前言：

隨著當(dāng)前攻防水平的不斷提高，實(shí)戰(zhàn)攻防過程中，經(jīng)常能遇到前端的參數(shù)被各種各樣的方式加密的情況。毫無疑問，這種方式能夠防止很多腳本小子的腳步，但是很多網(wǎng)站就存在“金玉其外，敗絮其內(nèi)“的情況，將傳遞的參數(shù)加密了事，忽略很多系統(tǒng)本身存在的安全風(fēng)險(xiǎn)。本文以實(shí)戰(zhàn)角度出發(fā)，介紹面對(duì)這種前端加密情況下的攻防技巧。

測(cè) 試 思 路

常見的JavaScript逆向相關(guān)的技巧，包括瀏覽器調(diào)試、Hook、AST、無限D(zhuǎn)ebugger的繞過以及模擬調(diào)用JavaScript等，但是在實(shí)際對(duì)抗過程中，如何將技巧形成一個(gè)行之有效的“套路“來應(yīng)對(duì)JavaScript逆向的流程。一般來說，在實(shí)戰(zhàn)過程中，JavaScript可以分為三大部分：尋找入口、調(diào)試分析和模擬執(zhí)行。

▌尋找入口：

關(guān)鍵步驟，逆向大部分情況下就是分析加密參數(shù)是如何來的，實(shí)戰(zhàn)過程中，遇到請(qǐng)求中的加密參數(shù)比如token、sign等，這個(gè)加密邏輯是如何形成的？這個(gè)關(guān)鍵邏輯可能寫在某個(gè)方法、或者隱藏在某個(gè)關(guān)鍵變量中，眾所周知，一個(gè)網(wǎng)站加載了很多JavaScript文件，如何尋找這個(gè)加密邏輯就是我們尋找入口所要做的事情。

▌?wù){(diào)試分析：

找到入口之后，我們找到這個(gè)參數(shù)是在某個(gè)方法里面執(zhí)行的，那么到底是如何執(zhí)行這個(gè)加密邏輯的呢？里面究竟調(diào)用了多少加密算法，經(jīng)歷了多少次賦值和轉(zhuǎn)換呢？這些都是我們要思考的點(diǎn)，以便于我們后續(xù)進(jìn)行模擬調(diào)用或者邏輯改寫。在這個(gè)過程中我們主要是借助瀏覽器的調(diào)試工具打斷點(diǎn)進(jìn)行分析，或者借助反混淆工具進(jìn)行代碼的反混淆等。

▌模擬執(zhí)行：

經(jīng)過調(diào)試分析后，我們已經(jīng)大致弄清楚整個(gè)加密邏輯，但是我們最終的目的就是如何加解密參數(shù)，方便我們進(jìn)行攻擊操作。因此這個(gè)過程就需要對(duì)整個(gè)加密邏輯進(jìn)行復(fù)寫或者模擬執(zhí)行，比如我們輸入的是一些惡意代碼，經(jīng)過調(diào)用后，就是服務(wù)器能夠識(shí)別的加密代碼，從而完成一次攻擊。

01

尋找入口

常見的尋找入口的操作很多，其中包括：查看請(qǐng)求、搜索參數(shù)、分析發(fā)起調(diào)用、打斷點(diǎn)、Hook等操作，這里來分別介紹一下：

「查看請(qǐng)求」

以一次訪問電影網(wǎng)站為例，可以看到首頁有很多數(shù)據(jù)，這些數(shù)據(jù)肯定是逐個(gè)請(qǐng)求返回的，我們就要思考，究竟是哪一個(gè)請(qǐng)求返回的內(nèi)容呢？打開瀏覽器開發(fā)者工具-->打開網(wǎng)絡(luò)面板-->點(diǎn)擊搜索按鈕，比如我們這里就搜索唐伯虎點(diǎn)秋香，如下圖所示：

此時(shí)可以看到對(duì)應(yīng)的搜索結(jié)果，點(diǎn)擊搜索到的結(jié)果，我們就可以定位到對(duì)應(yīng)的響應(yīng)結(jié)果的位置，如下圖所示：

找到響應(yīng)之后，我們就可以順便找到是誰發(fā)起的請(qǐng)求了，如下圖所示：

比如，這里我們想找到我們想要的數(shù)據(jù)所對(duì)應(yīng)的請(qǐng)求位置了。很明顯，請(qǐng)求方法為GET，參數(shù)是limit、offset、token。一般來說，可以通過這種方法來尋找最初的突破口，如果這個(gè)請(qǐng)求帶有加密參數(shù)，就需要知道這個(gè)參數(shù)究竟是在哪里生成的。如果這個(gè)參數(shù)沒有加密，爬蟲選手可以直接開爬，就可以獲取該系統(tǒng)所有的電影數(shù)據(jù)。思考一下，如果電影數(shù)據(jù)是身份信息會(huì)怎么樣呢？

「搜索參數(shù)」

在上一步中，我們已經(jīng)找到了最初的突破口，明確了關(guān)鍵請(qǐng)求是如何發(fā)起的，帶有什么加密參數(shù)，這里發(fā)現(xiàn)一個(gè)關(guān)鍵參數(shù)token，現(xiàn)在就是去尋找token前世今生的時(shí)候了。最簡(jiǎn)單的方法就是直接進(jìn)行全局搜索。一般來說，參數(shù)名就是一個(gè)普通的字符串，這里的參數(shù)名就叫做token，這里的某個(gè)JavaScript文件中肯定有這個(gè)字符串。這里有一個(gè)搜索技巧，點(diǎn)擊ctrl+shift+F，開啟全局搜索，如下圖所示：

這是一個(gè)資源搜索的入口，可以搜索我們下載下來的JavaScript文件的內(nèi)容，這里我們輸入token來進(jìn)行搜索。

這樣我們就找到一些關(guān)鍵點(diǎn)了，一共五個(gè)結(jié)果，結(jié)果不多，我們可以進(jìn)一步分析。

「調(diào)用分析」

搜索是一種查找入口的方式，這是從源碼層面進(jìn)行查找，我們也可以從發(fā)起調(diào)用邏輯的流程進(jìn)行分析。比如打開Network請(qǐng)求里面的Initiator查看當(dāng)前請(qǐng)求構(gòu)造的相關(guān)邏輯。

點(diǎn)擊光標(biāo)，會(huì)有完整的請(qǐng)求調(diào)用流程，我們點(diǎn)進(jìn)去就可以尋找到相關(guān)代碼邏輯。

很明顯，紅框處是我們尋找到的入口點(diǎn)參數(shù)，我們找到了入口點(diǎn)。

「斷點(diǎn)分析」

我們還可以通過一些端點(diǎn)進(jìn)行入口的查找，比如XHR斷點(diǎn)，DOM斷點(diǎn)、事件斷點(diǎn)等。這里我們?cè)陂_發(fā)者工具Sources面板里添加設(shè)置，比如這里我們添加了XHR斷點(diǎn)和全局Load時(shí)間斷點(diǎn)，如圖所示：

我們?cè)谙聢D紅框處找到了入口點(diǎn)。

「Hook」

在實(shí)戰(zhàn)過程中Hook也是常用的查找入口點(diǎn)的功能。一些代碼搜索或者斷點(diǎn)并不能很有效地找到對(duì)應(yīng)的入口，這種情況下就可以用Hook。比如說，對(duì)一些常見的加密和編碼算法、常用的轉(zhuǎn)換操作都可以進(jìn)行Hook，比如Base64編碼、Cookie的賦值、JSON的序列化。常用Hook方式就是通過TemporMonkey來實(shí)現(xiàn)。具體實(shí)現(xiàn)過程本篇文章暫不詳述。

02

調(diào)試分析

找到常見入口后，我們需要進(jìn)行的就是整個(gè)流程的調(diào)試分析，這個(gè)步驟中，我們常用到一些格式化、斷點(diǎn)調(diào)試、反混淆的手法來輔助整個(gè)流程分析。

「格式化」

格式化過程很重要，能夠提高代碼的可讀性，一般情況下很多JavaScript代碼都是經(jīng)過打包和壓縮的。多數(shù)情況下，我們可以使用Sources面板下JavaScript窗口左下角的格式化按鈕對(duì)代碼進(jìn)行格式化。如下圖所示：

「斷點(diǎn)調(diào)試」

代碼格式化之后，我們就需要進(jìn)行正式調(diào)試，基本操作就是給想要調(diào)試的代碼添加斷點(diǎn)，同時(shí)在對(duì)應(yīng)的面板觀察變量值。我們知道入口點(diǎn)需要三個(gè)參數(shù)，核心加密參數(shù)是token，那么我么應(yīng)該著重關(guān)注token的生成邏輯，如下圖所示，

不斷回溯，找到我們的token生成邏輯。

這里的加密邏輯就是：▲將/api/movie放到一個(gè)列表中；▲在列表中添加當(dāng)前時(shí)間戳，調(diào)用push方法，添加到列表中；▲將列表內(nèi)容用逗號(hào)拼接；▲將拼接結(jié)果進(jìn)行SHA1編碼；▲將編碼的結(jié)果和時(shí)間戳再次拼接；▲將拼接后的結(jié)果進(jìn)行Base64編碼。這里結(jié)果用python模擬，將過程的值輸出如下圖：

我們已經(jīng)獲取到加密字段，接下來能干的事情就不詳述。

「反混淆」

實(shí)戰(zhàn)過程中可能遇到各種各樣的混淆方式，比如控制流扁平化、數(shù)組移位等。對(duì)于這種我們可以嘗試AST技術(shù)來對(duì)代碼進(jìn)行還原。比如下圖

這里while循環(huán)內(nèi)部，通過一些判斷條件執(zhí)行某些邏輯，這種邏輯我們無法直接判斷執(zhí)行順序，對(duì)于這種類似的混淆技術(shù)，我們可以嘗試AST進(jìn)行還原。

03

模擬執(zhí)行

經(jīng)過一系列調(diào)試，我們已經(jīng)了解其中的加密邏輯，接下來就是調(diào)用執(zhí)行的過程了。常見的調(diào)用流程如下：●Python改寫或者模擬執(zhí)行適用于整體邏輯不復(fù)雜，我們可以嘗試用Python來實(shí)現(xiàn)整個(gè)加密流程?！馢avaScript模擬執(zhí)行+API適用于Python不兼容部分JavaScript的情況，而Node.js天生就支持JavaScript，為了更加通用實(shí)現(xiàn)JavaScript的模擬調(diào)用，我們可以用express類模擬JavaScript，實(shí)現(xiàn)跨語言調(diào)用。●瀏覽器模擬執(zhí)行適用于調(diào)試分析結(jié)果不理想的情況，由于整個(gè)邏輯都是在瀏覽器中運(yùn)行，我們可以利用Selenium、PlayWright來嘗試將一些JavaScript代碼，得到一些返回結(jié)果。

總 結(jié)

本篇文章，我們從實(shí)戰(zhàn)角度出發(fā)，對(duì)整個(gè)JavaScript逆向的流程進(jìn)行了簡(jiǎn)單介紹，通過三大步驟——尋找入口、調(diào)試分析、模擬執(zhí)行來梳理JavaScript逆向過程中常用技巧，文中部分內(nèi)容由于篇幅限制，不夠詳實(shí)，僅提供思路，詳細(xì)內(nèi)容歡迎加《權(quán)說安全》技術(shù)交流群進(jìn)行交流。