JS逆向百例某东 h5st 4.7 逆向分析

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责。

前言

最近某东也是在不断的维护升级 h5st 参数, 原因就是逐渐 VMP 化,现在已经到了 4.7 版本了,也相对稳定下来了,那我们就来分析分析。

逆向目标

目标:某东 h5st 4.7 参数逆向分析

网站:aHR0cHM6Ly93d3cuamQuY29tLw==

流程分析

我们先抓包分析一下,随便找个有 h5st 参数的接口,我们可以直接看到它的版本:

还有个 x-api-eid-token 这是一个风控参数,生成位置如下:

也是接口返回,a,d 参数由大量的浏览器环境以及指纹信息生成,这边就不具体分析了,可以先写死,我们具体来看看 h5st 参数。

逆向分析

定位 h5st 参数的生成,可以直接通过搜索大法,或者找堆栈都能快速定位到生成的位置:

跟栈进去:

可以发现他将 colorParamSign 传入 window.PSign.sign 这个异步函数,返回的结果就有了 h5st 参数:

取了前面的查询参数,然后 colorParamSign 的 body 就是将前面查询参数的 body 经过 SHA256 加密,测试没有魔改,我们直接套库就行。

点击进入 window.PSign.sign 函数中就到了 VMP 文件了, 也是主要的加密文件:

仔细观察一下,发现他将加密的主要流程,以及加密的函数大部分 VMP 化了,不过却留下不少的特征点:

  • 方法一:

我们可以在所有的 vmp 操作的 call 的位置打上日志断点,进行分析,不过日志点比较多,不太推荐。

  • 方法二:

根据留下的特征点,在关键的加密函数的位置上,断点分析,既能看到传入的明文,也能看到加密后的密文,能节省不少时间。我们搜索一下一些常见的加密函数 CryptoJS, AES,SHA, Base64 等等。

能找到差不多有 10 处左右进行加密,编码操作的函数,都写在一起,而且格式,特征都基本一致:

传入一个对象,来接收导出的加密函数:

可以发现里面还有标准的 ob 模式的混淆,主要导出的加密函数就是 o 函数,初始直接将 o 函数的返回值,赋值给 HS 对象,后续就传入 HS 对象到 o 函数再进行导出,所以 HS 对象应该包含所有的加密函数。

我们可以输出看看,找到如下位置断下,这里就是最后拼接生成 h5st 的位置:

然后 输出 HS 对象:

点击对应的加密函数,下断点,这样就能精准的知道是如何进行操作的(其实可以都打上断点)我这边求方便就只打下面这几个关键断点了:

  • AES

  • 哈希

  • Base64:

我们重新请求后,就在 AES 这断下了:

这里的 n, a 应该就是 key,iv ,可能有人看不懂,没事我们可以转换一下:

const CryptoJS = require('crypto-js');
var Bytes ={
    words: [1598895705106354851813120430941296456536],
    sigBytes16
};
var key = CryptoJS.enc.Utf8.stringify(Bytes);
console.log(key);
var Bytes = CryptoJS.enc.Utf8.parse(key);
console.log(Bytes);

测试一下,发现  AES  跟标准的  AES  结果不一致,问题不大,我们继续往下走;

将 AES 加密的结果进行 Base64 编码(魔改了的),我们可以在 return 的地方断下来:

继续往下走:

我们向上找一下堆栈,进到 test 可以很明显的发现是如何进行操作的:

然后找了一下这个 test 是怎么来的,发现是 request_algo 接口 返回,注意 rd 和加密的函数都是动态的

唯一要具体分析的就是 expandParams,这个也是走的上面魔改的 AES 加密生成,key 值不一样,明文主要就是一些环境值,可以先固定,这里就不具体分析了。

我们再来输出一下加密后的值,以防后续调用:

然后继续走,就断到这里了:

'5571a8dda12c510ad1922b90d6b048aba648d9a8c2fc679927fc1e7102520489appid:search-pc-java&body:64ef977e15f853295527f3ce1f15fc980963c43f27c40066d26dd19b542d0bd4&client:pc&clientVersion:1.0.0&functionId:pc_search_s_new&t:17152462710115571a8dda12c510ad1922b90d6b048aba648d9a8c2fc679927fc1e7102520489'
  • 加密结果为:
626bad7f7ebe126bb799ac619409778c8808864ad364bcb3d6a42bfb14af47b7

仔细观察明文其实就是 上面 test 函数生成的加密结果 + colorParamSign 的拼接 + test 函数生成的加密结果。

不过我们不知道他走的是哪个加密函数,我们可以通过 HS 对象下的加密函数来一一确认,也可以在其他的加密函数上打上断点,可能有的大佬可以直接秒,哈哈,已经确认走的是 SHA256 加密函数:

继续往下走就来到了最后拼接生成 h5st 参数的位置:

  • e:就是上面 SHA256 加密函数生成的;
  • t :是时间戳;
  • r :由 t 转换生成。
function format() {
    var e = arguments.length > 0 && void 0 !== arguments[0] ? arguments[0] : Date.now()
      , t = arguments.length > 1 && void 0 !== arguments[1] ? arguments[1] : "yyyy-MM-dd"
      , r = new Date(e)
      , n = t
      , a = {
        "M+": r.getMonth() + 1,
        "d+": r.getDate(),
        "D+": r.getDate(),
        "h+": r.getHours(),
        "H+": r.getHours(),
        "m+": r.getMinutes(),
        "s+": r.getSeconds(),
        "w+": r.getDay(),
        "q+"Math.floor((r.getMonth() + 3) / 3),
        "S+": r.getMilliseconds()
    };
    return /(y+)/i.test(n) && (n = n.replace(RegExp.$1"".concat(r.getFullYear()).substr(4 - RegExp.$1.length))),
    w_(a).forEach((function(e{
        if (new RegExp("(".concat(e, ")")).test(n)) {
            var t, r = "S+" === e ? "000" : "00";
            n = n.replace(RegExp.$11 == RegExp.$1.length ? a[e] : j_(t = "".concat(r)).call(t, a[e]).substr("".concat(a[e]).length))
        }
    }
    )),
    n
};

console.log(format(1715246309293“yyyyMMddhhmmssSSS”))  // 20240509171829293

  • n:就是上面第一次 AES 加密进行魔改 Base64 编码后的结果;
  • _fingerprint:可以先写死,算法生成;
  • _appid:也可以先写死,页面里获取;
  • _token:request_algo 接口返回。

h5st 参数的生成都分析完,现在就差 HS 对象下的加密函数如何获取:

看似复杂,还有 ob 混淆等等,其实直接正常扣就行了,缺啥补啥,ob 混淆其实都没必要还原,手动扣就行,混淆的地方不多,大概有 10 处这样的函数,结构都一致:

扣完后,输出 HS 对象,就可以直接调用里面的加密函数,注意要校验和浏览器加密的结果一致:

结果验证

注意:正确的 h5st 不会出现 <Response [403]> 的情况,100% 可以拿到数据:

原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/80466.html

(0)
guozi's avatarguozi
上一篇 2024年5月31日 上午9:49
下一篇 2024年5月31日 上午9:51

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注