当前位置:网站首页>Extremely Knowing v2 Analysis

Extremely Knowing v2 Analysis

2022-07-30 15:32:00 Archaeologist lx (Li Xi)

案例地址:geetest.com/Register
案例内容:Analyzing the detection when logging inV2提交的Request Payload信息.

The content of the article is only for learning reference,如有侵权请联系作者进行删除

在这里插入图片描述

文章目录

接口分析

POST请求
在这里插入图片描述

加密Payload:
在这里插入图片描述

参数定位

长话短说,通过XHR断点.

在这里插入图片描述

往回走5You can see where the parameters are generated.

在这里插入图片描述
According to the debug information and the value in the interface comparison,发现e = DWYi[ymDv(1137)](l)是payload的其中一部分.

继续调试,发现代码:e + h[AUJ_(1173)]

Combining debugging information to draw conclusions:payload = DWYi[ymDv(1137)](l) + h[AUJ_(1173)]

h[AUJ_(1173)]

经测试,h是动态的,其中的aeskey和rsa的值不固定.
在这里插入图片描述
再次分析源码,可知 h = o[AUJ_(1156)]()
在这里插入图片描述

继续调试,AUJ_(1156) = ‘LpFU’
在这里插入图片描述
双击点进去,找到对应的方法.
在这里插入图片描述

Put the contents of this file in Lxtools Dissolve the confusion,Variable names are restored.

The overall code structure after copying to local formatting is as follows:
在这里插入图片描述
Discovery is a self-executing method,After manual processing, it can be changed to the following:

在这里插入图片描述

Then make up the environment according to the error,Such as these appear
在这里插入图片描述

Run it again after finishing,会返回MlHc. Then modify the code,让其返回 LkEB['prototype'].LpFU().
在这里插入图片描述

运行测试,成功打印了 o[AUJ_(1156)](),raised from itrsa参数即可.
在这里插入图片描述

DWYi[ymDv(1137)](l)

Check out the meanings first,其中 l 是EbF_[ymDv(409)](e, h[ymDv(1194)]),调用方法为DWYi['tc_t']
在这里插入图片描述

先看 l

Know it here aeskey It is analyzed from the first paragraph of our analysis o[AUJ_(1156)]() extracted from the object.
在这里插入图片描述

此处的e actions are includedid、行为轨迹,and unknown parameters.
在这里插入图片描述

EbF_[ymDv(409)]是对应的encrypt加密方法.Available locallyJOOO返回,JOOO在EbF_中.
在这里插入图片描述
那可以直接使用 EbF_.encrypt()to call the encryption method.
在这里插入图片描述
即:EbF_.encrypt(e, h[ymDv(1194)])

在这里插入图片描述

本地调用,成功生成 l .
在这里插入图片描述

调用tc_t

有了l 之后,We are making upJS中直接调用DWYi.tc_t(l) 即可.

总体流程:

// 注册 _asekey_rsa 
_asekey_rsa = LkEB['prototype'].LpFU()
rsa = _asekey_rsa.rsa
aeskey = _asekey_rsa.aeskey
// 生成 l
var l = EbF_.encrypt(e,aeskey)
// 加密后拼接
return DWYi.tc_t(l)+rsa

打印结果:
在这里插入图片描述

总结

The main content is process analysis and processing and calling of obfuscated code.

The content of the article is only the skin of the relatively well-informed detection,only analyzedPayload参数,In-depth detection and analysis is a long way to go.

The auxiliary code for this article is in the official account《Pythonlx》回复 shenzhi 领取.

在这里插入图片描述

原网站

版权声明
本文为[Archaeologist lx (Li Xi)]所创,转载请带上原文链接,感谢
https://yzsam.com/2022/211/202207301438425653.html

边栏推荐

猜你喜欢

随机推荐