某验四代滑块验证码逆向分析

news2024/11/17 10:50:48

逆向目标

  • 目标:某验四代滑块验证码,w 参数逆向
  • 主页:aHR0cHM6Ly9ndDQuZ2VldGVzdC5jb20v
  • 加密算法:RSA、AES

通讯流程

01

验证码流程分析

进入网页后,打开开发者人员工具进行抓包,点击滑动拼图验证,此时还未点击按钮开始验证,抓到了一个名为 load?captcha_id=xxx 的包,Query String Parameters 包含了一些参数:

02

  • captcha_id:验证码 id,固定值,由 adaptive-captcha-demo.js 文件生成,后文分析;
  • challenge:动态变化,由 gtc4.js 文件生成,后文分析;
  • client_type:表示 web 端;
  • risk_type:验证码类型,例如滑块为 slide,无感为 ai;
  • lang:语言;
  • callback:geetest_ + 时间戳,主要作用是防止缓存。

响应预览中返回的关键内容如下,相较于三代,底图未做混淆:

03

  • bg:背景图片地址;
  • captcha_type:验证码类型;
  • gct_path:gct4 文件路径;
  • lot_number:后续生成 pow_msg、w 的关键参数;
  • payload:后续 verify 请求接口需要的参数;
  • datetime:ISO 8601扩展格式的日期,后续生成 pow_msg 的关键参数;
  • process_token:后续 verify 请求接口需要的参数;
  • slice:滑块图片地址。

点击按钮开始验证,弹出滑块验证码,滑动滑块,抓包到 verify?captcha_id=xxxQuery String Parameters 同样包含了一些参数:

04

  • captcha_id:与 load 接口请求头中的 captcha_id 一致;
  • client_type:表示 web 端;
  • lot_number:load 接口返回的;
  • risk_type:与 load 接口中的一致,表示验证码类型;
  • payload:load 接口返回的;
  • process_token:load 接口返回的;
  • w:加密参数,由轨迹、滑动时间、滑动距离、userresponse、device_id、pow_msg 等参数加密得到;
  • callback:geetest_ + 时间戳,主要作用是防止缓存。

响应预览中返回的内容如下,result 值为 fail 即校验失败,success 为校验通过,通过后携带 seccode 下的参数进行后续业务请求:

05

逆向分析

captcha_id 参数

全局搜索 captcha_id,跟进到 gt4.js 文件中:

06

进去后在第 307 行打上断点,刷新页面即会断住,此时 captcha_id 参数的值已经生成,同时 challenge 参数定义在下一行:

07

向上跟栈到 value,即 adaptive-captcha-demo.js 文件中,会发现其是个固定值,实际上这个值是每个网站不一样,是管理员在极验后台申请得到的:

08

challenge 参数

前面提到,challenge 参数定义在 captcha_id 参数的下一行,在 gt4.js 文件的第 309 行打下断点:

09

可以看到,challenge 参数的值由 uuid 函数生成,扣出即可。

w 参数

verify?captcha_id=xxx 接口的堆栈处跟栈进去:

10

打下断点滑动滑块断住后,向上跟栈到 s 处,如果做过某验三代滑块的话,第 6249 行有个很熟悉的东西,"\u0077": r"\u0077" 即字母 w 的 Unicode 值,r 即 w 参数的值:

11

r 参数定义在第 6237 行,e 也是跟三代类似的参数,r 是将 i 参数和转为字符串的 e 参数加密得到的:

12

向上跟栈,找到 e 参数中各部分定义生成的位置,跟到 $_BHIH 中,_ 中先生成了四个键值对:

13

passtimetrack 是熟悉的滑动时间和轨迹,setLeft 为识别出来的缺口距离,userresponse 定义在 19593 行, a 为 setLeft 参数的值,t[$_GDFCG(1909)] 为定值 1.0059466666666665:

 

JavaScript

复制代码

a / t[$_GDFCG(1909)] + 2

接着跟到 $_BCFj 中,e 定义在第 6201 行,下面几行定义了 e 中的 device_idlot_numberpow_msgpow_sign

14

device_id 同一个网站是固定值,lot_number 是 load 响应返回的,控制台打印一下 pow_msgpow_sign 的结果:

15

pow_msg 很明显是由几部分组成的,pow_sign 经过加密,向上跟栈到 init 中,分别定义在第 5837 行和第 5838 行,为 d 字典的键,根据键名取值:

16

d 定义在第 5835 行,这部分还原一下就很明显了:

 

JavaScript

复制代码

var c = t["toDataURL"]()["replace"]("data:image/png;base64,", "") , _ = new w["default"]["MD5"]()["hex"](c); a["options"]["deviceId"] = _; var h = a["options"] , l = h["powDetail"] , p = h["lotNumber"] , f = h["captchaId"] , d = v["default"](p, f, l["hashfunc"], l["version"], l["bits"], l["datetime"], "")

跟进到 v["default"] 中,函数定义在第 6945 行,于 6978 行打下断点:

17

pow_msg_ + h 得到,_ 定义在第 6960 行:

 

JavaScript

复制代码

_ = i + "|" + r + "|" + n + "|" + s + "|" + t + "|" + e + "|" + o + "|";

  • i:l["version"]
  • r:l["bits"]
  • n:l["hashfunc"]
  • s:l["datetime"]
  • t:f, h["captchaId"]
  • e:p, h["lotNumber"]
  • o:""

h 定义在第 6269 行,跟进去是 16 位随机数字符串,pow_sign 为 p,就是 pow_msg 经过 MD5 加密得到的:

18

至此这四个也分析完了,还差以下这部分:

19

em 等定值就不分析了,注意 kqg5:"1557244628",这个参数值和三代滑块中一样,每隔几个小时会改变,向上跟栈到 $_BCFj 中,在第 6207 行打下断点,此时 e 中这个值还未生成:

20

下一行打下断点,下步断点,即执行完 n[$_CBHIE(791)](e); 后,这个参数值就生成了,证明是 n[$_CBHIE(791)] 方法生成的,跟进去:

21

跳转到第 5766 行,在第 5779 行打下断点,此时的 n 中还未生成此参数:

22

执行了 _gct(n) 后即生成:

23

可见其生成位置在 _gct 方法中,跟进去后到 gct4.js 文件,和三代大差不差:

24

可以将值导出,至此 e 就分析完了,接着回到第 6238 行,跟进到加密函数 d[$_CBHHO(84)] 中,定义在第 11669 行,d[$_DIEHS(177)](c) + u 即 r 参数的值,c 为一个大数组,u 明显也经过加密了,所以 r 参数的值就是数组 c 加密后再加上 u 得到的:

25

先跟进到 u,其定义在第 11705 行,解混淆后如下:

 

JavaScript

复制代码

u = new l["default"]()["encrypt"](i);

所以 u 是 i 经过加密后得到的,i 定义在第 11702 行:

 

JavaScript

复制代码

i = (0,d[$_DIEIq(103)])()

跟进到 d[$_DIEIq(103)] 中,定义在第 852 行,又是熟悉的 16 位随机数:

26

i 是随机数,跟进到加密函数 l[($_DIEHS(84))] 中,在第 12725 行,于 12741 行打下断点,可以看到这里就是个 RSA 加密,扣代码或者直接引库即可:

27

回到 c 参数,c 参数的值为一个大数组,其定义在第 11705 行,解混淆后内容如下:

 

JavaScript

复制代码

var c = s[a]["symmetrical"]["encrypt"](e, i);

e 之前分析完了,i 为随机数,两个参数已经分析完了,跟进到加密方法中,在第 12174 行,于 12186 行打下断点,控制台打印一下混淆部分内容,很熟悉的东西,这里就是 AES 加密,iv 为初始向量,加密模式为 CBC,对各类加密算法不熟悉的,可以阅读 K 哥文章 【爬虫知识】爬虫常见加密解密算法:

28

c 参数最后又被 d[$_DIEHS(177)] 函数加密,跟进后,定义在第 547 行,直接扣下来改改即可:

29

结果验证

30

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1121361.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

最强英文开源模型LLaMA架构探秘,从原理到源码

导读: LLaMA 65B是由Meta AI(原Facebook AI)发布并宣布开源的真正意义上的千亿级别大语言模型,发布之初(2023年2月24日)曾引起不小的轰动。LLaMA的横空出世,更像是模型大战中一个搅局者。虽然它…

支付风控规则

支付宝使用基本风控规则 一、 6个规则 1、规则一:30分钟内,不要连续刷3笔(包括失败交易),两笔交易时间间隔大于5分钟,交易金额不要一样,不要贴近限额; 2、规则二:非正…

Python数据结构(链表)

Python数据结构(链表) 单向链表 单向链表也叫单链表,是链表中最简单的一种形式,它的每个节点包含两个域,一个信息域(元素域)和一个链接域。这个链接指向链表中的下一个节点,而最后一个节点的链接域则指向…

postgresql14-表的管理(四)

表table 创建表 CREATE TABLE table_name --表名 (column_name data_type column_constraint, --字段名、字段类型、约束字段(可选)column_name data_type, --表级别约束字段...,table_constraint );CREATE TABLE emp1 --创建表 AS SELECT * FROM empl…

『干货』WebStorm代码模板配置大全

『干货』WebStorm代码模板配置大全 文章目录 『干货』WebStorm代码模板配置大全一、代码模板二、前端 vue 框架2.1 选项式API2.2 组合式API2.3 组合式API TS 三、 前端 UniApp 框架3.1 选项式API3.2 组合式API3.3 组合式API TS 四、前端 React 框架4.1 类声明式4.2 函数声明式…

史上最全 2023全国大学生软件测试大赛——赛后有感

这个比赛什么成分我不好多说,首先说一下我的背景,我们学校是这个比赛的我们省赛的主办方,老师要求我们参加web应用测试和开发者测试,我都参加了,自认为还算是个学习成绩比较好的student,计算机专业前5%&…

【BP-Adaboost预测】基于BP神经网络的Adaboost的单维时间序列预测研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

详解 Diffusion (扩散) 模型

扩散模型是跨不同深度学习领域使用的生成模型。目前,它们主要用于图像和音频生成。最值得注意的是,这些模型是令人印象深刻的图像生成模型(例如 Dalle2 和稳定扩散)背后的驱动力。我相信您已经看过这些模型生成的闪烁图像。令人惊…

Java基础-IO流

目录 1 File 类的使用 1.1 File类的概念 1.2 构造方法 1.3 常用方法 1.4 课后练习 2 IO流原理及流的分类 2.1 IO原理 2.2 流的分类 2.3 IO流体系 2.4 接口方法 2.4.1 InputStream & Reader相同点 2.4.2 InputStream方法详解 2.4.3 Reader方法详解 2.4.4 Outp…

【数据结构】顺序表实现通讯录

前言 在上一节中我们实现了顺序表,现在我们将使用顺序表完成通讯录的实现。(注:本人水平有限,“小屎山”有些许bug,代码冗余且语无伦次,望谅解!😅) 文章目录 一、数据结构…

postgresql14-安装(一)

安装 以管理员权限运行windows版安装包,否则会导致安装不全。过程中记录密码。 在服务管理,启动postgresql服务。 管理工具pgadmin

使用Dockerfile生成docker镜像和容器的方法记录

一、相关介绍 Docker 是一个开源的容器化平台,其中的主要概念是容器和镜像。 容器是 Docker 的运行实例。 它是一个独立并可执行的软件包,包含了应用程序及其依赖的所有组件(如代码、运行时环境、系统工具、库文件等)。容器可以在…

用户及授权设置API

用户及授权设置API 一、登录API——wx.login(object)二、用户信息API——wx.getUserInfor(object)三、授权API——wx.authorize(object object)四、设置API——wx.openSetting(object object)&wx.getSetting(object object)1、wx.openSetting(object object)2、wx.getSetti…

汽车屏类产品(五):中控IVI车载信息娱乐系统

前言: 车载信息娱乐系统(IVI)的起源可以追溯到20世纪,按钮调幅收音机被认为是第一个功能。从那以后,IVI系统在创造壮观的车内体验方面变得不可或缺,以至于汽车被称为“车轮上的智能手机”。但随着包括自动驾驶汽车在内的汽车技术的进步,以及对个性化体验的需求不断增长…

从裸机启动开始运行一个C++程序(十二)

前序文章请看: 从裸机启动开始运行一个C程序(十一) 从裸机启动开始运行一个C程序(十) 从裸机启动开始运行一个C程序(九) 从裸机启动开始运行一个C程序(八) 从裸机启动开始…

SpringBoot连接MySQL密码错误,报错:Access denied for user

记:一次连接MySQL报密码错误,Access denied for user 检查步骤: 核对用户和密码是否正确,用工具登陆试下。如果配置文件是yml格式,配置密码是123456这种纯数字,记得加上单/双引号。检查云上数据库配置&am…

使用rna-seq定量软件salmon运行index步骤遇到的一个问题(计算集群slurm)

salmon 帮助文档 https://salmon.readthedocs.io/en/latest/building.html#installation github主页 https://github.com/COMBINE-lab/salmon 我最开始是直接使用conda安装的 v1.4 首先第一步是对参考转录组进行索引,命令 salmon index -t pome.fa -i transcr…

postgresql14-用户与角色(二)

介绍 查看 SELECT rolname FROM pg_roles;postgres是系统初始化时默认创建的角色,为超级管理员。 \duList of rolesRole name | Attributes | Member of ------------------------------------------------------…

python 之计算矩阵乘法

文章目录 总的介绍例子 总的介绍 np.matmul 是NumPy库中的矩阵乘法函数,用于执行矩阵乘法操作。矩阵乘法是线性代数中的一种常见操作,用于将两个矩阵相乘以生成新的矩阵。在神经网络、机器学习和科学计算中,矩阵乘法经常用于变换和组合数据。…

简单宿舍管理系统(springboot+vue)

简单宿舍管理系统(springbootvue) 1.创建项目1.前端2.数据库3.后端 2.登陆1.前端1.准备工作2.登陆组件3.配置 2.后端1.链接数据库2.创建用户实体类3.数据操作持久层1.配置2.内容3.测试 4.中间业务层1.异常2.业务实现3.测试 5.响应前端控制层 3.前后对接4…