声明
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
逆向目标
目标:某验四代滑块验证码,w 参数逆向
主页:
加密算法:RSA、AES
通讯流程
验证码流程分析
进入网页后,打开开发者人员工具进行抓包,点击滑动拼图验证,此时还未点击按钮开始验证,抓到了一个名为 的包, 包含了一些参数:
:验证码 id,固定值,由 文件生成,后文分析;
:动态变化,由 文件生成,后文分析;
:表示 web 端;
:验证码类型,例如滑块为 slide,无感为 ai;
:语言;
:geetest_ + 时间戳,主要作用是防止缓存。
响应预览中返回的关键内容如下,相较于三代,底图未做混淆:
:背景图片地址;
:验证码类型;
:gct4 文件路径;
:后续生成 pow_msg、w 的关键参数;
:后续 verify 请求接口需要的参数;
:ISO 8601扩展格式的日期,后续生成 pow_msg 的关键参数;
:后续 verify 请求接口需要的参数;
:滑块图片地址。
点击按钮开始验证,弹出滑块验证码,滑动滑块,抓包到 , 同样包含了一些参数:
:与 load 接口请求头中的 captcha_id 一致;
:表示 web 端;
:load 接口返回的;
:与 load 接口中的一致,表示验证码类型;
:load 接口返回的;
:load 接口返回的;
:加密参数,由轨迹、滑动时间、滑动距离、userresponse、device_id、pow_msg 等参数加密得到;
:geetest_ + 时间戳,主要作用是防止缓存。
响应预览中返回的内容如下,result 值为 fail 即校验失败,success 为校验通过,通过后携带 seccode 下的参数进行后续业务请求:
逆向分析
captcha_id 参数
全局搜索 ,跟进到 gt4.js 文件中:
进去后在第 307 行打上断点,刷新页面即会断住,此时 参数的值已经生成,同时 challenge 参数定义在下一行:
向上跟栈到 value,即 文件中,会发现其是个固定值,实际上这个值是每个网站不一样,是管理员在极验后台申请得到的:
challenge 参数
前面提到, 参数定义在 参数的下一行,在 gt4.js 文件的第 309 行打下断点:
可以看到,challenge 参数的值由 函数生成,扣出即可。
w 参数
从 接口的堆栈处跟栈进去:
打下断点滑动滑块断住后,向上跟栈到 s 处,如果做过某验三代滑块的话,第 6249 行有个很熟悉的东西,, 即字母 w 的 Unicode 值,r 即 w 参数的值:
r 参数定义在第 6237 行,e 也是跟三代类似的参数,r 是将 i 参数和转为字符串的 e 参数加密得到的:
向上跟栈,找到 e 参数中各部分定义生成的位置,跟到 中,_ 中先生成了四个键值对:
接着跟到 中,e 定义在第 6201 行,下面几行定义了 e 中的 、、、:
同一个网站是固定值, 是 load 响应返回的,控制台打印一下 、 的结果:
很明显是由几部分组成的, 经过加密,向上跟栈到 init 中,分别定义在第 5837 行和第 5838 行,为 d 字典的键,根据键名取值:
d 定义在第 5835 行,这部分还原一下就很明显了:
跟进到 中,函数定义在第 6945 行,于 6978 行打下断点:
由 得到, 定义在第 6960 行:
i:
r:
n:
s:
t:
e:
o:
h 定义在第 6269 行,跟进去是 16 位随机数字符串, 为 p,就是 经过 MD5 加密得到的:
至此这四个也分析完了,还差以下这部分:
em 等定值就不分析了,注意 ,这个参数值和三代滑块中一样,每隔几个小时会改变,向上跟栈到 中,在第 6207 行打下断点,此时 e 中这个值还未生成:
下一行打下断点,下步断点,即执行完 后,这个参数值就生成了,证明是 方法生成的,跟进去:
跳转到第 5766 行,在第 5779 行打下断点,此时的 n 中还未生成此参数:
执行了 后即生成:
可见其生成位置在 方法中,跟进去后到 gct4.js 文件,和三代大差不差:
可以将值导出,至此 e 就分析完了,接着回到第 6238 行,跟进到加密函数 中,定义在第 11669 行, 即 r 参数的值,c 为一个大数组,u 明显也经过加密了,所以 r 参数的值就是数组 c 加密后再加上 u 得到的:
先跟进到 u,其定义在第 11705 行,解混淆后如下:
所以 u 是 i 经过加密后得到的,i 定义在第 11702 行:
跟进到 中,定义在第 852 行,又是熟悉的 16 位随机数:
i 是随机数,跟进到加密函数 中,在第 12725 行,于 12741 行打下断点,可以看到这里就是个 RSA 加密,扣代码或者直接引库即可:
回到 c 参数,c 参数的值为一个大数组,其定义在第 11705 行,解混淆后内容如下:
e 之前分析完了,i 为随机数,两个参数已经分析完了,跟进到加密方法中,在第 12174 行,于 12186 行打下断点,控制台打印一下混淆部分内容,很熟悉的东西,这里就是 AES 加密,iv 为初始向量,加密模式为 CBC,对各类加密算法不熟悉的,可以阅读 K 哥文章【爬虫知识】爬虫常见加密解密算法:
c 参数最后又被 函数加密,跟进后,定义在第 547 行,直接扣下来改改即可:
领取专属 10元无门槛券
私享最新 技术干货