【小程序逆向专栏】某润选房小程序逆向分析

1

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

前言

近期在交流群中发现,有群友提到了小程序逆向相关的问题,之前也有不少粉丝私聊提问过相关问题,也对他们的疑问进行了解答, K哥一向会尽力满足粉丝们的需求 ,为了避免群友手动采集之痛,本文将对某润小程序进行逆向分析:

2

逆向目标

  • 目标:某润选房小程序逆向
  • 地址:I+Wwj+eoi+W6jzovL+Wwj+a2pumAieaIvy9yQ1FKZGlJVzZmQ002WnM=

小程序调试

关于微信小程序强启开发者人员工具,网上已经有很多办法,这里主要讲一种个人认为比较食用的方法,首先进入导航站(https://www.kgtools.cn/),找到 <小程序相关> 栏目:

3

然后选择右面已经编译好的 exe 进行下载,下载以后解压到本地文件夹:

4

我们需要将本地的微信版本安装到最新版(3.9.10.19_x64),根据测试,小程序版本 8555 比较稳定,别的版本可能会一直提示未找到匹配版本信息的微信进程,通过以下链接下载微信客户端,小程序版本为 8555:

https://weixin.qq.com/cgi-bin/readtemplate?lang=zh_CN&t=weixin_faq_list&head=true

解压文件,进入 cmd,输入 WechatOpenDevTools.exe -all 进行注入,发现提示:

5

我们按照相关教程,进入缓存页面:

6

退出微信,将如下的俩个文件夹删掉:

7

再次执行终端命令,注入成功:

8

最新版本的 WechatOpenDevTools.exe 会自动弹出微信,更为便利了。

抓包分析

首先,打开开发者人员工具(DevTools):

9

选择底部楼盘,发现有一个 /ssdp 接口,发现 url 中的 ssed 与协议头中的 saleSignature 数据存在加密情况,如下:

10

同时响应数据中返回了相关查询信息,本文将对查询接口做进一步分析:

11

逆向分析

ssdp 参数

ssdp 参数是请求每个接口都会携带的参数,我们猜测他包含了请求的类型,全局搜索 ssdp ,进入第二个 js 文件d5c5.js

12

发现大概是有 12 处相关的地方:

13

我们依次在这几个地方下断,再次进入楼盘,上下滑动,成功断了下来。通过观察发现,它在一个 request 的地方断了下来:

14

分析可知,他每次发送 request 请求的时候会被拦截下来,然后自动添加 ssdp 参数,生成步骤如下:

var u = this
, _ = Date.now()
, S = this
, D = this.getTimeDate()
, f = e + "&Api_Version=1.0&App_ID=".concat(this.globalData.appid, "&App_Sub_ID=").concat(this.globalData.getSsdpApp_Sub_ID, "&App_Token=").concat(this.globalData.App_Token_code, "&App_Version=1.0&Divice_ID=").concat(wx.getStorageSync("user_flag"), "&Divice_Version=wxapp&OS_Version=8.0.6&Partner_ID=").concat(this.globalData.getSsdpPartner_ID);
"post" == n && (f += "&REQUEST_DATA=".concat(JSON.stringify(s), "&Time_Stamp=").concat(D, "&User_Token=&").concat(this.globalData.getSsdpApp_key)),
"post" != n && (f += "&Time_Stamp=".concat(D, "&User_Token=&").concat(this.globalData.getSsdpApp_key));
var A = c(f).toUpperCase()
, b = this.base64_encode(e + "&Api_Version=1.0&App_ID=".concat(this.globalData.appid, "&App_Sub_ID=").concat(this.globalData.getSsdpApp_Sub_ID, "&App_Token=").concat(this.globalData.App_Token_code, "&App_Version=1.0&Divice_ID=").concat(wx.getStorageSync("user_flag"), "&Divice_Version=wxapp&OS_Version=8.0.6&Partner_ID=").concat(this.globalData.getSsdpPartner_ID, "&Time_Stamp=").concat(D, "&User_Token=&Sign=").concat(A))

好了,一眼望去密密麻麻:

15

经过分析,传入接口的请求参数,与时间、App_Sub_ID、App_Token、Divice_ID 等参数进行拼接。测试发现 Api_VersionApp_IDApp_Sub_ID 等参数可以固定,复现如下:

function md5Encrypt(data) {
    const hash = crypto.createHash('md5');
    hash.update(data);
    return hash.digest('hex');
}
function get_url() {
    Divice_ID = "这里写自己抓到的设备号"
    //以下参数仅供参考,请替换各自实际参数
    e = "Api_ID=crland.isale.nsc.searchProjectList";
    D = getTimeDate();
    f = e + "&Api_Version=1.0&App_ID=".concat("wx948ef9858f04f6e9", "&App_Sub_ID=").concat("0005000502QF", "&App_Token=").concat("2af3061a-fa3d-4ac2-8456-56546a8daaa9", "&App_Version=1.0&Divice_ID=").concat(Divice_ID, "&Divice_Version=wxapp&OS_Version=8.0.6&Partner_ID=").concat("00050000");
    var A = md5Encrypt(f).toUpperCase()
    b = btoa(e + "&Api_Version=1.0&App_ID=".concat("wx948ef9858f04f6e9", "&App_Sub_ID=").concat("0005000502QF", "&App_Token=").concat("2af3061a-fa3d-4ac2-8456-56546a8daaa9", "&App_Version=1.0&Divice_ID=").concat(Divice_ID, "&Divice_Version=wxapp&OS_Version=8.0.6&Partner_ID=").concat("00050000", "&Time_Stamp=").concat(D, "&User_Token=&Sign=").concat(A))
    return b
}

输出如下:

16

saleSignature 参数

同 ssdp 一样,全局搜索 saleSignature 发现同样是在 d5c5.js 中存在这个参数,定位到相关位置如下:

17

发现 k 是通过 var k = r.doEncrypt(T, p, 1) 得来,T 通过 T = i(I.toUpperCase()) 得来。进入的 i 函数发现是一个 md5 加密,所以 saleSignature 参数是由参数拼接然后转为大写,通过 md5 进行加密,然后传入 doEncrypt 进行处理后得到。

跟进到 doEncrypt 中,发现他属于一个导出函数,如下:

18

那么,这种我们应该怎么办呢?第一种办法就是搜索相关加密参数特征值,看看它是否属于什么加密算法,看看能不能引库复现,第二种就是整个 js 拿下,补环境调用:

19

第三种就是扣算法了,这里我们选择扣算法,本文重点讨论这类型的算法,应该从何下手去扣。

将 js 全部复制,放到 nodepad++ 中,全部收起,好家伙,8w 多行,你就扣吧,一扣一个不吱声:

20

这里我们搜索 doEncrypt: function(t, e),定位该函数作用域,发现它属于 webpack 打包的里面:

21

不仅如此,我们还发现它处于最底层声明了一个 utils/sm-crypto.js 模块,然后给其他地方调用这个加密模块,我们将整个声明模块下的内容全部复制到一个文件里面,如下:

22

将定义部分删除,将剩下的函数改为自执行函数:

23

然后将分发器导出到全局,如图:

24

执行一下我们导出的部分,输出如下:(部分用户可能会提示缺少模块 jsbn,手动 npm 安装一下即可):

25

搜索 doEncrypt 发现他处于第三个模块:

26

所以我们通过调用这个加密模块这个看看能不能调用成功,代码如下:

console.log(window.kk(3).doEncrypt("f5ef7eb5653944f8eef04891b195171b", "04a337dc634bddbbfbcae9d30470663fb5e221feab40239f1675a0b2d9d42e46413a0adfa4868c963aebb39d7ec89073885eccd011e0f96d5fe434be98734d9993", 1))

发现输出以下结果:

27

害,看似成功了,其实并没成功:

28

我们到浏览器看一下最终结果是怎么样的:

29

好了,我们遇到这种情况只能采用与浏览器联调了,看看到底是哪部分与浏览器不一样:

30

一步一步与浏览器进行联调,看看哪一部分不同:

31

经过调试发现,我们与浏览器不同的地方就在于,我们的 o 与 i 值是不同的,在浏览器中这俩个属于 32 位数组,我们这为 undefined。

那么我们就去找一下这个模块中 o 与 i 是哪里被赋值的,经过排错,发现在 doPublicKey 中生成了 o 与 i ,如下:

32

看来它是通过传入 t 值 用来生成一个密钥对 i 与 o,全局搜索 doPublicKey,发现他在前面被调用,传入了一个 p:

33

再往前发现 p 是一个公钥 key:

34

发现此系列属于非对称加密,类似于 RSA,所以必须要初始化生成密钥对才能进行下一步。

所以,我们复现如下:

// 公钥
p = "04a337dc634bddbbfbcae9d30470663fb5e221feab40239f1675a0b2d9d42e46413a0adfa4868c963aebb39d7ec89073885eccd011e0f96d5fe434be98734d9993"
// 使用公钥生成的临时密钥对
window.kk(3).doPublicKey(p)

35

当然最后的结果也与我们期待的结果一致!

至此 doEncrypt 算法逆向完成,T 参数的生成与上面参数拼接生成的方法一致,这里就不复述了。

结果验证

36

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/584779.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【YesPMP】平台最新外包项目,设计、小程序、网站等你来接!

YesPMP平台目前最新项目&#xff0c;有感兴趣的用户&#xff0c;可查看项目参与竞标&#xff0c;免费接单&#xff0c;竞标后由项目方直接与服务商联系&#xff0c;双方直接对接。 1.查看项目&#xff1a;网站网页或pc软件 2.查看项目&#xff1a;数据 …

天冕科技亮相第十七届深圳国际金融博览会!

第十七届深圳国际金融博览会在深圳会展中心正式开幕&#xff0c;天冕科技跟随南山区组团集体亮相&#xff0c;充分展现金融活力。此次金博会&#xff0c;南山区政府共遴选了包括天冕科技在内的三家优秀金融科技企业组团参展&#xff0c;以特色与创新的案例展示了辖区金融业发展…

Ansible-Tower安装破解

主机IP地址版本Ansible192.168.169.2042.9.1Tower192.168.169.2043.6.2 基础环境 systemctl disable firewalld --now && setenforce 0 sed -i s/SELINUXenforcing/SELINUXdisabled/g /etc/selinux/config mv /etc/yum.repos.d/CentOS-* /tmp/ curl -o /etc/yum.repo…

AI时代来临,电子行业暗藏新机遇!新人如何逆袭,成为行业翘楚?

随着人工智能技术的飞速发展&#xff0c;程序员的工作正迎来前所未有的变革。去年9月&#xff0c;《大西洋月刊》上的一篇文章&#xff0c;由Kelli Mara Korducki所著&#xff0c;直言不讳地指出&#xff1a;“在人工智能时代&#xff0c;计算机科学已不再是那个稳妥的专业选择…

速成python

一个只会c的苦手来总结一下py的语法。没有其他语法基础的不建议看 1. 输入输出 print自带换行&#xff0c;可以写print("Hi", end"")取消换行 a input(你好:) # 默认是str print(type(a)) # 输出a的类型 a int(input()) # 或者a int(a) print(type(…

Vue.js 3 应用开发与核心源码解析 阅读笔记

https://www.dedao.cn/ebook/reader?idV5R16yPmaYOMqGRAv82jkX4KDe175w7xRQ0rbx6pNgznl9VZPLJQyEBodb89mqoO 2022年出的书&#xff0c;针对Vue的版本是3.2.28&#xff0c;当前的版本是 3.4.21。 本书的一大特色是对Vue 3.x的核心源码&#xff08;响应式原理、双向绑定实现、虚…

毅四捕Go设计模式笔记——命令模式

命令模式&#xff08;Command Pattern&#xff09; 为了解决什么问题&#xff1f; 命令模式的目的是将请求发起者和请求执行者解耦&#xff0c;使得请求的发起者不需要知道具体的执行者是谁&#xff0c;也不需要知道执行的具体过程&#xff0c;只需要发送请求即可。 通过使用…

Apache Flume

文章目录 关于 Apache Flume数据流模型EventAgentSourceChannelSink 关于 Apache Flume 官网&#xff1a;https://flume.apache.orgFlume User Guide : https://flume.apache.org/releases/content/1.11.0/FlumeUserGuide.htmlFlume Developer Guide : https://flume.apache.o…

pytorch-解决过拟合之regularization

目录 1.解决过拟合的方法2. regularization2. regularization分类3. pytorch L2 regularization4. 自实现L1 regularization5. 完整代码 1.解决过拟合的方法 更多的数据降低模型复杂度 regularizationDropout数据处理早停止 2. regularization 以二分类的cross entropy为例&…

EasyRecovery数据恢复软件2025永久免费电脑版下载

EasyRecovery数据恢复软件是一款业界知名的数据恢复工具&#xff0c;它凭借强大的恢复能力和广泛的数据兼容性&#xff0c;帮助用户从各种存储设备中恢复丢失或删除的数据。以下是关于EasyRecovery数据恢复软件的详细介绍。 EasyRecovery绿色破解下载网盘链接: https://pan.ba…

基于FPGA的数字信号处理(3)--什么是浮点数?

科学计数法 你可能不了解「浮点数」&#xff0c;但你一定了解「科学记数法」。 10进制科学记数法把一个数表示成a与10的n次幂相乘的形式&#xff08;1≤|a|<10&#xff0c;a不为分数形式&#xff0c;n为整数&#xff09;&#xff0c;例如&#xff1a; 19970000000000 1.9…

前端业务开发中使用原生js和elementui两种方式实现头像裁切上传的功能

日常业务开发中&#xff0c;无论是后台管理系统还是前台界面&#xff0c;都会遇到图片裁剪的业务需求&#xff0c;选择合适的尺寸或者图片的关键部分&#xff0c;满足我们的功能需求&#xff01;&#xff01; 效果预览 效果一&#xff1a; 效果二: 实现过程 1.原生js实现方…

在Linux操作系统中的文件系统及挂载介绍

磁盘存储数据的最小单位是数据块。 数据块只是一个概念&#xff0c;而不能查看&#xff0c;默认4kb是一个数据块。 块设备文件存储数据时是随机的数据块&#xff0c;而不是相邻的数据块。 无论一个数据块是否被占满&#xff0c;当一个数据块存储数据时&#xff0c;这个数据块…

哪个牌子的骨传导耳机好用?盘点五款高热度爆款骨传导耳机推荐!

近年来&#xff0c;骨传导耳机在潮流的推动下销量节节攀升&#xff0c;逐渐成为运动爱好者和音乐迷们的必备装备。但热度增长的同时也带来了一些品质上的忧患&#xff0c;目前市面上的部分产品&#xff0c;存在佩戴不舒适、音质不佳等问题&#xff0c;甚至可能对听力造成潜在损…

hdfs balancer -policy

hdfs balancer -policy当前有两种&#xff0c;datanode&#xff08;默认&#xff09;&#xff1a;如果每个数据节点是平衡的&#xff0c;则集群是平衡的。blockpool&#xff1a;如果每个datanode中的每个块池都是平衡的&#xff0c;则集群是平衡的。 代码区别&#xff1a;计算…

字段选择器

&#x1f4d5;作者简介&#xff1a; 过去日记&#xff0c;致力于Java、GoLang,Rust等多种编程语言&#xff0c;热爱技术&#xff0c;喜欢游戏的博主。 &#x1f4d8;相关专栏Rust初阶教程、go语言基础系列、spring教程等&#xff0c;大家有兴趣的可以看一看 &#x1f4d9;Jav…

Linux中ssh登录协议

目录 一.ssh基础 1.ssh协议介绍 2.ssh协议的优点 3.ssh文件位置 二.ssh原理 1.公钥传输原理&#xff08;首次连接&#xff09; 2.ssh加密通讯原理 &#xff08;1&#xff09;对称加密 &#xff08;2&#xff09;非对称加密 3.远程登录 三.服务端的配置 常用的配置项…

JENKINS 安装,学习运维从这里开始

Download and deployJenkins – an open source automation server which enables developers around the world to reliably build, test, and deploy their softwarehttps://www.jenkins.io/download/首先点击上面。下载Jenkins 为了学习&#xff0c;从windows开始&#x…

mysql面试题九(SQL优化)

目录 1.一条 SQL 是如何执行的 2.索引失效的几种情况 3.EXPLAIN 4.Where 子句如何优化 5.超大分页或深度分页如何处理 6.大表查询如何优化 7.分库分表 基本概念 分库分表方法 水平拆分 垂直拆分 分库分表后的注意事项 1.一条 SQL 是如何执行的 在MySQL中&#xff0…

Linux下软硬链接和动静态库制作详解

目录 前言 软硬链接 概念 软链接的创建 硬链接的创建 软硬链接的本质区别 理解软链接 理解硬链接 小结 动静态库 概念 动静态库的制作 静态库的制作 动态库的制作 前言 本文涉及到inode和地址空间等相关概念&#xff0c;不知道的小伙伴可以先阅读以下两篇文章…