【作者主页】:小鱼神1024
【擅长领域】:JS逆向、小程序逆向、AST还原、验证码突防、Python开发、浏览器插件开发、React前端开发、NestJS后端开发等等
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!若有侵权,请联系作者立即删除!
【该文章已同步至星球】:https://articles.zsxq.com/id_z0hwwtswwp1n.html
前言
最近听星球小伙伴说,mtgsig 签名算法升级到 1.2 了,出于学习目的,于是乎,我决定重新分析记录一下,希望能帮助到有需要的小伙伴。
前置分析
在请求时,发现请求头中存在 mtgsig 字段,如下所示:
当请求不携带 mtgsig 字段时,会返回 403 错误,如下所示:
逆向分析
通过堆栈进入 H5guard.js 文件中,发现有大量的混淆,如下所示:
为了方便学习观察,我们先使用 AST 还原一下代码,如下所示:
通过还原后的代码,很明显能看到许多浏览器环境参数,这样即使是补环境,也是清晰明了的。
当然了,咱们出于学习目的,这里就不补环境了,直接分析纯算 mtgsig。
那么快速定位到 mtgsig 生产的位置呢?
通过观察发现,mtgsig 是 json 结构的字符串,很显然它是通过 JSON.stringify 生成的。于是,我们可以通过 hook 它。
JSON.stringify_ = JSON.stringify;
JSON.stringify = function () {if (arguments[0] && arguments[0]["a1"]) {debugger;}let result = JSON.stringify_.apply(this, arguments);return result;
};
如果想了解更多实用 hook,传送门:JS 逆向定位神器:史上最实用的 Hook 脚本
通过 hook,快速定位到 mtgsig 生成的位置,如下所示:
很显然 mtgsig 是通过 new gO() 生成的,那找到这个 gO 类,如下所示:
简单分析后,发现它是一个 JSVMP。那插桩呗!
说到插桩,可以先了解一下 日志插桩框架,让你插桩分析更高效。传送门:终极逆向插桩日志框架,让浏览器崩溃成为历史!
将常见的运算符,比如:+、-、*、/、&、>> 等等,都插入日志,如下所示:
当日志执行完成后,发现 mtgsig 就生成了。如下所示:
a1
这个就不用多说了。就是 1.2。
a2
a2 就是一个时间戳,可以用 Date.now() 生成。
a3
搜索 a3 的值:wz71wxx81z4v5x001wyyy43161z01uz6805500982y397958uwyxux11, 如下所示:
它其实就是 localStorage 中的 dfpId 的值。
如果喜欢刨根问底,可能会问,localStorage 中的 dfpId 的值又是哪里来的呢?
它可以本地生成,也可以通过请求 webdfpid 接口获取。
不管用那种方式,都需要生成临时的 dfpId 值,代码如下:
/*** 获取a3* @returns */
function get_dfpId() {const dfp_timestamp = Date.now()const constant_str = "AOMEOAG"const env = { "platform": "Win32", "vendor": "Google Inc." }const envUint8Array = new TextEncoder().encode(JSON.stringify(env))// md5.md5算法可以在星球获取const gA = md5.md5(envUint8Array)// 1736411131947AOMEOAGfd79fef3d01d5e9aadc18ccd4d0c9507return `${dfp_timestamp}${constant_str}${gA}`
}
Ok,到这里,a3 的值就搞定了。
a5
搜索日志,找到第一个 a5 值生成的地方,如下所示:
通过日志发现,a5 是通过 kV 函数生成的。其中函数的参数数组又是通过函数 kX 生成的。
一步一步往上翻日志,它是通过截取 a6 值的前 10 位,再拼接上 a2 时间戳得到的。如图:
根据箭头指向,就能找到 a6 生成所有需要的参数。
其中,所涉及到的函数,直接缺啥补啥就行。这个过程比较简单,就不赘述了。
a6
gU(kz, !1, kt) 找到这个位置,它就是 a6 的值。
进入这个函数,看看它做了什么事情。
看到这里就很清楚了。将环境参数进行 ase 加密后,再 base64 加密。
有一个坑点要注意,它的秘钥 key 是动态的。原因是生成的 66 位大数组是随机的。
剩下的就是扣代码了。这个不难了,直接扣就行。
a8
搜索日志,找到第一个 a8 值生成的地方,如下所示:
通过分析可以发现,a8 是通过三个数组异或操作之后,再通过 toString(16) 转换为 16 进制字符串得到的。
const a5_index_arr16 = [202, 0, 115, 219, 118, 30, 116, 201, 100, 35, 92, 162, 207, 176, 73, 182] // 自行动态替换
const a6_index_arr16 = [51, 152, 137, 25, 242, 234, 154, 33, 133, 11, 152, 70, 200, 246, 61, 173] // 自行动态替换const a8_index_arr16 = [115, 77, 208, 7, 220, 219, 190, 23, 10, 174, 113, 15, 83, 31, 108, 51]function get_a8() {let a8 = ""for (let i = 0; i < 16; i++) {const v1 = a5_index_arr16[i] ^ a6_index_arr16[i]const v2 = v1 ^ a8_index_arr16[i]const v3 = v2.toString(16)if (v3.length === 1) {a8 = a8 + ("0" + v3)} else {a8 = a8 + v3}}return a8
}
其中,a8_index_arr16 是固定的数组。这个生成 a8 的算法不难还原,主要 a5_index_arr16 和 a6_index_arr16 是动态生成的。需要花点时间分析一下。
OK,到这里,a8 的值就搞定了。
a9
搜索日志,找到第一个 a9 值生成的地方,如下所示:
3.0.0 是 sdkVersion 版本号,7 是固定的。45 是随机生成的,可以用 Math.floor(Math.random() * 256) 生成即可。
那 a9 也没啥难度了,直接生成即可。
a10
这个更简单了,直接去代码里扣就行。如图:
function get_a10() {for (var m2 = [], m3 = "0123456789abcdef", m4 = 0; m4 < 2; m4++)m2[m4] = m3["substr"](Math["floor"](16 * Math["random"]()), 1);return m2["join"]("");
}
其实它就是在 0123456789abcdef 中随机区两个字符拼接起来。
x0
这个就不说了,就是固定 4。
d1
这个才是重头戏。一起来看看吧。
找到第一个 d1 值生成的地方,如下所示:
首先它是根据 16位数组 结合 toString(16) 生成的,生成代码如下:
function get_d1() {const result_arr = []; // 自行动态替换let d1 = "";for (let i = 0; i < result_arr.length; i++) {const v = result_arr[i].toString(16);if (v.length === 1) {d1 = d1 + ("0" + v);} else {d1 = d1 + v;}}return d1;
}
那么这个数组又是怎么来的呢?继续往下看。
通过日志逐步分析得知,它是 a1、a3、a5、a6、a8、a10 的值拼接起来的。
将拼接后的字符串:
41.21736410129324wz71wxx81z4v5x001wyyy43161z01uz6805500982y397958uwyxux11qIOev3SBPmKv0Imwif8vMvw1FM2mO8lW44ueWHC41uNU+CoUqc==h1.7Y4FJL8ZKH1YV87TLKT20o9eVBh+MFKyzDoQeZdPnueUWkLVh1aKXvwFwF/fohFW54blQoiRhD9Msea0fsBrQ+96IhtC7Duuf0jk6KG+j4Jpj89hygFdmSJC69KR/YkvtQsUi+iCbsNRLfjSJnvs2UA==34d26105456cd9b2494448073da64a1b3.0.0,7,45d76c3213382629f09445
通过 kK 函数,生成 16 位 Uint8Array 数组。
function kK(lI) {for (var lJ = encodeURIComponent(lI), lK = [], lL = 0;lL < lJ["length"];lL++) {var lM = lJ["charAt"](lL);if ("%" === lM) {var lN = lJ["charAt"](lL + 1) + lJ["charAt"](lL + 2),lO = parseInt(lN, 16);lK["push"](lO), (lL += 2);} else lK["push"](lM["charCodeAt"](0));}return lK;
}
function get_table_string({a1,a3,a5,a6,a8,a10,randomNum,params,api,method,data,
}) {const string = `41.21736410129324wz71wxx81z4v5x001wyyy43161z01uz6805500982y397958uwyxux11qIOev3SBPmKv0Imwif8vMvw1FM2mO8lW44ueWHC41uNU+CoUqc==h1.7Y4FJL8ZKH1YV87TLKT20o9eVBh+MFKyzDoQeZdPnueUWkLVh1aKXvwFwF/fohFW54blQoiRhD9Msea0fsBrQ+96IhtC7Duuf0jk6KG+j4Jpj89hygFdmSJC69KR/YkvtQsUi+iCbsNRLfjSJnvs2UA==34d26105456cd9b2494448073da64a1b3.0.0,7,45d76c3213382629f09445`;const array = new Uint8Array(kK(string));return md5.md5(array);
}
那到索引表之后,再通过异或操作,生成 16 位数组。代码如下:
function get_arr16() {// const table = "8a1ba972861df8c6f1d9462890b29a32";const table = get_table_string();const temp_arr = [55, 63, 160, 244, 222, 253, 77, 56, 156, 75, 165, 121, 198, 117, 170, 115,];const result_arr = [];for (let i = 0; i < table.length; i += 2) {const v1 = "0x" + table.charAt(i);const v2 = v1 + table.charAt(i + 1);const v3 = temp_arr[i / 2] ^ parseInt(v2);result_arr.push(v3);}return result_arr;
}
这就是 16 位数组生成过程。
当然了,别看我写的简单,其实这里有很多细节需要注意的。自己可以尝试还原一下。
此时 mgtsig 就搞定了。
参数验证
写个小例子,验证下生成的参数是否正确,如下:
搞定!!
如果还有什么疑问,请在星球里留言。