聲明
本文章中所有內(nèi)容僅供學(xué)習(xí)交流站玄,抓包內(nèi)容枚驻、敏感網(wǎng)址、數(shù)據(jù)接口均已做脫敏處理株旷,嚴(yán)禁用于商業(yè)用途和非法用途再登,否則由此產(chǎn)生的一切后果均與作者無關(guān),若有侵權(quán)晾剖,請聯(lián)系我立即刪除锉矢!
本文章未經(jīng)許可禁止轉(zhuǎn)載,禁止任何修改后二次傳播齿尽,擅自使用本文講解的技術(shù)而導(dǎo)致的任何意外沽损,作者均不負(fù)責(zé),若有侵權(quán)循头,請?jiān)诠娞枴綤哥爬蟲】聯(lián)系作者立即刪除绵估!
逆向目標(biāo)
目標(biāo):某驗(yàn)三代滑塊驗(yàn)證碼炎疆,底圖還原及 w 參數(shù)逆向
驗(yàn)證碼 demo 列表:aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby8=
滑塊驗(yàn)證碼:aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby9zbGlkZS1mbG9hdC5odG1s
加密算法:RSA、AES国裳、MD5
驗(yàn)證碼流程分析
進(jìn)入網(wǎng)頁后形入,打開開發(fā)者人員工具進(jìn)行抓包
1.未點(diǎn)擊按鈕進(jìn)行驗(yàn)證之前,Network 中抓包到了以下信息:
- register-slide?t=xxx:
注冊滑塊請求缝左,響應(yīng)預(yù)覽中返回的信息中重要的是 gt 和 challenge亿遂,gt 是固定值,不同網(wǎng)頁對應(yīng)不同的 gt 值渺杉,類似于特征碼蛇数,challenge 的值每次刷新頁面都會變化,gt 參數(shù)會通過 url string 的形式傳遞給 gettype.php:
- gettype.php?gt=xxx&callback=xxx:
獲取驗(yàn)證碼少办,HTTP 請求中不同的請求方式和設(shè)置不同的 Content-Type 時(shí)苞慢,參數(shù)傳遞的方式會不一樣,一般為 Query String Parameters英妓、Form Data、Request Payload绍赛,這里是 Query String Parameters蔓纠,在 GET 請求時(shí),參數(shù)會以 url string 的形式進(jìn)行傳遞吗蚌,即 ? 后的字符串則為其請求參數(shù)腿倚,并以 & 作為分隔符,這里傳遞了 gt 參數(shù)的值以及 callback蚯妇,callback 為 geetest_ + 時(shí)間戳:
響應(yīng)預(yù)覽中返回了一些 js 文件及對應(yīng)的版本號:
-
第一個(gè) get.php?xxx敷燎,url 中傳遞了一些參數(shù),關(guān)鍵部分如下:
- gt:register-slide 響應(yīng)返回的 gt 值
- challenge:register-slide 響應(yīng)返回的 challenge 值
- w:對軌跡箩言、滑動(dòng)時(shí)間等進(jìn)行加密后的參數(shù)硬贯,該網(wǎng)站第一個(gè) w 值可以直接置空
- callback:geetest_ + 時(shí)間戳
06響應(yīng)內(nèi)容如下,這里沒什么需要注意的陨收,feedback 就是某驗(yàn)的幫助中心:
07
2.點(diǎn)擊按鈕進(jìn)行驗(yàn)證之后饭豹,Network 中抓包到了以下信息:
-
第一個(gè) ajax.php?xxx,url 中傳遞了一些參數(shù)务漩,關(guān)鍵部分如下:
gt:register-slide 響應(yīng)返回的 gt 值
challenge:register-slide 響應(yīng)返回的 challenge 值
w:對軌跡拄衰、滑動(dòng)時(shí)間等進(jìn)行加密后的參數(shù),該網(wǎng)站第二個(gè) w 值也可以直接置空
-
callback:geetest_ + 時(shí)間戳
09響應(yīng)返回驗(yàn)證碼模式饵骨,滑塊驗(yàn)證碼為 slide翘悉,點(diǎn)選驗(yàn)證碼為 click:
10
-
第二個(gè) get.php?xxx,url 中傳遞了一些參數(shù)居触,關(guān)鍵部分如下:
- gt:register-slide 響應(yīng)返回的 gt 值
- challenge:register-slide 響應(yīng)返回的 challenge 值
- callback:geetest_ + 時(shí)間戳
11這個(gè)響應(yīng)返回了很多關(guān)鍵內(nèi)容:
- bg:被打亂的帶缺口背景圖妖混,需要還原包吝,372fe236d.webp
12- fullbg:被打亂的完整背景圖,需要還原源葫,7bfaaa72b.webp
13- slice:滑塊圖片诗越,不需要還原,372fe236d.png
14- c:關(guān)鍵參數(shù)息堂,與后面 aa 參數(shù)的值有關(guān)嚷狞,固定值
- s:關(guān)鍵參數(shù),與后面 aa 參數(shù)的值有關(guān)
15 -
第二個(gè) ajax.php?xxx荣堰,url 中傳遞了一些參數(shù)床未,關(guān)鍵部分如下:
- gt:register-slide 響應(yīng)返回的 gt 值
- challenge:register-slide 響應(yīng)返回的 challenge 值 + 兩位字符串,注意多了兩位振坚,是第二個(gè) get.php?xxx 返回值中得到的
- w:對軌跡薇搁、滑動(dòng)時(shí)間等進(jìn)行加密后的參數(shù),需要通過逆向得到
- callback:geetest_ + 時(shí)間戳
16滑動(dòng)滑塊驗(yàn)證通過即會返回以下內(nèi)容:
17失敗則會返回:
18
逆向分析
w 參數(shù)
跟到 w 參數(shù)的值方法很多渡八,以下講兩種:
1.很簡便啃洋,w 參數(shù)在 js 文件中有特征碼,點(diǎn)擊按鈕進(jìn)行驗(yàn)證之后屎鳍,ctrl + shift + f 全局搜索 "\u0077"宏娄,然后點(diǎn)擊進(jìn)入 slide.7.8.9.js 文件中,7.8.9 為當(dāng)前版本逮壁,注意沒點(diǎn)擊驗(yàn)證的話是不會有這個(gè) js 文件的:
進(jìn)入后點(diǎn)擊左下角 { } 大括號孵坚,格式化文件,再 ctrl + f 局部搜索 "\u0077"窥淆,只有一個(gè)結(jié)果卖宠,在第 6086 行,在第 6088 行打下斷點(diǎn)忧饭,滑動(dòng)滑塊即會斷住扛伍,h + u 即為 w 參數(shù)的值:
2.通過 Initiator 跟棧,跟進(jìn)到 $_CId 中:
進(jìn)去同樣格式化后眷昆,會跳轉(zhuǎn)到第 4583 行蜒秤,在該行打下斷點(diǎn):
向上跟棧到 $_CCBv 中同樣會找到剛剛的位置:
由以上分析可知,w 參數(shù)是 h 和 u 相加得到的亚斋,所以找到定義的位置作媚,看看是怎么構(gòu)造生成的,u 參數(shù)定義在第 6077 行帅刊,h 參數(shù)定義在第 6079 行纸泡,內(nèi)容如下:
var u = r[$_CAIAt(754)]()
, l = V[$_CAIAt(353)](gt[$_CAIAt(218)](o), r[$_CAIAt(756)]())
, h = m[$_CAIAt(782)](l)
可以看到,h 參數(shù)是傳入了 l 參數(shù)后經(jīng)過 m[$_CAIAt(782)] 方法處理后得到的赖瞒,所以依次往下分析女揭,現(xiàn)在看看 u 參數(shù)是怎么生成的:
u 參數(shù)
u 參數(shù)通過 r[$_CAIAt(754)] 方法生成蚤假,選中后跟進(jìn)到方法定義位置:
會跳轉(zhuǎn)到第 6218 行,在 6227 行 return 處打下斷點(diǎn)吧兔,重新拖動(dòng)滑塊磷仰,即會斷住:
e 為 u 參數(shù)的值境蔼,其定義在第 6266 行:
e = new U()[$_CBGAZ(353)](this[$_CBGAZ(756)](!0));
在控制臺中打印輸出一下各部分內(nèi)容:
e = new U()["encrypt"](this["$_CCEc"](!0));
從打印出來的結(jié)果可以看出灶平,e 參數(shù)的值可能是將 16 位的隨機(jī)字符串加密后得到的,跟進(jìn)到 this[$_CBGAZ(756)] 中驗(yàn)證一下:
跳轉(zhuǎn)到第 6208 行箍土,在第 6214 行 return 處打下斷點(diǎn):
Ot 即 16 為字符串逢享,Ot = rt(),跟進(jìn)到 rt 函數(shù)中吴藻,在第 4213 行瞒爬,于第 4219 行打下斷點(diǎn)后會發(fā)現(xiàn),16 位字符串是由四個(gè) t() 方法的結(jié)果相加得到的:
跟進(jìn)到 t() 方法的定義位置沟堡,在第 4203 行侧但,第 4208 行即為隨機(jī)字符串算法:
還原混淆后內(nèi)容如下,Math.random() 是隨機(jī)選取大于等于 0.0 且小于 1.0 的偽隨機(jī) double 值弦叶,toString(16) 為十六進(jìn)制字符串:
(65536 * (1 + Math["random"]()) | 0)["toString"](16)["substring"](1)
JavaScript 復(fù)現(xiàn):
function random() {
var random_str = "";
for (var index = 0; index < 4; index++) {
random_str += (65536 * (1 + Math["random"]()) | 0)["toString"](16)["substring"](1);
}
return random_str;
}
this["$_CCEc"] 分析完了俊犯,那 new U()["encrypt"] 是什么呢,選中 new U() 后伤哺,從原型鏈中可以看到 setPublic,根據(jù)經(jīng)驗(yàn)很有可能就是 RSA 加密設(shè)置公鑰者祖,加解密相關(guān)算法可以查看 K 哥往期文章 【爬蟲知識】爬蟲常見加密解密算法:
跟進(jìn)去查看一下:
跳轉(zhuǎn)到第 2908 行立莉,在第 2922 行斷住后,$_BACAs(332) 的值為 "Invalid RSA public key":
第 2908 行七问,ut 函數(shù)傳入了兩個(gè)值蜓耻,t 為公鑰值,e 為公鑰模數(shù)械巡,都是固定值:
- t:"00C1E3934D1614465B33053E7F48EE4EC87B14B95EF88947713D25EECBFF7E74C7977D02DC1D9451F79DD5D1C10C29ACB6A9B4D6FB7D0A0279B6719E1772565F09AF627715919221AEF91899CAE08C0D686D748B20A3603BE2318CA6BC2B59706592A9219D0BF05C9F65023A21D2330807252AE0066D59CEEFA5F2748EA80BAB81"
- e:"10001"
這里可以直接引庫復(fù)現(xiàn)刹淌,也可以選擇將算法部分扣下來,局部搜索 var U = function讥耗,在第 2043 行有勾,將整個(gè)自執(zhí)行函數(shù)扣下來,這里隨機(jī)數(shù)后期寫成固定值古程,后面也有隨機(jī)數(shù)蔼卡,不然會造成傳參不匹配:
var U = function () {
// 此處過長,省略
}();
// 隨機(jī)數(shù), 一組四個(gè)數(shù)
function t() {
random_str = (65536 * (1 + Math["random"]()) | 0)["toString"](16)["substring"](1);
return random_str;
}
// 隨機(jī)數(shù), 四個(gè)數(shù)一組, 四組
function getRandomStr() {
return t() + t() + t() + t();
}
// u 值
var u = new U()['encrypt'](getRandomStr());
console.log('u 參數(shù)的值為:', u);
運(yùn)行后報(bào)錯(cuò)提示挣磨,QBLnx is not defined:
其定義在第 136 行雇逞,是個(gè)函數(shù)對象荤懂,補(bǔ)上即可:
function QBLnx() {};
運(yùn)行后報(bào)錯(cuò)提示,$_IBAe is not a function:
搜索后可知塘砸,其定義在第 128 行:
跟進(jìn)過去將該部分扣下來:
QBLnx.$_CM = function() {
return typeof QBLnx.$_Ak.$_DBGGT === 'function' ? QBLnx.$_Ak.$_DBGGT.apply(QBLnx.$_Ak, arguments) : QBLnx.$_Ak.$_DBGGT;
};
接著報(bào)錯(cuò)提示节仿,Cannot read property '$_DBGGT' of undefined:
定義在第 7 行,直接將 QBLnx.$_Ak 整個(gè)扣下來即可掉蔬,然后會報(bào)錯(cuò)提示廊宪,window 和 ht 未定義,ht 為 navigator:
var window = {
"navigator": {
"appName": "Netscape",
},
}
ht = window["navigator"];
又報(bào)錯(cuò)提示眉踱,QBLnx.$_Db is not a function:
其定義在第 132 行挤忙,扣下來補(bǔ)上:
QBLnx.$_Db = function() {
return typeof QBLnx.$_BP.$_DBHGJ === 'function' ? QBLnx.$_BP.$_DBHGJ.apply(QBLnx.$_BP, arguments) : QBLnx.$_BP.$_DBHGJ;
};
報(bào)錯(cuò)提示,Cannot read property '$_DBHGJ' of undefined:
通過搜索谈喳,其定義在第 68 行册烈,將 QBLnx.$_BP 整個(gè)扣下來即可,至此婿禽,u 參數(shù)成功復(fù)現(xiàn):
l 參數(shù)
u 參數(shù)解決后赏僧,接著需要分析 l 參數(shù),內(nèi)容如下:
// 混淆
l = V[$_CAIAt(353)](gt[$_CAIAt(218)](o), r[$_CAIAt(756)]());
// 未混淆
l = V["encrypt"](gt["stringify"](o), r["$_CCEc"]());
可以知道扭倾,l 參數(shù)的結(jié)果是將 gt["stringify"](o) 和 r["$_CCEc"]() 加密后得到的淀零,先來分析 r["$_CCEc"]() ,選中后跟進(jìn)進(jìn)去膛壹,跳轉(zhuǎn)到了熟悉的第 6208 行驾中,就是之前的 16 位隨機(jī)字符串:
將這里寫成跟之前一樣的固定值, gt["stringify"](o) 返回的是 JSON 格式的數(shù)據(jù)模聋,由 o 參數(shù)生成:
對比分析以下 o 參數(shù)中肩民,哪些是定值,哪些是動(dòng)態(tài)變化的链方,可以看到箭頭所指的值都不一樣了:
- userresponse:滑動(dòng)距離 + challenge 的值
- passtime:滑塊滑動(dòng)時(shí)間
- imgload:圖片加載時(shí)間
- aa:軌跡加密
- ep-tm:
window["performance"]["timing"]相關(guān) - mocq:每天 key持痰、value 會變
- rp:gt + 32 位 challenge + passtime,再經(jīng)過 MD5 加密
接下來對關(guān)鍵值進(jìn)行分析祟蚀,先來分析下 userresponse工窍,o 定義在第 6012 行:
var o = {
"lang": i[$_CAIAt(116)] || $_CAHJd(103),
"userresponse": H(t, i[$_CAHJd(182)]),
"passtime": n,
"imgload": r[$_CAIAt(750)],
"aa": e,
"ep": r[$_CAHJd(714)]()
};
userresponse 定義在第 6014 行觅玻,需要分析 H(t, i[$_CAHJd(182)])逾礁,控制臺打印一下:
t 為滑動(dòng)滑塊的距離滞造,需要注意的是 i[$_CAHJd(182)] 為第二個(gè) ajax.php?xxx 傳遞的 challenge波丰,比注冊請求時(shí)的 challenge 長兩位披粟,再將 H 參數(shù)扣下來即可镊靴,其定義在第 704 行盾致,報(bào)錯(cuò)提示照弥,$_CJFA is not defined:
定義在第 159 行:
var $_CJEl = QBLnx.$_CM
, $_CJDa = ['$_CJHo'].concat($_CJEl)
, $_CJFA = $_CJDa[1];
至此,userresponse 成功復(fù)現(xiàn)攻人,接下來看 passtime取试,n 值此時(shí)已經(jīng)生成了,為 1010怀吻,向上跟棧到 $_CGlj 中:
n[$_DAAAV(871)] 為 passtime 值瞬浓,定義在第 8164 行,為滑動(dòng)結(jié)束時(shí)間 - 開始時(shí)間:
接下來分析下 aa 參數(shù)蓬坡,其定義在第 6017 行猿棉,值由參數(shù) e 傳遞,同樣向上跟棧到 $_CGlj 中屑咳,為第 8168 行的 l 值萨赁,l 定義在第 8167 行,三個(gè)參數(shù)加密后得到:
-
n[$_DAAAV(913)][$_CJJJb(1066)]():軌跡加密后的結(jié)果 -
n[$_DAAAV(69)][$_CJJJb(1097)]:c 值兆龙,在第二個(gè) get.php?xxx 返回的響應(yīng)中得到 -
n[$_DAAAV(69)][$_CJJJb(319)]:s 值杖爽,在第二個(gè) get.php?xxx 返回的響應(yīng)中得到
接下來跟進(jìn)到 n[$_DAAAV(913)][$_CJJJb(1066)] 中,分析下軌跡是如何加密的紫皇,在第 4065 行慰安,于第 4133 行打下斷點(diǎn),第 4108 行的 this[$_BEHAL(343)] 即為軌跡值聪铺,關(guān)于軌跡算法后面會專門出一期文章:
將整個(gè)算法部分摳出來化焕,先將軌跡值固定,寫成參數(shù)傳遞進(jìn)去铃剔,不然會報(bào)錯(cuò)提示撒桨,Cannot read property 'length' of undefined,因?yàn)檐壽E值是別的算法生成的键兜,不傳值即為空元莫,運(yùn)行程序,會報(bào)錯(cuò)提示蝶押,ct is not defined:
ct 定義在第 4223 行,扣下來火欧,報(bào)錯(cuò)提示棋电,(intermediate value)[$_BEHAL(...)] is not a function:
定義在第 4326 行,補(bǔ)上以下內(nèi)容苇侵,即可復(fù)現(xiàn):
ct["prototype"] = {
"\u0024\u005f\u0043\u0041\u0051": function(t) {
var $_BFFJi = QBLnx.$_CM
, $_BFFIX = ['$_BFGCq'].concat($_BFFJi)
, $_BFGAT = $_BFFIX[1];
$_BFFIX.shift();
var $_BFGBV = $_BFFIX[0];
var e = this[$_BFFJi(461)];
if (e[$_BFGAT(419)])
return new ct(e[$_BFFJi(419)](t));
for (var n = [], r = 0, i = e[$_BFGAT(125)]; r < i; r += 1)
n[r] = t(e[r], r, this);
return new ct(n);
},
};
結(jié)果對比一致:
后面三個(gè)參數(shù)的值都分析完了赶盔,回到第 8167 行 l 處,跟進(jìn)到 n[$_DAAAV(913)][$_DAAAV(1059)] 中榆浓,在第 4135 行于未,扣下來即可:
function getAA(t, e, n) {
var $_BEIJl = QBLnx.$_CM
, $_BEIIt = ['$_BEJC_'].concat($_BEIJl)
, $_BEJAy = $_BEIIt[1];
$_BEIIt.shift();
var $_BEJBr = $_BEIIt[0];
if (!e || !n)
return t;
var r, i = 0, o = t, s = e[0], a = e[2], _ = e[4];
while (r = n[$_BEIJl(229)](i, 2)) {
i += 2;
var c = parseInt(r, 16)
, u = String[$_BEJAy(237)](c)
, l = (s * c * c + a * c + _) % t[$_BEJAy(125)];
o = o[$_BEJAy(229)](0, l) + u + o[$_BEJAy(229)](l);
}
return o;
};
將 c 和 s 寫為固定值,對比結(jié)果一致:
aa 參數(shù)分析完成,接下來分析 rp 參數(shù)烘浦,定義在第 6076 行:
// 混淆
o[$_CAIAt(791)] = X(i[$_CAIAt(104)] + i[$_CAIAt(182)][$_CAHJd(139)](0, 32) + o[$_CAHJd(704)]);
// 未混淆
o["rp"] = X(i["gt"] + i["challenge"]["slice"](0, 32) + o["passtime"]);
后面三個(gè)參數(shù)都很明顯了抖坪,跟進(jìn)到 X 函數(shù)中,在第 1876 行闷叉,扣下來即可擦俐,對比結(jié)果一致:
這里是 MD5 加密,也可以直接通過引庫復(fù)現(xiàn):
ep 定義在第 6018 行握侧,跟進(jìn)到 r[$_CAHJd(714)] 中蚯瞧,tm 參數(shù)定義在第 6239 行:
跟進(jìn) new bt()[$_CBGEC(760)] 中,在第 5268 行打下斷點(diǎn)品擎,tm 結(jié)果如下:
至此埋合,參數(shù) o 復(fù)現(xiàn)完畢,回到第 6078 行萄传,分析完 V[$_CAIAt(353)] l 即完成甚颂,跟進(jìn),定義在第 3218 行盲再,在第 3230 行打下斷點(diǎn)西设,這里為 AES 加密,初始向量 iv 值為 "0000000000000000":
直接引庫復(fù)現(xiàn):
function aesV(o_text, random_str) {
var key = CryptoJS.enc.Utf8.parse(random_str);
var iv = CryptoJS.enc.Utf8.parse("0000000000000000");
var srcs = CryptoJS.enc.Utf8.parse(o_text);
var encrypted = CryptoJS.AES.encrypt(srcs, key, {
iv: iv,
mode: CryptoJS.mode.CBC,
padding: CryptoJS.pad.Pkcs7
});
for (var r = encrypted, o = r.ciphertext.words, i = r.ciphertext.sigBytes, s = [], a = 0; a < i; a++) {
var c = o[a >>> 2] >>> 24 - a % 4 * 8 & 255;
s.push(c);
}
return s;
};
對比結(jié)果一致:
l 參數(shù)分析完畢答朋,終于只剩下一個(gè) h 了贷揽,m[$_CAIAt(782)](l) 即將 l 加密后得到的,跟進(jìn) m[$_CAIAt(782)]梦碗,定義在第 1568 行禽绪,在第 1575 行打下斷點(diǎn),為 e 中兩個(gè) value 值相加:
e 定義在第 1574 行洪规,t 為傳入的 l 參數(shù)印屁,跟進(jìn)到 this[$_GFJn(264)] 中,在第 1523 行斩例,復(fù)現(xiàn)如下:
校驗(yàn)結(jié)果一致:
w 參數(shù)至此終于全部復(fù)現(xiàn)完成雄人!
底圖還原
前文說過,拿到的完整背景圖以及帶缺口背景圖都是被打亂了的念赶,這里需要還原才能計(jì)算滑動(dòng)距離以及軌跡等础钠,極驗(yàn)的底圖是通過 Canvas 繪制出來的,直接打下事件斷點(diǎn):
點(diǎn)擊按鈕進(jìn)行驗(yàn)證即會斷住叉谜,格式化后跳轉(zhuǎn)到第 295 行旗吁,
簡單解一波混淆,會清晰一些:
function $_BEG(t, e) {
var $_DAHHo = QBLnx.$_Db()[12][19];
for (; $_DAHHo !== QBLnx.$_Db()[15][16];) {
switch ($_DAHHo) {
case QBLnx.$_Db()[15][19]:
t = t["$_CGz"],
e = e["$_CGz"];
var n = t["width"]
, r = t["height"]
, i = h["createElement"]("canvas");
i["width"] = n,
i["height"] = r;
$_DAHHo = QBLnx.$_Db()[3][18];
break;
case QBLnx.$_Db()[0][18]:
var o = i["getContext"]("2d");
o["drawImage"](t, 0, 0);
var s = e["getContext"]("2d");
$_DAHHo = QBLnx.$_Db()[0][17];
break;
case QBLnx.$_Db()[12][17]:
e["height"] = 160,
e["width"] = 260;
for (var a = r / 2, _ = 0; _ < 52; _ += 1) {
var c = Ut[_] % 26 * 12 + 1
, u = 25 < Ut[_] ? a : 0
, l = o["getImageData"](c, u, 10, a);
s["putImageData"](l, _ % 26 * 10, 25 < _ ? a : 0);
}
$_DAHHo = QBLnx.$_Db()[15][16];
break;
}
}
}
控制流平坦化混淆停局,可以通過 AST 技術(shù)解混淆很钓,AST 相關(guān)可以看 K 哥往期文章:逆向進(jìn)階香府,利用 AST 技術(shù)還原 JavaScript 混淆代碼,這里就不對此進(jìn)行講解了码倦,這里就是 Canvas 繪圖的過程企孩,關(guān)鍵亂序算法部分在 QBLnx.$_Db()[12][17] 中:
e["height"] = 160,
e["width"] = 260;
for (var a = r / 2, _ = 0; _ < 52; _ += 1) {
var c = Ut[_] % 26 * 12 + 1
, u = 25 < Ut[_] ? a : 0
, l = o["getImageData"](c, u, 10, a);
s["putImageData"](l, _ % 26 * 10, 25 < _ ? a : 0);
}
原圖比例為 312 x 160,寬為 320叹洲,長為 160:
e["height"] = 160柠硕、e["width"] = 260 指還原后的圖片比例為 260 x 160,a 的值為 r / 2 即 80运提,就是將整張圖片分為了上下兩等分蝗柔,再將圖片縱向切割為了 26 等份,Ut 數(shù)組的長度為 52民泵,Ut[_] 即依次取數(shù)組中的元素癣丧,Ut 數(shù)組即為圖片還原的順序,是固定的栈妆,25 < Ut[_] ? a : 0 判斷圖片是上半部分還是下半部分胁编,_ % 26 * 10 表示每個(gè)小塊取 10 px 像素,正確圖片的順序?yàn)椋?/p>
[39,38,48,49,41,40,46,47,35,34,50,51,33,32,28,29,27,26,36,37,31,30,44,45,43,42,12,13,23,22,14,15,21,20,8,9,25,24,6,7,3,2,0,1,11,10,4,5,19,18,16,17]
示例:
Python 復(fù)現(xiàn):
def restore_picture():
img_list = ["./亂序缺口背景圖.png", "./亂序背景圖.png"]
for index, img in enumerate(img_list):
image = Image.open(img)
s = Image.new("RGBA", (260, 160))
ut = [39, 38, 48, 49, 41, 40, 46, 47, 35, 34, 50, 51, 33, 32, 28, 29, 27, 26, 36, 37, 31, 30, 44, 45, 43,42,12, 13, 23, 22, 14, 15, 21, 20, 8, 9, 25, 24, 6, 7, 3, 2, 0, 1, 11, 10, 4, 5, 19, 18, 16, 17]
height_half = 80
for inx in range(52):
c = ut[inx] % 26 * 12 + 1
u = height_half if ut[inx] > 25 else 0
l_ = image.crop(box=(c, u, c + 10, u + 80))
s.paste(l_, box=(inx % 26 * 10, 80 if inx > 25 else 0))
if index == 0:
s.save("./缺口背景圖片.png")
else:
s.save("./背景圖片.png")
還原后如下:
錯(cuò)誤結(jié)果
// challenge 不對
geetest_xxxxxxxxxxxxx({"status": "error", "error": "illegal challenge", "user_error": "\u7f51\u7edc\u4e0d\u7ed9\u529b", "error_code": "error_23"})
// w 不對
geetest_xxxxxxxxxxxxx({"status": "error", "error": "param decrypt error", "user_error": "\u7f51\u7edc\u4e0d\u7ed9\u529b", "error_code": "error_03"})
// 無軌跡
geetest_xxxxxxxxxxxxx({"status": "error", "error": "not proof", "user_error": "\u7f51\u7edc\u4e0d\u7ed9\u529b", "error_code": "error_21"})
// 軌跡鳞尔、缺口距離嬉橙、參數(shù)問題
geetest_xxxxxxxxxxxxx({"success": 0, "message": "fail"})
geetest_xxxxxxxxxxxxx({"success": 0, "message": "forbidden"})
結(jié)果驗(yàn)證
100 次大概 95% 的成功率:
