上周研究了一下某團(tuán)團(tuán)的接口通過(guò)抓包發(fā)現(xiàn)和拼多多有點(diǎn)類(lèi)似末捣,都是要解決anti_content 但是不一樣的是還多了一個(gè)sign,沒(méi)辦法拿起我82年的祖?zhèn)魇炙嚹悴龋嫦蛐〕绦蛉缓蟀谴a
image.png
小程序逆向破解暫時(shí)按下不表,總之過(guò)程比較艱辛功舀,最后在google的幫助下還是拿下來(lái)了儡率,看著拿到的一坨不成形的代碼頓時(shí)心里五味雜陳,完全找不到方向组贺,快團(tuán)團(tuán)應(yīng)該是做了反逆向操作顷牌,拿到的代碼各種報(bào)錯(cuò)卫病,全線飄紅勿负,如下圖
image.png
只好祭出三板斧莫辨,第一斧峡继,全局搜索關(guān)鍵字呻畸,結(jié)果不太喜人写穴,全局只有三個(gè)地方出現(xiàn)共苛,在經(jīng)過(guò)一段時(shí)間的分析過(guò)后最后定位到這個(gè)地方有可能會(huì)是突破口,當(dāng)然這只是馬后炮胧辽,試過(guò)n多次才確定的
image.png
這樣的代碼看著太膈應(yīng)人峻仇,稍微格式化一下會(huì)好看很多公黑,不然只能看著它哭
image.png
由于不能調(diào)試邑商,只能一遍遍的試,最后確定這里確實(shí)是產(chǎn)生anti_content 的地方凡蚜,在確定關(guān)鍵點(diǎn)后人断,第二斧就是摳代碼,將整個(gè)代碼折疊后發(fā)現(xiàn)這就是一個(gè)webpack打包后的代碼朝蜘,摳代碼的過(guò)程是繁瑣無(wú)味的恶迈,一陣騷操作后終于將目標(biāo)代碼摳出
image.png
將目標(biāo)代碼放到小程序中執(zhí)行,將結(jié)果和抓包結(jié)果對(duì)比正好是產(chǎn)生的anti_content
image.png
最后一斧就是補(bǔ)全環(huán)境谱醇,因?yàn)樾枰趐ython中執(zhí)行暇仲,所以必須將代碼補(bǔ)全環(huán)境使其獨(dú)立執(zhí)行,副渴,接下來(lái)就是分析代碼奈附,產(chǎn)生anti_content 到底需要哪些參數(shù),在對(duì)代碼一番蹂躪后最終確定anti_content的生成涉及到下面幾個(gè)函數(shù)
image.png
最后將環(huán)境補(bǔ)全后獨(dú)立執(zhí)行后可以拿到對(duì)應(yīng)的anti_content 煮剧,然后上接口測(cè)試能夠通過(guò)斥滤,至此打完收工
