题目七:千山鸟飞绝
还是先进入开发者模式,一进来还是一个无限debugger,直接右键点击一律不在此处停留
然后点击下一页,复制curl进行代码生成,然后就会发现加密内容是headers中的m,ts,还有参数中的x,接下来还是进行堆栈分析
前面的那两个就是直接复制的文件,可以不用看,直接就看下面的进去之后发现里面全部都是看不懂的
着就是明显的ob混淆,需要的解混淆的网站里面去解混淆,其实这个解混淆第一次有一个错误,后面你就会发现,解混淆之后,你就会发现加密的位置可能在这里
解混淆工具
$.addRequestInterceptor(function (_0x2410d2) {
let _0x2498e1 = new Date().getTime();
let _0x48003c = window.eeee("xialuo" + _0x2498e1);
_0x2410d2.headers = _0x2410d2.headers || {};
_0x2410d2.headers.m = _0x48003c;
_0x2410d2.headers.ts = _0x2498e1;
_0x2410d2.url += "&x=" + encodeURIComponent(dd.a.SHA256(_0x48003c + "xxoo"));
return _0x2410d2;
});
$.addResponseInterceptor(function (_0x3dd6df, _0x1ec311, _0x2ea8f0) {
if (_0x2ea8f0.statusText === "OK" || _0x2ea8f0.statusText === "success") {
const _0x10319d = xxxxoooo(_0x3dd6df.r);
const _0x3f6d4e = x1.parse(_0x10319d);
return _0x3f6d4e;
} else {
return _0x3dd6df;
}
});
断点调试以后可以发现这里就是加密的位置
可以看到, param参数的x为请求头的参数m+固定值"xxoo" , 经过SHA256算法得到
验证SHA256算法: SHA256 - 在线工具
然后就可以把他改一下
function main123 () {
let ts = new Date().getTime().toString();
let m = eeee("xialuo" + ts);
let x = encodeURIComponent(CryptoJS.SHA256(m + "xxoo"));
return {
"ts": ts,
"m": m,
"x": x
}
}然后运行这串代码,接下来就是补环境,你在解混淆的代码中,把需要的复制过来,然后这个可以改变一下,把他这种该成一个函数
是跟上一题一样,继续找他的加密,加密位置可以发现就在这个加密的下边
解混淆
$.addResponseInterceptor(function (_0x3dd6df, _0x1ec311, _0x2ea8f0) {
if (_0x2ea8f0.statusText === "OK" || _0x2ea8f0.statusText === "success") {
const _0x10319d = xxxxoooo(_0x3dd6df.r);
const _0x3f6d4e = x1.parse(_0x10319d);
return _0x3f6d4e;
} else {
return _0x3dd6df;
}
});然后也把他改一下,继续补环境,能发现值被输出出来了
