树妹滑块树妹滑块的加密和轨迹应该是入门级的吧,就用他们的教程和文字来说说一个des然后识别gap位置可以随便用cv2或者ddddoc轨迹模拟一个。csdn上已经有很多这种简单的教程了,但是很少有人告诉你,它的js好像一周更新一次。Update之后,post的参数key和des的key会变,混乱的js结构也会变。下面我要说的是分析动态参数和des加密的key值。滑块预览图如下图:滑块预览图抓包进入正题。先看/ca/v1/conf这个界面。返回的域名和js地址包含版本号:{code:1100detail:{css:"/pr/auto-build/v1.0.3-151/style.min.css",…}css:"/pr/auto-build/v1.0.3-151/style.min.css"domains:["castatic.fengkongcloud.cn","castatic.fengkongcloud.com","castatic-a.fengkongcloud.com",…]0:"castatic.fengkongcloud.cn"1:"castatic.fengkongcloud.com"2:"castatic-a.fengkongcloud.com"3:"castatic2.fengkongcloud.com"js:"/pr/auto-build/v1.0.3-151/captcha-sdk.min.js"message:"success"requestId:"88aac752cd02b26a54e13b5c577652cc"riskLevel:"PASS"score:0}获取js地址此js用于滑块。查看提交滑块时的参数:参数很多,除了sdkver,organization,rid,act.os,rversion,ostype,callback,其他11个名字不固定,值会更新,所以需要在上面是用js做的(我用的是正则匹配)。大佬们都用ast,就是不知道怎么弄。这个很难(硬。下图是我之前笔记的大概位置:先全局搜索一个参数名,定位到这里,然后在下一个断点滑动滑块,分解找到参数。已经很明显的11个参数中的8个在这里可用。看代码分析。下面这段中有一些_0x27c7fb(0x46e)函数参数(16进制)得到des的key值,有的直接是明文des的key值,所以我们还需要得到_0x27c7fb解密的函数。获取解密函数;整个js可以看成两部分,第一部分是写一个解密函数,你传一个整数减一个整数,然后把结果给大数组,下标返回的时候返回一个字符串,以上都是要解密调用这个函数就可以了。不要错过下面的代码_0x2abc是返回一个大数组,然后匿名函数1是偏移大数组,匿名函数2是第二部分,好像是webpack导出的,不用担心它,只是为了我们匹配的东西。main_reCom=re.compile(',function\(\)\{function(.+)\]\)')#匹配到匿名函数2并用正则表达式替换,剩下的就是解密后的数组main_array_dec=re.sub(main_reCom,"",content)js=execjs.compile(main_array_dec)#get_array_functionName=re.search('function(_0x\d\w+)\(\)',main_array_dec).group(1)get_arrayValue_FcuntionName=re.search('function(_0x\d\w+)\(_\d\w+,',main_array_dec).group(1)print("通过传参获取数组返回值的函数名:",get_arrayValue_FcuntionName)这样就得到了解密函数的js和函数名,接下来就是匹配参数了。这里的所有["2??位参数"]=(......"key"|function(16进制))都匹配;正则代码1:all_args_rule:str='\[\'(\w{2})\'\]=this.*?,(_0x[\d\w]{6}\((0x[\d\w]{3})\)\)|\'([\d\w]{8})\')'all_args=re.findall(all_args_rule,content)匹配到19,上图中可见的都是匹配,然后根据幻灯片的参数保存。找到其他3个动态参数搜索名称;正则代码2:#获取checkapi的其他3个参数和待解的deskey或keycheckApi_args_rule='\'(\w{2})\',this.*?,(_0x[\d\w]{6}\((0x[\d\w]{3})\)\)|\'([\d\w]{8})\')'checkApi_args=re.findall(checkApi_args_rule,content)十一动态参数已经匹配。让我们谈谈如何获得价值。2位明文参数就更不用说了,循环然后下标0。然后有的下标2有值(16进制参数)有的直接下标3有值(明文des的key),写个判断然后上面定义了js函数,得到解密后的js函数名?16只需将基数转换为int类型然后执行js函数传参解密即可得到密钥。我的代码是这样的:data_json={}data_json["QueKouWeiZhi"]=[all_args[5][0],all_args[5][3]ifall_args[5][3]!=""elseget_des_key(int(all_args[5][2],16))]最后返回data_json:提交slider信息时,定义一个params字典,固定的先写,动态的动态修改。总结大家好,我是黑脸怪。上周刚看的时候,版本号好像是148,现在是151,正则化试了一下,只匹配到147-151。146之前的混淆结构不一样,所以这里只能算是提供一个动态正则的思路,github上看到有大佬用ast做的,可惜不知道怎么做,然后好像是他的ast代码无法提供动态参数。这种频繁更新的js很难。
