【JS逆向百例】酷某音乐 wasm 逆向

2024-09-03 142 0

【JS逆向百例】酷某音乐 wasm 逆向插图

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

前言

最近在看知识星球群聊的时候,发现有小伙伴在讨论酷某音乐的相关问题,之前也有星球成员私信询问这个案例。K哥一向是尽力满足粉丝需求的,本文就对该站进行逆向研究,该案例较为新奇,既能满足粉丝需求,也是对 wasm 逆向案例的补充与完善:

【JS逆向百例】酷某音乐 wasm 逆向插图1

【JS逆向百例】酷某音乐 wasm 逆向插图2

逆向目标

  • 目标:酷某音乐,逆向分析

  • 地址:aHR0cHM6Ly93d3cua3Vnb3UuY29tLw==

抓包分析

进入首页,随机输入手机号,点击发送验证码,弹出验证码弹窗,进行抓包,有很多响应。经过分析,有用的接口为 send_mobileget_verfy_info

【JS逆向百例】酷某音乐 wasm 逆向插图3经过首次 send_mobile 接口后会在响应协议头里返回 ssa-code:

【JS逆向百例】酷某音乐 wasm 逆向插图4

同时在 get_verfy_info接口将会携带这个参数:

【JS逆向百例】酷某音乐 wasm 逆向插图5

最终,通过该接口返回一个 sessionid,代表会话创建完毕,是全局唯一的标识符:

【JS逆向百例】酷某音乐 wasm 逆向插图6

然后,通过易盾点选/滑块验证码,发现会经过 v4/verify_user_info进行验证:

【JS逆向百例】酷某音乐 wasm 逆向插图7

该接口参数很多,同时还观察到了有 wasm 相关的字样:

【JS逆向百例】酷某音乐 wasm 逆向插图8

最终,再次调用 send_mobile接口,status:1则代表发送成功:

【JS逆向百例】酷某音乐 wasm 逆向插图9

经过抓包分析,我们需要逆向的参数为:miduuidsignatureparamspksidedt

逆向分析

mid、uuid 参数

点击发送按钮,然后我们查看 send 的堆栈,从第一个进入:

【JS逆向百例】酷某音乐 wasm 逆向插图10

然后搜索 mid:发现有几处地方可疑,在这几处分别下断,最终在如下的地方成功断下来:

【JS逆向百例】酷某音乐 wasm 逆向插图11

我们进入 getKgMid方法,发现他取了 cookie 中的 kg_mid,且这个值与我们刚刚看到的值相同,如果 cookie 中不存在该参数,那么将会调用下面的方法取浏览器的指纹信息,通过 md5 算法生成该值:

【JS逆向百例】酷某音乐 wasm 逆向插图12

所以我们直接利用 v_jstools 去 hook 一下该 cookie 参数是如何生成的,Hook 脚本如下:

(function () {
'use strict';
var cookieTemp = '';
Object.defineProperty(document, 'cookie', {
 set: function (val) {
   if (val.indexOf('kg_mid') != -1) {
     debugger;
  }
   console.log('Hook捕获到cookie设置->', val);
   cookieTemp = val;
   return val;
},
 get: function () {
   return cookieTemp;
},
});
})();

清空浏览器缓存,刷新发现成功断下,向上跟栈,找到该参数生成的位置如下:

【JS逆向百例】酷某音乐 wasm 逆向插图13

分析可知,该参数是通过生成 uuid 然后利用 md5 算法生成的,跟进 uuid 的生成函数中,其生成逻辑如下:

Guid: function() {
     function S4() {
         return (((1 + Math.random()) * 0x10000) | 0).toString(16).substring(1);
    }
     return (S4() + S4() + "-" + S4() + "-" + S4() + "-" + S4() + "-" + S4() + S4() + S4());
}

至此 mid、uuid 参数就分析完毕了。

signature 参数

signature 参数同上也是全局搜索 signature 最终在该地方成功断下,其生成逻辑如下:

【JS逆向百例】酷某音乐 wasm 逆向插图14

将 url 中的 parm 参数与 data 参数进行拼接,然后分别调用 K.unshift(y)K.push(y)在数组开头和结尾分别插入一个固定字符串,最终通过 join将数组拼接成字符串进行 md5 加密生成 signature 参数。

params、pk 参数

params 参数就生成在 mid 参数下面,逻辑如下:

【JS逆向百例】酷某音乐 wasm 逆向插图15

通过将待加密的 obj 对象传入 AES 函数中,最后返回 key 与 encryptedStr 参数。我们进入 AES 函数查看其生成逻辑:

【JS逆向百例】酷某音乐 wasm 逆向插图16

经过分析可知,通过随机生成 t ,然后将 t 经过指定的处理逻辑将其处理为 key 和 iv ,最后将加密参数与 t 一起返回,复现如下:

function AES_Encrypt(data) {
 // 将输入数据转换为JSON字符串
 const jsonString = JSON.stringify(data);

 // 生成随机密钥(Key)
 const generateRandomKey = (length) => {
     const chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
     let randomKey = '';
     for (let i = 0; i < length; i++) {
         randomKey += chars.charAt(Math.floor(Math.random() * chars.length));
    }
     return randomKey;
};

 // 如果未提供密钥,则生成一个16字符的随机密钥
 key = generateRandomKey(16);

 // 使用MD5对密钥进行编码,并截取前32字符作为实际密钥
 const md5Key = md5_encode(key).substring(0, 32);

 // 如果未提供向量(IV),则使用密钥的最后16字符
 iv = md5Key.substring(md5Key.length - 16);

 // 将密钥和向量转换为CryptoJS的Utf8对象
 const cryptoKey = CryptoJS.enc.Utf8.parse(md5Key);
 const cryptoIv = CryptoJS.enc.Utf8.parse(iv);

 // 使用AES算法进行加密
 const encrypted = CryptoJS.AES.encrypt(jsonString, cryptoKey, {
     iv: cryptoIv,
     mode: CryptoJS.mode.CBC,
     padding: CryptoJS.pad.Pkcs7
});

 // 将加密结果转换为Hex字符串
 const encryptedHexStr = CryptoJS.enc.Hex.stringify(CryptoJS.enc.Base64.parse(encrypted.toString()));

 return {
     key: key,
     encryptedStr: encryptedHexStr
};
}

接着继续往下,发现 pk 是由 rsa 生成的,主要是对 key 进行了加密:

【JS逆向百例】酷某音乐 wasm 逆向插图17

进入 RSA.encrypt 函数,发现是一个公钥指数为 10001 类型为 NoPadding 的 RSA 加密:

【JS逆向百例】酷某音乐 wasm 逆向插图18

每次加密的结果都有且只有一个唯一值,经过引库或者 wt-js 进行复现,发现最终生成的加密值与其不同,最终我们将代码全部拿下,放到 nodepad 中:

【JS逆向百例】酷某音乐 wasm 逆向插图19

发现其在一个大模块当中,我们将他改写为一个自执行函数,并且以模块的形式将他导入:

const RSA = require('./rsa'); // 引入保存的rsa.js文件

function rsa_encode(word){
 word = JSON.stringify(word)
 // 使用的公钥
 const publicKey = "B1B1EC76A1BBDBF0D18E8CD9A87E53FA3881E2F004C67C9DDA2CA677DBEFA3D61DF8463FE12D84FF4B4699E02C9D41CAB917F5A8FB9E35580C4BDF97763A0420A476295D763EE10174E6F9EBF7DF8A77BA5B20CDA4EE705DEF5BBA3C88567B9656E52C9CD5CD95CA735FF2D25F762B133273EEEB7B4F3EA8B6DA29040F3B67CD";
 
 // 使用 encrypt 函数进行加密
 const encryptedMessage = RSA.encrypt(word);
 return encryptedMessage
 
}

最后与网页对照结果一致:

【JS逆向百例】酷某音乐 wasm 逆向插图20

sid、edt 参数

解决完上面的参数以后,最终来到 sid 与 edt 参数这边,同样利用堆栈和搜索,快速定位到如下位置:

【JS逆向百例】酷某音乐 wasm 逆向插图21

发现其生成逻辑如下:

var t = new wasm_bindgen.EData;
e.sid = t.get_sid(),
e.edt = c

发现是先 new 了一个 wasm_bindgen下的 EData 对象,我们进入 EData 里面查看,其逻辑为:

【JS逆向百例】酷某音乐 wasm 逆向插图22

我们全局搜索 wasm_bindgen在该变量赋值的地方下一个断点,清除缓存,点击发送在初始化的位置成功断下:

【JS逆向百例】酷某音乐 wasm 逆向插图23

随后单步跟进,发现在该方法初始化完毕以后,在如下位置开始加载 wasm 文件:

【JS逆向百例】酷某音乐 wasm 逆向插图24

紧接着就准备与 WebAssembly (Wasm) 模块交互,具体来说,开始为 WebAssembly 实例配置导入对象 imports。当然这也是本文最最最恶心的部分,在交互部分进行了大量的检测。

原型链的检测:

【JS逆向百例】酷某音乐 wasm 逆向插图25

DOM 层相关检测:

【JS逆向百例】酷某音乐 wasm 逆向插图26

WebGL 原型链检测:

【JS逆向百例】酷某音乐 wasm 逆向插图27

【JS逆向百例】酷某音乐 wasm 逆向插图28

WebGL 相关 API 操作检测:

【JS逆向百例】酷某音乐 wasm 逆向插图29

如果我们还是像以往那样,在 node 中使用 WebAssembly 去加载 wasm 必然会出错,因为我们缺少对应的环境,所以我们需要将 verifycode.js全部拉下来到本地,如下:

【JS逆向百例】酷某音乐 wasm 逆向插图30

然后我们还是使用往期蜜雪的代理框架:最新雪王 type__1286 参数逆向分析,K哥带你免费喝一杯~

将我们的老生常谈的 document、window、navigator、canvas、location 等等全部挂上代理。

_instanceof 解析

原始代码如下:

function _instanceof(left, right) {
if (right != null && typeof Symbol !== "undefined" && right[Symbol.hasInstance]) {
 return !!right[Symbol.hasInstance](left);
} else {
 return left instanceof right;
}
}
  • 使用 Symbol.hasInstance进行类型检查

    • 如果 rightSymbol.hasInstance方法,则调用并将 left传递给 right[Symbol.hasInstance]

    • !!用于将结果强转为布尔值,即如果返回值为真值 (truthy),则返回 true;否则,返回 false

  • 如果不满足前面的条件(即 right为空,或者没有 Symbol.hasInstance方法),则使用 JavaScript 内置的 instanceof操作符进行类型检查。

    • left instanceof right检查 left是否是 right的实例。

所以在补的时候就需要注意原型链的继承关系,比如 window 以及 navigator、canvas 等,这里举几个例子说明:

HTMLCanvasElement = function HTMLCanvasElement (){
}
canvas.__proto__=HTMLCanvasElement.prototype

function WebGLRenderingContext() {}

// 为 WebGLRenderingContext 添加 Symbol.hasInstance
Object.defineProperty(WebGLRenderingContext, Symbol.hasInstance, {
value: function (obj) {
 return obj && typeof obj === 'object' && obj.drawingBufferWidth !== undefined && obj.drawingBufferHeight !== undefined;
}
});

在补的时候,可以去检测的地方插桩打印输出相关信息,或者可以直接修改 ret =true(前提你是得知道检测点在哪里):

【JS逆向百例】酷某音乐 wasm 逆向插图31

又或者可以大胆尝试修改 _instanceof函数,在不影响 wasm 加载的情况下,使其部分检测返回 true 也不为一种办法(当然前提你也得知道检测什么),无脑返回 true 可能会导致假值或者不能用的情况。

【JS逆向百例】酷某音乐 wasm 逆向插图32

在整体代码全部补完以后,我们运行用网页上的方式去调用:

var t = new wasm_bindgen.EData;
console.log(t.get_sid())
console.log(t.get_edt())

发现提示如下错误:

【JS逆向百例】酷某音乐 wasm 逆向插图33

提示,我们的 wasm 下不存在该模块,但是当我们打印 wasm 的时候却发现 wasm 确确实实存在,且加载完成。进一步分析后得知,wasm 是 fetch 加载,而 fetch 又是异步的形式,所以当我们直接去调用的时候,肯定是调用不到的,同样需要写一个异步去调用:

setTimeout(() => {
var t = new wasm_bindgen.EData;
    console.log(t.get_sid())
 console.log(t.get_edt())
setTimeout = function(){}
}, 1000);

最终,我们用 node 起接口,将异步结果导出:

const express = require('express');
const app = express();
const port = 3000;
// 定义一个接口来获取get_sid和get_edt的值
app.get('/getValues', async (req, res) => {
 // 模拟延时并获取值
 setTimeout(() => {
     try {
         var t = new wasm_bindgen.EData();
         const get_sid = t.get_sid();
         const get_edt = t.get_edt();
     res.json({ get_sid, get_edt });
} catch (error) {
     res.status(500).json({ error: error.message });
}
}, 1000);
});

app.listen(port, () => {
 console.log(`Server is running on http://localhost:${port}`);
});

关于易盾的相关讲解,可以参考往期文章:【验证码识别专栏】通杀空间推理验证码训练与识别

结果验证

最终的实现流程如下:


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论