【验证码逆向专栏】某验三代滑块验证码逆向分析

声明

本文章中所有内容仅供学习交流，抓包内容、敏感网址、数据接口均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关，若有侵权，请联系我立即删除！

逆向目标

目标：某验三代滑块验证码，底图还原及 w 参数逆向

验证码 demo 列表：

滑块验证码：

加密算法：RSA、AES、MD5

验证码流程分析

进入网页后，打开开发者人员工具进行抓包

1.未点击按钮进行验证之前，Network 中抓包到了以下信息：

：注册滑块请求，响应预览中返回的信息中重要的是 gt 和 challenge，gt 是固定值，不同网页对应不同的 gt 值，类似于特征码，challenge 的值每次刷新页面都会变化，gt 参数会通过 url string 的形式传递给 gettype.php：

：获取验证码，HTTP 请求中不同的请求方式和设置不同的 Content-Type 时，参数传递的方式会不一样，一般为 Query String Parameters、Form Data、Request Payload，这里是 Query String Parameters，在 GET 请求时，参数会以 url string 的形式进行传递，即 ? 后的字符串则为其请求参数，并以 & 作为分隔符，这里传递了 gt 参数的值以及 callback，callback 为 geetest_ + 时间戳：

响应预览中返回了一些 js 文件及对应的版本号：

第一个，url 中传递了一些参数，关键部分如下：

：register-slide 响应返回的 gt 值；

：register-slide 响应返回的 challenge 值；

：对轨迹、滑动时间等进行加密后的参数，该网站第一个 w 值可以直接置空；

：geetest_ + 时间戳。

响应内容如下，这里没什么需要注意的，feedback 就是某验的帮助中心：

2.点击按钮进行验证之后，Network 中抓包到了以下信息：

第一个 ，url 中传递了一些参数，关键部分如下：

：register-slide 响应返回的 gt 值；

：register-slide 响应返回的 challenge 值；

：对轨迹、滑动时间等进行加密后的参数，该网站第二个 w 值也可以直接置空；

：geetest_ + 时间戳。

响应返回验证码模式，滑块验证码为 slide，点选验证码为 click：

第二个 ，url 中传递了一些参数，关键部分如下：

：register-slide 响应返回的 gt 值；

：register-slide 响应返回的 challenge 值；

：geetest_ + 时间戳。

这个响应返回了很多关键内容：

：被打乱的带缺口背景图，需要还原，

：被打乱的完整背景图，需要还原，

：滑块图片，不需要还原，

：关键参数，与后面 aa 参数的值有关，固定值；

：关键参数，与后面 aa 参数的值有关。

第二个 ，url 中传递了一些参数，关键部分如下：

：register-slide 响应返回的 gt 值；

：register-slide 响应返回的 challenge 值 + 两位字符串，注意多了两位，是第二个 get.php?xxx 返回值中得到的；

：对轨迹、滑动时间等进行加密后的参数，需要通过逆向得到；

：geetest_ + 时间戳。

滑动滑块验证通过即会返回以下内容：

失败则会返回：

逆向分析

w 参数

跟到 w 参数的值方法很多，以下讲两种：

1.很简便，w 参数在 js 文件中有特征码，点击按钮进行验证之后，ctrl + shift + f 全局搜索 ，因为 就是 w 的 Unicode 编码，然后点击进入 slide.7.8.9.js 文件中，7.8.9 为当前版本，注意没点击验证的话是不会有这个 js 文件的：

进入后点击左下角 大括号，格式化文件，再 ctrl + f  局部搜索 ，只有一个结果，在第 6086 行，在第 6088 行打下断点，滑动滑块即会断住，h + u 即为 w 参数的值：

2.通过 Initiator 跟栈，跟进到 中：

进去同样格式化后，会跳转到第 4583 行，在该行打下断点：

向上跟栈到 中同样会找到刚刚的位置：

由以上分析可知，w 参数是 h 和 u 相加得到的，所以找到定义的位置，看看是怎么构造生成的，u 参数定义在第 6077 行，h 参数定义在第 6079 行，内容如下：

可以看到，h 参数是传入了 l 参数后经过 方法处理后得到的，所以依次往下分析，现在看看 u 参数是怎么生成的：

u 参数

u 参数通过 方法生成，选中后跟进到方法定义位置：

会跳转到第 6218 行，在 6227 行 return 处打下断点，重新拖动滑块，即会断住：

e 为 u 参数的值，其定义在第 6266 行：

在控制台中打印输出一下各部分内容：

从打印出来的结果可以看出，e 参数的值可能是将 16 位的随机字符串加密后得到的，跟进到 中验证一下：

跳转到第 6208 行，在第 6214 行 return 处打下断点：

即 16 为字符串，，跟进到 函数中，在第 4213 行，于第 4219 行打下断点后会发现，16 位字符串是由四个 方法的结果相加得到的：

跟进到 方法的定义位置，在第 4203 行，第 4208 行即为随机字符串算法：

还原混淆后内容如下， 是随机选取大于等于 0.0 且小于 1.0 的伪随机 double 值， 为十六进制字符串：

跟进去查看一下：

跳转到第 2908 行，在第 2922 行断住后， 的值为 ：

第 2908 行，ut 函数传入了两个值，t 为公钥值，e 为公钥模数，都是固定值：

：

：

这里可以直接引库复现，也可以选择将算法部分扣下来，局部搜索 ，在第 2043 行，将整个自执行函数扣下来，这里随机数后期写成固定值，后面也有随机数，不然会造成传参不匹配：

运行后报错提示，：

其定义在第 136 行，是个函数对象，补上即可：

运行后报错提示，：

搜索后可知，其定义在第 128 行：

跟进过去将该部分扣下来：

接着报错提示，：

定义在第 7 行，直接将 整个扣下来即可，然后会报错提示，window 和 ht 未定义，ht 为 navigator：

又报错提示，：

其定义在第 132 行，扣下来补上：

报错提示，：

通过搜索，其定义在第 68 行，将 整个扣下来即可，至此，u 参数成功复现：

l 参数

u 参数解决后，接着需要分析 l 参数，内容如下：

可以知道，l 参数的结果是将 和 加密后得到的，先来分析 ，选中后跟进进去，跳转到了熟悉的第 6208 行，就是之前的 16 位随机字符串：

将这里写成跟之前一样的固定值， 返回的是 JSON 格式的数据，由 o 参数生成：

对比分析以下 o 参数中，哪些是定值，哪些是动态变化的，可以看到箭头所指的值都不一样了：

：滑动距离 + challenge 的值；

：滑块滑动时间；

：图片加载时间；

：轨迹加密；

： 相关；

：每天 key、value 会变，后文分析；

：gt + 32 位 challenge + passtime，再经过 MD5 加密。

接下来对关键值进行分析，先来分析下 ，o 定义在第 6012 行：

定义在第 6014 行，需要分析 ，控制台打印一下：

t 为滑动滑块的距离，需要注意的是 为第二个 传递的 ，比注册请求时的 长两位，再将 H 参数扣下来即可，其定义在第 704 行，报错提示，：

定义在第 159 行：

至此， 成功复现，接下来看 ， 值此时已经生成了，为 1010，向上跟栈到 中：

为 值，定义在第 8164 行，为滑动结束时间 - 开始时间：

接下来分析下 参数，其定义在第 6017 行，值由参数 传递，同样向上跟栈到 中，为第 8168 行的 l 值，l 定义在第 8167 行，三个参数加密后得到：

：轨迹加密后的结果；

：c 值，在第二个 返回的响应中得到；

：s 值，在第二个 返回的响应中得到。

接下来跟进到 中，分析下轨迹是如何加密的，在第 4065 行，于第 4133 行打下断点，第 4108 行的 即为轨迹值，关于轨迹算法后面会专门出一期文章：

将整个算法部分抠出来，先将轨迹值固定，写成参数传递进去，不然会报错提示，，因为轨迹值是别的算法生成的，不传值即为空，运行程序，会报错提示，：

ct 定义在第 4223 行，扣下来，报错提示，：

定义在第 4326 行，补上以下内容，即可复现：

结果对比一致：

后面三个参数的值都分析完了，回到第 8167 行 l 处，跟进到 中，在第 4135 行，扣下来即可：

将 c 和 s 写为固定值，对比结果一致：

aa 参数分析完成，接下来分析 rp 参数，定义在第 6076 行：

后面三个参数都很明显了，跟进到 X 函数中，在第 1876 行，扣下来即可，对比结果一致：

这里是 MD5 加密，也可以直接通过引库复现：

ep 定义在第 6018 行，跟进到 中，tm 参数定义在第 6239 行：

跟进 中，在第 5268 行打下断点，tm 结果如下：

o 中这个键值对内容每天都会变化：

在第 6021 行打下断点，此时的 o 中还没有生成以上键值对：

接着往下找，第 6026 行 执行之后 s 中生成了以上的键值对，所以跟进到 中，会跳转到 文件中，这个文件的路径可以从 get.php 接口获取到：

在该文件的第 1253 行打下断点，可以看到此时的 t 中已经生成了 ：

跟进到 方法中，其定义在第 1202 行，在第 1208 行打下断点，键值对在此处生成，可以通过全局导出调用：

至此，参数 o 复现完毕，回到第 6078 行，分析完 l 即完成，跟进，定义在第 3218 行，在第 3230 行打下断点，这里为 AES 加密，初始向量 iv 值为 ：

直接引库复现：

对比结果一致：

l 参数分析完毕，终于只剩下一个 h 了， 即将 l 加密后得到的，跟进 ，定义在第 1568 行，在第 1575 行打下断点，为 e 中两个 value 值相加：

e 定义在第 1574 行，t 为传入的 l 参数，跟进到 中，在第 1523 行，复现如下：

校验结果一致：

w 参数至此终于全部复现完成！

底图还原

前文说过，拿到的完整背景图以及带缺口背景图都是被打乱了的，这里需要还原才能计算滑动距离以及轨迹等，极验的底图是通过 Canvas 绘制出来的，直接打下事件断点：

点击按钮进行验证即会断住，格式化后跳转到第 295 行，

简单解一波混淆，会清晰一些：

控制流平坦化混淆，可以通过 AST 技术解混淆，AST 相关可以看 K 哥往期文章：《逆向进阶，利用 AST 技术还原 JavaScript 混淆代码》，这里就不对此进行讲解了，这里就是 Canvas 绘图的过程，关键乱序算法部分在 中：

原图比例为 312 x 160，宽为 320，长为 160：

、 指还原后的图片比例为 260 x 160，a 的值为 r / 2 即 80，就是将整张图片分为了上下两等分，再将图片纵向切割为了 26 等份，Ut 数组的长度为 52， 即依次取数组中的元素， 数组即为图片还原的顺序，是固定的， 判断图片是上半部分还是下半部分， 表示每个小块取 10 px 像素，正确图片的顺序为：

示例：

Python 复现：

还原后如下：

错误结果

结果验证

100 次大概 95% 的成功率：