瑞数(Botgate)安全产品分析
声明:该文章为学习使用,严禁用于商业用途和非法用途,违者后果自尊,由此产生的一切后果均与作者无关一、瑞数四特点:
[*] 有两次雷同的请求。
[*] 瑞数 Cookie 一样平常是成对出现的,例如 FSSBBIl1UgzbN7N80S 和 FSSBBIl1UgzbN7N80T。此中以 S 结尾的 Cookie 是第一次的 202 那个请求服务器返回的,以 T 结尾的 Cookie 是由 JS 天生的,动态变化的,T 和 S 前面一样平常会跟 80 或 443 的数字 (数字 80 是 http 协议的默认端口号,数字 443 是 https 协议的默认端口)。
[*] js 代码天生的 cookie 值,首字母肯定会有一个数字,3 代表 3 代,4 表现 4 代,5 代表 5 代。
[*] 打开抓包工具后,会进入两次无限 debugger。
[*] 第一次请求:状态码 202, 服务器相应一个 cookie, 返回一段包含 js 代码的 html 代码。
[*] 第一次返回的 html 代码结构:
[*] meta 标签的 content 内容,每次都是变化的。
[*] 两个 script 标签:
[*] 第一个 script 标签是外链的 JS,直接打开看是乱码的,内里定义了全局变量 window.$_ts,在自实行方法中会用到,在差别页面也有所差别,但是同一个网站同一个页面 JS 里的内容一样平常是固定不会变的。
[*] 第二个 script 标签内里包含一个自实行方法,可以将外链的 JS 乱码变成 VM 文件中的正常代码,用来天生 cookie 信息, 每次请求变化的只是变量名,团体逻辑不变,瑞数的 JS 混淆代码中,变量、方法名大多雷同于 _$xx,有众多的 if-else 控制流。
6、第二次请求,携带两个 cookie 返回精确数据 。
二、瑞数4分析
本文介绍的是JS逆向补环境的方式过瑞数
目的网站:http://www.fangdi.com.cn/index.html
1、请求状态码
清空cookie, 革新页面,可以看到先请求了http://www.fangdi.com.cn/index.html 接口,返回了状态码202
https://img-blog.csdnimg.cn/direct/247111aac7ca4d4194d0ba167d6a5788.png
2、返回代码构成
返回的是一段包含js代码的html代码,此中js代码是一个自实行方法,用来天生cookie信息,而且还有一个外链的js,请求后返回的是ts代码
https://img-blog.csdnimg.cn/direct/7efe74312a244be1b90c47c7a49010cd.png
https://img-blog.csdnimg.cn/direct/e2e85b45f4e042a1a26aa5a0742fa241.png
3、定位cookie位置
清空cookie后,使用油猴脚本
(function () {
// 严谨模式 检查所有错误
'use strict';
// document 为要hook的对象 这里是hook的cookie
var cookieTemp = "";
Object.defineProperty(document, 'cookie', {
// hook set方法也就是赋值的方法
set: function (val) {
// 这样就可以快速给下面这个代码行下断点
// 从而快速定位设置cookie的代码
if (val.indexOf('FSSBBIl1UgzbN7N80T') != -1) {
debugger;
}
console.log('Hook捕获到cookie设置->', val);
cookieTemp = val;
return val;
}, // hook get 方法也就是取值的方法
get: function () {
return cookieTemp;
}
});
})(); 依次出现两个典范的无限 debugger对于后续分析没有影响,直接右键永不在此暂停,定位到cookie
https://img-blog.csdnimg.cn/direct/251a1c32ce1d4b28b117fd6ec7427da4.png
找到cookie赋值位置,由于很多值、变量都是动态变化的,以是需要固定一套代码到当地,方便打断点分析和跟栈
https://img-blog.csdnimg.cn/direct/7e112b41b46f45fd9c4ddad850745a2b.png
4、分析代码
在查看栈堆时,我们发现上面是同一个 VM 文件,下面都在 index.html 文件中。VM 文件是欣赏器为匿名函数创建的内存空间,用于存储和实行临时脚本,通常由实行 eval、setTimeOut、call 等方法天生。以是可以确定肯定是在 index.html 中调用方法天生了 VM 文件。
通过定位到 index.html 文件,发现是实行了 call 方法天生了 VM 文件(瑞数 4、5、6 通常都是调用的 call 方法)。向上查找,会发现 call 方法在自实行方法内里。
由于代码实行完后,在 document.cookie 中肯定会有数据。此时,我们可以直接把整个自实行方法拿下来,然后使用 console.log(document.cookie) 直接调用 cookie,在控制台输出。
https://img-blog.csdnimg.cn/direct/a589ee8580844edc8092b3634f1ee565.png
5、补环境
运行代码,会提示缺少环境
_$yz = window,
^
ReferenceError: window is not defined
使用吐环境代码:
function get_enviroment(proxy_array) {
for (var i = 0; i < proxy_array.length; i++) {
handler = '{\n' +
' get: function(target, property, receiver) {\n' +
' console.log("方法:", "get", "对象:", ' +
'"' + proxy_array + '" ,' +
'"属性:", property, ' +
'"属性类型:", ' + 'typeof property, ' +
// '"属性值:", ' + 'target, ' +
'"属性值类型:", typeof target);\n' +
' return target;\n' +
' },\n' +
' set: function(target, property, value, receiver) {\n' +
' console.log("方法:", "set", "对象:", ' +
'"' + proxy_array + '" ,' +
'"属性:", property, ' +
'"属性类型:", ' + 'typeof property, ' +
// '"属性值:", ' + 'target, ' +
'"属性值类型:", typeof target);\n' +
' return Reflect.set(...arguments);\n' +
' }\n' +
'}'
eval('try{\n' + proxy_array + ';\n'
+ proxy_array + '=new Proxy(' + proxy_array + ', ' + handler + ')}catch (e) {\n' + proxy_array + '={};\n'
+ proxy_array + '=new Proxy(' + proxy_array + ', ' + handler + ')}')
}
}
proxy_array = ['window', 'document', 'location', 'navigator', '
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]