本帖最后由 囧小夏 于 2024-03-15 21:25 编辑
声明 本文章中所有内容仅供学习交流,相关链接做了脱敏处理,若有侵权,请联系我立即删除! 一、目标网站aHR0cHM6Ly9qeC5qc29ucGxheWVyLmNvbS9wbGF5ZXIvP3VybD1odHRwczovL3d3dy5pcWl5aS5jb20vdl9tNG1qbDhtbzhrLmh0bWw= 二、过检测,然后找到所需加密参数位置
打开网站,按f12会发现debugger,然后你继续运行,他就会在网址后面一直加数值,导致浏览器崩掉。 要过这个确实很简单,这个网站的作者其实算留了一点小破绽吧,可能也算是他自己要调试设置检测点所以遗留下来的小破绽,就是debugger后面的if判断。 
我们只要把if后面条件变成false。就能过第一个检测的地方了,这个网站还有哦。 
跟栈:原来是eval代码来的,那代码怎么来的呢?其实可以在某一返回里面看到。 
再跟一层。 
我的处理方式是:我直接把这一行给注释掉,这样操作可能会导致视频不播放,但是发包是正常的,我只要加密解密就好了,视频不需要播放。 刷新网页,运行。然后又遇到一个debugger,这个就是我说的返回的js代码。 
相同步骤,if后面改false。 然后刷新网页,你就会发现:都让他运行。 第一次修改: 
第二次修改: 
成功发包: 
需要逆的参数:params 跟第二个进去: 
可以看到很清晰的encrypt,下个断点吧,然后目标位置已找到 
三、两种方式解决文件类型wasm①使用node自带WebAssembly初始化wasm文件,调相应算法关键点:初始化函数api 找传入bytes,和传入对象importObjectWebAssembly.Instance(module, importObject); 同步 module=new WebAssembly.Module(bytes)
WebAssembly.instantiate(bytes, importObject) 异步
WebAssembly.instantiateStreaming(bytes, importObject) 异步
所以我们可以搜索关键词WebAssembly,来找初始化的地方,调用wasm文件的关键。 这个网站有混淆,可能你不能直接找到instantiate啊之类的关键词,但是WebAssembly是可以完全搜索到的, 
其实看到fetch大概率能猜到是第二个了,经验吧。 
这里采用的是instantiateStreaming异步方式初始化。 
居然还把它以.jpg后缀伪装成图片,其实你直接访问链接下载的,真实后缀就是.wasm。 所以到这里传入的关键点一:bytes我们就拿到了。 接下来就是第二个参数importObject 
展开随便进一个函数,发现里面是go编译的,没做什么处理,可以发现其实用这个算法的人也不太熟悉,不敢随便改动,直接拿生成的就来用了。 直接复制下来,然后我们找到要的importObject是new .Go下面的 
直接运行不行啊,因为最底下是命令行调用形式,所以把底下这一块删掉,就可以直接运行这个自执行了。
然后new就有这个对象啦!!! 
接下来就是初始化了,文件我们已经下载下来了。我这里采用同步的形式,返回就是instance了,同步后期好调用一点。 
然后网页调用了run方法就在全局加载了encrypt,decrypt函数。 
我们也来模拟一下吧 
那么,它环境是怎么检测的呢,通过什么呢? 其实就是通过第二个参数importObject中的js方法拿浏览器环境中的值。我们可以代{过}{滤}理全局global,看看它是不是取了什么东西,也就是对应网站的window。 以下是简单的挂代{过}{滤}理函数: function myProxy(obj,name){
return new Proxy(obj,{
get(target, propKey, receiver)
{
let temp =Reflect.get(target,propKey,receiver);
if (typeof temp == 'object'){
temp=myProxy(temp,name+'=>'+propKey.toString())
}
console.log(`${name}->get ${propKey.toString()} return ->${temp}`)
return temp;
},
set(target, propKey, value, receiver)
{
let temp = Reflect.set(target,propKey,value);
console.log(`${name}->set ${propKey.toString()} value ->${value}`)
return temp;
}
})
}
可以发现它全局取不到location就导致了报错,所以我们补一个location 
又缺了东西,按照报错来补。补document,window,然后又报了一个核心函数错。 
一搜索关键词(toStatus)就能搜索到: 
原来返回了一个url,一个指纹,经过测试,只要fingerprint任意值都可以。 所以我们就直接 
成功补好,运行就有加密函数了 
运行加密函数,成功出值,多试几次,可以发现只有后面一部分会变,我们用第二种方法解就会知道是什么原因了。至此,第一种文件调用基的方案就是这样了,基本上文件调用的都可以这样通杀吧。 
②分析wasm文件拿算法(这个较难)1.针对wasm函数名字隐藏的 用工具反编译成.c文件,然后再用ida静态分析结合网站动态分析。(这种方式需要对汇编,算法等很熟悉,有点像解app的so层算法)2.针对wasm函数名字暴露的 根据暴露的函数名在wasm文件关键位置下断点,找到加密参数,关键key和iv(需要一些算法经验)我们来看看这个网站是什么情况? 进入wasm内部  我们主要关注两个地方,functions和memory,tables也可以看看,tables里面是wasm和js都可以访问和更改的对象。 展开functions: 
可以发现并没有函数名混淆,应该是调了go某个库里面的东西,有很多函数。 crypto/md5.digest
crypto/aes.NewCipher
crypto/cipher.newCBC
....
有很多其他crypto库,其实根据上面加密后的结果,可以大胆猜测是AES加密。 在这里,我找了一下go的AES加密有关的文章: https://www.jianshu.com/p/47e8c137ecd4 
其实就可以找到关键的地方了。 $crypto/aes.NewCipher下加载了key $crypto/cipher.newCBC下加载了iv $interface:{BlockSize:func:{}{basic:int},CryptBlocks里面加载了加密参数 我们可以在这些关键函数位置下断点,然后看内存中的数据是什么: 
点击后输入地址就能看对应内存的内容了。 第一个位置$crypto/aes.NewCipher: 
每一个入参你都搜索一下,就能看到加密key了。 
16位就是key了。 第二个位置一样的操作: 
第三个位置: 
明文清清楚楚的。我们当然可以把明文显示到控制台:
viewChar = (addr, size = 16) =>{
const arr = new Uint8Array(memories[0].buffer.slice(addr, addr + size));
return String.fromCharCode.apply(null, arr);
};
可以看到一直变动的就是时间戳。 解密也是同理,至此,这个网站的逆向基本上结束了。 四、总结 对wasm文件类型的网站逆向,基本上掌握第一种方式就可以完全解决,因为wasm只能通过js importobject获取浏览器的值,无法在里面做环境检测;wasm环境检测也只能是值的校验。所以通过代{过}{滤}理等方式,在js层把传进去的东西都捕获到,只要补齐对应值就能完成逆向调用。 重点还是找初始化的bytes和importobject,如果有不对的地方,请大佬们多多指正~~ 五、相关练习案例网站视频网站1: aHR0cHM6Ly9qeC55YW5ndHUudG9wLz91cmw9aHR0cHM6Ly93d3cuaXFpeWkuY29tL3ZfMXZuN3ZpMm9vZGMuaHRtbA== 视频网站2: aHR0cHM6Ly9nYXplLnJ1bi9wbGF5Lzc0NmIxZTBiM2E5MjcyNTU1ZDkzYTZiOWQ4NTIzNzBh 视频网站3: aHR0cHM6Ly93d3cuZ2R0di5jbi90dlByb2dyYW1z 某数藏登录:(请求头Secc-Fetch-Hash-Key) aHR0cHM6Ly9kYy5tYXl0ZWsuY24vIy9Mb2dpbkJveA==
注:若转载请注明大神论坛来源(本贴地址)与作者信息。
|
发表于 2024-03-15 21:25
评分
顶
踩
扫码赞助