




  




  




，打开 Fiddler 进行 Hook 注入  


  


  


  ，可以发现成功断住：

从右侧堆栈中向上跟栈  
     
     
     
，会发现跟到了虚拟机 VMXXX 中


   




   




   




，点击右下角 { } 格式化 



 



 



 ，跳转到了第 978 行                  ，代码部分如下：

_0x3d0f3f[_$Fe] = R + M + 4 + h + Z + B + v + 0 + d + D + o + n + 4 + 4 + 3 + M= + _0x4e96b4[_$ss] + ;\x20path=/;

在该行打下断点进行调试



    




    




    




，控制台打印相关参数：

_$Fe：cookie _ 0x4e96b4[_$ss]：RM4hZBv0dDon443M 参数加密后的值

前面各字母组成起来就是 RM4hZBv0dDon443M=














，此处就是 RM4hZBv0dDon443M 参数加密后赋值给 cookie 的位置                   ，所以关键的加密部分为 _0x4e96b4[_$ss]



     



     



     



，打印相关内容会发现 _0x4e96b4 是 window 对象














，window. _$ss 即加密后的值：

直接搜索 _$ss 没有结果    
    
    
    ，同样尝试 Hook


     


     


     


，Hook 代码：

(function () { use strict Object.defineProperty(window, _$ss, { set: function (val) { console.log(Hook捕获到_$ss的值->, val); debugger; }, }); })();

成功断住：

同样向上跟栈
 




 




 




，找到其定义位置   

   

   

   ，跟到了虚拟机中 

     

     

     

，格式化后跳到第 1229 行：

_0x4e96b4[_$ + _$UH[0x348][0x1] + _$UH[0x353][0x1]] = _0x29dd83[_$UH[0x1f]]();

在该行打下断点调试分析各自含义：

_$s 




 




 




 


、_$UH[0x348][0x1]
   

   

   

、 _$UH[0x353][0x1] 组合起来：_$ss _$UH[0x1f]()：toString() _0x29dd83[ _$UH[0x1f]]()：将 _0x29dd83 生成的值转换为字符串

因此关键的加密位置肯定在 _0x29dd83 中

  




  




  




，往上看  


  


  


  ， _0x29dd83 定义在第 1225 行  
     
     
     
，这时候眼前一亮


   




   




   




，看到了 mode 和 padding 两个关键字 



 



 



 ，这里大概率为 AES 或者 DES 加密                  ，将代码解混淆替换后的结果如下：

_$Ww = _$Tk[enc][utf-8][parse](_0x4e96b4[_$pr][toString]()), _0x29dd83 = _$Tk[AES](_$Ww, _0x4e96b4[_$qF], { mode: _$Tk[mode][ECB], padding: _$Tk[pad][pkcs7] }), _0x4e96b4[_$ss] = _0x29dd83[toString]();

现在就很明显了



    




    




    




，这里为 AES 加密














，加密内容为 _$Ww                   ，key 值为 _0x4e96b4[_$qF]



     



     



     



，加密模块为 ECB














，填充方式为 pkcs7：

CBC：Cipher Block Chaining（密码块链接模式）    
    
    
    ，是一种循环模式


     


     


     


，前一个分组的密文和当前分组的明文异或操作后再加密
 




 




 




，这样做的目的是增强破解难度 PKCS7：在填充时首先获取需要填充的字节长度 = 块长度 - （数据长度 % 块长度）, 在填充字节序列中所有字节填充为需要填充的字节长度值

_$Ww 的值由 _0x4e96b4[_$pr] 转换为字符串后经过 utf-8 编码得到   

   

   

   ，其与 key 值 _0x4e96b4[_$qF] 都是数组 

     

     

     

，需要知道这两个数组是怎么生成的

  




  




  




，先 ctrl + f 搜索 _0x4e96b4[_$qF]  


  


  


  ，定义在第 1444 行  
     
     
     
，内容如下：

_0x4e96b4[_$qF] = CryptoJS[enc][Utf8][_$UH[0xff]](_0x4e96b4[btoa](_0x4e96b4[_$is])[slice](0x0, 0x10));

在该行打下断点


   




   




   




，控制台打印分析一下：

由此可见 



 



 



 ，_0x4e96b4[_$qF] 是通过 CryptoJS 库将字符串经过 base64 加密后取前 16 位的结果                  ，搜索 _0x4e96b4[_$is]



    




    




    




，找到字符串生成的位置














，在第 674 行                   ，由 _$yw 赋值



     



     



     



，在上一行可以看到熟悉的 _$Fe














，即 cookie    
    
    
    ，发现 cookie 中的 m 参数是在这里定义的：

_0x3d0f3f[_$Fe] = m= + _0x474032(_$yw) + ;\x20path=/;

参数 m 的值也与 _$yw 有关


     


     


     


，m 参数是将 _$yw 经过 _0x474032 函数处理后得到
 




 




 




，后面再专门进行分析   

   

   

   ，_$yw 定义在第 672 行：

_$yw = _0x2d5f5b()[_$UH[0x1f]]();

_$UH[0x1f] 为 “toString    
    
    
    ” 

     

     

     

，_$yw 的值是将 _0x2d5f5b() 函数的返回值转换成了字符串得到的

  




  




  




，跟进到该函数定义的位置  


  


  


  ，搜索后发现在第 279 行  
     
     
     
，控制台打印后发现这里就是时间戳


   




   




   




，所以 _$yw 即时间戳：

因此 _0x4e96b4[_$qF]的值是将时间戳经过 base64 加密后取了前 16 位的结果 



 



 



 ，接下来只需要知道 _0x4e96b4[_$pr]是如何生成的                  ，就能复现出 RM4hZBv0dDon443M 参数的加密过程



    




    




    




，在第 1224 行打断点调试发现此时的 _0x4e96b4[_$pr] 数组包含五个值：

现在就需要知道这五个值是在哪传进去的














，搜索 _0x4e96b4[_$pr] 看看哪里对其进行了赋值                   ，每个都打下断下



     



     



     



，该数组定义在第 270 行：

_0x4e96b4[_$pr] = new _0x4d2d2c();

_0x4d2d2c 在第 224 行定义为 Array














，所以这里是创建了一个数组 _0x4e96b4[_$pr]    
    
    
    ，接着往后找传值的地方


     


     


     


，继续运行断点调试
 




 




 




，第 1717 行的断点运行了四次传入了四个值：

_0x4e96b4[_$pr][push](_0x474032(_$Wa));

跟进 _$Wa 定义的位置   

   

   

   ，在第 1715 行 

     

     

     

，由 _0x12eaf3 函数生成

  




  




  




，跟进到这个函数的位置  


  


  


  ，在第 275 行  
     
     
     
，返回值解混淆后如下：

Date[parse](new Date());

再次下一步调试断点会跳转到第 868 行


   




   




   




，这时候数组被传入了第五个值 



 



 



 ，_$yw 为时间戳                  ，由于 m = _0x474032(_$yw)



    




    




    




，所以第五个值也就是参数 m 的值














，记住这里出现的 _0x4e96b4[_$is]：

_0x3d0f3f[_$Fe] = m= + _0x474032(_$yw) + ;\x20path=/; _0x4e96b4[_$is] = _$yw; _0x4e96b4[_$pr][push](_0x474032(_$yw));

数组值的生成位置都找到了                   ，跟 m 参数一样



     



     



     



，传入的值都经过了 _0x474032 函数的处理














，因此需要跟进 _0x474032 函数    
    
    
    ，鼠标选中


     


     


     


，点击即可跳转到该函数定义的位置：

在第 455 行
 




 




 




，返回值为三目表达式：

function _0x474032(_0x233f82, _0xe2ed33, _0x3229f9) { return _0xe2ed33 ? _0x3229f9 ? v(_0xe2ed33, _0x233f82) : y(_0xe2ed33, _0x233f82) : _0x3229f9 ? _0x41873d(_0x233f82) : _0x37614a(_0x233f82); }

在 return 处打下断点调试   

   

   

   ，_0x233f82 为传入的 _$yw 的值 

     

     

     

，即时间戳

  




  




  




，后面两个参数均为 undefined  


  


  


  ，所以不妨将函数简化下：

function _0x474032(_0x233f82, _0xe2ed33, _0x3229f9) { return _0x37614a(_0x233f82); }

接下来需要跟进到 _0x37614a 函数的位置：

function _0x37614a(_0x32e7c1) { return _0x499969(_0x41873d(_0x32e7c1)); }

这里就需要跟出 _0x499969 函数和 _0x41873d 函数的内容  
     
     
     
，接下来就是扣


   




   




   




，缺啥补啥 



 



 



 ，缺函数补函数                  ，缺环境补环境



    




    




    




，若报错提示 _$UH is not defined














，_$UH 是个大数组                   ，直接将其整体解混淆替换掉就行了



     



     



     



，例如：

_$UH[0x6c] ---> "length"

或者写成键值对形式：

_$UH = { 8: prototype, 15: charCodeAt, 31: toString, 108: length }

值得注意的是 _0x11a7a2 函数














，运行时会报错 op is not defined    
    
    
    ，op 定义在第 308 行：

op 的值为 26


     


     


     


，这里直接将其定义成固定值即可
 




 




 




，即 var op = 26;

同样将 _0x42fb36 和 b64pad 也写成固定值   

   

   

   ，即 _0x42fb36 = 16;      

     

     

   、b64pad = 1;

调试过程中还发现 window[_$6_] 




  




  




  

、window[_$tT]

  


  


  


、window[_$Jy] 这几个参数的值是在动态变化的 

     

     

     

，不进行改写甚至将相关部分注释掉

  




  




  




，在本地 node 环境中都是可以运行出结果的  


  


  


  ，但是用 python 调用的话会报错  
     
     
     
，证明在前端会对这几个参数进行校验


   




   




   




，这几个参数在 _0x11a7a2 函数中定义 



 



 



 ，该函数溯源后最终被 _0x474032 函数调用                  ，_0x474032 函数对 _$yw 的值进行处理



    




    




    




，生成了 _0x4e96b4[_$pr] 数组的最后一个值及 m 参数的值














，所以如果这几个参数的值匹配错误的话会导致校验失败                   ，我们只需要打断点看 m 参数的值生成的时候



     



     



     



，这三个参数的值是多少














，然后写成固定值就行了：

window[_$6_] = -389564586; window[_$tT] = -660478335; window[_$Jy] = -405537848;

至此 Cookie 中 RM4hZBv0dDon443M 参数和 m 参数的生成逻辑就疏通了    
    
    
    ，以下通过 JavaScript 对其复现：

// 以下函数部分内容过长


     


     


     


，此处省略 // 完整代码关注 GitHub：https://github.com/kgepachong/crawler var CryptoJS = require(crypto-js); function rm4Encrypt(_$yw, pr){ var value = Buffer.from(_$yw).toString(base64).slice(0, 16); var srcs = CryptoJS.enc.Utf8.parse(pr); var key = CryptoJS.enc.Utf8.parse(value); var encrypted = CryptoJS.AES.encrypt(srcs, key, { mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7 }); return encrypted.toString(); } var _$yw = new Date().valueOf().toString(); var _$Wa = Date.parse(new Date()) function pr(){ pr = []; for (i = 1; i < 5; i++) { // _$Wa 传入四个值 pr.push(_0x474032(_$Wa)) } // _$yw 传入一个值 pr.push(_0x474032(_$yw)); return pr.toString(); } var RM4hZBv0dDon443M = rm4Encrypt(_$yw, pr()); // m 为数组传入的最后一个值 var m = pr[4]; console.log(RM4hZBv0dDon443M 参数加密后的值为: + RM4hZBv0dDon443M) console.log(m 参数的值为: + m)

运行结果：

请求头参数分析

Cookie 中的参数分析完了
 




 




 




，还有两个请求参数 m 和 f 没有解决   

   

   

   ，直接从接口处跟栈 

     

     

     

，从 Initiator 中跟到 request 里：

点击右下角 { } 格式化后会跳转到 5:formatted 文件的第 856 行

  




  




  




，在第 883 行的 list 中可以找到参数 m 和 f 的定义位置：

"m": window._$is, "f": window.$_zw[23]

m 的值是 window._$is  


  


  


  ，有没感觉似曾相识  
     
     
     
，就是上文所说的 _0x4e96b4[_$is] 


   




   




   




，_0x4e96b4 就是 window 



 



 



 ，所以这里 m 的值其实就是 _$yw ；f 的值是 window.$_zw[23]                   ，现在需要知道 $_zw[23] 的值怎么生成的



    




    




    




，局部搜索 $_zw 会发现该数组定义在第 611 行














，接着往后找                   ，看看数组中的第 23 个是什么



     



     



     



，先控制台打印一下内容：

第 633 行内容是第六个














，顺下去找会发现第 23 个的内容如下：

$_aiding.$_zw.push($_t1);

在此处打下断点调试验证一下    
    
    
    ，可以发现结果是一样的：

接下来只需要找到 $_t1 的定义位置即可


     


     


     


，ctrl + f 局部搜索 $_t1
 




 




 




，其定义在第 613 行   

   

   

   ，是个时间戳：

let $_t1 = Date.parse(new Date()); Date.parse(new Date())：获取的时间戳是把毫秒改成 000 显示 

     

     

     

，如 1662691102000 new Date().valueOf()：获取了当前包括毫秒的时间戳

  




  




  




，如 1662691114310

可以发现与 _$Wa 的定义方式一致  


  


  


  ，对比一下 m 和 f 两个参数的值会发现差值接近于 50 秒  
     
     
     
，与题目中提示的 Cookie 有效期仅 50 秒钟对应上了：

在虚拟机文件的第 1975 行也有个 50 秒的定时器：

至此所有参数生成的逻辑都调理清晰了


   




   




   




，本题并不难 



 



 



 ，但是扣代码的过程中有许多需要注意的细节                  ，猿人学给大家提供了一个优质的练习平台



    




    




    




，做题也是一个很好的自我提升的方式    
    
    
。

完整代码

bilibili 关注 K 哥爬虫














，小助理手把手视频教学：https://space.bilibili.com/1622879192

GitHub 关注 K 哥爬虫                   ，持续分享爬虫相关代码！欢迎 star ！https://github.com/kgepachong/

以下只演示部分关键代码



     



     



     



，不能直接运行！

JavaScript 代码

var _0x4e96b4 = window = {}; var _0x1171c8 = 0x67452301; var _0x4dae05 = -0x10325477; var _0x183a1d = -0x67452302; var _0xcfa373 = 0x10325476; var _0x30bc70 = String; // 以下函数部分内容过长














，此处省略 // 完整代码关注 GitHub：https://github.com/kgepachong/crawler var CryptoJS = require(crypto-js); function rm4Encrypt(_$yw, pr){ var value = Buffer.from(_$yw).toString(base64).slice(0, 16); var _$Ww = CryptoJS.enc.Utf8.parse(pr); var key = CryptoJS.enc.Utf8.parse(value); var encrypted = CryptoJS.AES.encrypt(_$Ww, key, { mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7 }); return encrypted.toString(); } function getParamers() { pr = []; for (i = 1; i < 5; i++) { var _$Wa = Date.parse(new Date()); pr.push(_0x474032(_$Wa)) } var _$yw = new Date().valueOf().toString(); pr.push(_0x474032(_$yw)); cookie_m = pr[4]; cookie_rm4 = rm4Encrypt(_$yw, pr.toString()); return{ "cookie_m": cookie_m, "cookie_rm4": cookie_rm4, "m": _$yw, "f": Date.parse(new Date()).toString() } } console.log(getParamers());

Python 代码

# ======================= # --*-- coding: utf-8 --*-- # @Time : 2022/9/8 # @Author : 微信公众号：K哥爬虫 # @FileName: yrx5.py # @Software: PyCharm # ======================= import execjs import requests import re def encrypt_yrx5(): room_heat_all = [] for page_num in range(1, 6): with open(yrx5.js, r, encoding=utf-8) as f: encrypt = f.read() encrypt_params = execjs.compile(encrypt).call(getParamers) headers = { "user-agent": "yuanrenxue,project", } cookies = { # 填入自己的 sessionid "sessionid": " your sessionid ", "m": encrypt_params[cookie_m], "RM4hZBv0dDon443M": encrypt_params[cookie_rm4] } params = { "m": encrypt_params[m], "f": encrypt_params[f] } url = "https://match.yuanrenxue.com/api/match/5?page=%s" % page_num response = requests.get(url, headers=headers, cookies=cookies, params=params) for i in range(10): value = response.json()[data][i] room_heat = re.findall(r"value: (.*?)}", str(value))[0] room_heat_all.append(room_heat) room_heat_all.sort(reverse=True) top_five_total = 0 for i in range(5): top_five_total += int(room_heat_all[i]) print(top_five_total) if __name__ == __main__: encrypt_yrx5()