JavaScript常用的Hook腳本
本文Hook腳本 來自 包子
頁面最早加載代碼Hook時機
- 在source里 用dom事件斷點的script斷點
- 然后刷新網頁,就會斷在第一個js標簽,這時候就可以注入代碼進行hook
監聽 鍵盤 與 鼠標 事件
// 判斷是否按下F12 onkeydown事件
/*
提示: 與 onkeydown 事件相關聯的事件觸發次序:
onkeydown
onkeypress
onkeyup
*/
// F12的鍵碼為 123,可以直接全局搜索 keyCode == 123, == 123 ,keyCode
document.onkeydown = function() {
if (window.event && window.event.keyCode == 123) {
// 改變鍵碼
event.keyCode = 0;
event.returnValue = false;
// 監聽到F12被按下直接關閉窗口
window.close();
window.location = "about:blank";
}
}
;
// 監聽鼠標右鍵是否被按下方法 1, oncontextmenu事件
document.oncontextmenu = function () { return false; };
// 監聽鼠標右鍵是否被按下方法 2,onmousedown事件
document.onmousedown = function(evt){
// button屬性是2 就代表是鼠標右鍵
if(evt.button == 2){
alert('監聽到鼠標右鍵被按下')
evt.preventDefault() // 該方法將通知 Web 瀏覽器不要執行與事件關聯的默認動作
return false;
}
}
// 監聽用戶工具欄調起開發者工具,判斷瀏覽器的可視高度和寬度是否有改變,有改變則處理,
// 判斷是否開了開發者工具不太合理。
var h = window.innerHeight, w = window.innerWidth;
window.onresize = function(){
alert('改變了窗口高度')
}
// hook代碼
(function() {
//嚴謹模式 檢查所有錯誤
'use strict';
// hook 鼠標選擇
Object.defineProperty(document, 'onselectstart', {
set: function(val) {
console.log('Hook捕獲到選中設置->', val);
return val;
}
});
// hook 鼠標右鍵
Object.defineProperty(document,'oncontextmenu',{
set:function(evt){
console.log("檢測到右鍵點擊");
return evt
}
});
})();
webpack hook 半自動扣
//在加載器后面下斷點 執行下面代碼
// 這里的f 替換成需要導出的函數名
window.zhiyuan = f;
window.wbpk_ = "";
window.isz = false;
f = function(r){
if(window.isz)
{
// e[r]里的e 是加載器里的call那里
window.wbpk_ = window.wbpk_ + r.toString()+":"+(e[r]+"")+ ",";
}
return window.zhiyuan(r);
}
//在你要的方法加載前下斷點 執行 window.isz=true
//在你要的方法運行后代碼處下斷點 執行 window.wbpk_ 拿到所有代碼 注意后面有個逗號
function o(t) {
if (n[t])
return n[t].exports;
var i = n[t] = {
i: t,
l: !1,
exports: {}
};
console.log("被調用的 >>> ", e[t].toString());
// 這里進行拼接,bb變量需要在全局定義一下
// t 是模塊名, e[t] 是模塊對應的函數, 也就是key:value形式
bb += `"${t}":${e[t].toString()},`
return e[t].call(i.exports, i, i.exports, o),
i.l = !0,
i.exports
}
bz = o;
如果只是調用模塊,不用模塊里面的方法, 那么直接獲取調用模塊的時候所有加載過的模塊,進行拼接
document下的createElement()方法的hook,查看創建了什么元素
(function() {
'use strict'
var _createElement = document.createElement.bind(document);
document.createElement = function(elm){
// 這里做判斷 是否創建了script這個元素
if(elm == 'body'){
debugger;
}
return _createElement(elm);
}
})();
之前我不知道我用的是 var _createElement = document.createElement 導致一直報錯 Uncaught TypeError: Illegal invocation
原來是需要綁定一下對象 var _createElement = document.createElement.bind(document);
headers hook 當header中包含Authorization時,則插入斷點
var code = function(){
var org = window.XMLHttpRequest.prototype.setRequestHeader;
window.XMLHttpRequest.prototype.setRequestHeader = function(key,value){
if(key=='Authorization'){
debugger;
}
return org.apply(this,arguments);
}
}
var script = document.createElement('script');
script.textContent = '(' + code + ')()';
(document.head||document.documentElement).appendChild(script);
script.parentNode.removeChild(script);
請求hook 當請求的url里包含MmEwMD時,則插入斷點
var code = function(){
var open = window.XMLHttpRequest.prototype.open;
window.XMLHttpRequest.prototype.open = function (method, url, async){
if (url.indexOf("MmEwMD")>-1){
debugger;
}
return open.apply(this, arguments);
};
}
var script = document.createElement('script');
script.textContent = '(' + code + ')()';
(document.head||document.documentElement).appendChild(script);
script.parentNode.removeChild(script);
docuemnt.getElementById 以及value屬性的hook
// docuemnt.getElementById 以及value屬性的hook,可以參考完成innerHTML的hook
document.getElementById = function(id) {
var value = document.querySelector('#' + id).value;
console.log('DOM操作 id: ', id)
try {
Object.defineProperty(document.querySelector('#'+ id), 'value', {
get: function() {
console.log('getting -', id, 'value -', value);
return value;
},
set: function(val) {
console.log('setting -', id, 'value -', val)
value = val;
}
})
} catch (e) {
console.log('---------華麗的分割線--------')
}
return document.querySelector('#' + id);
}
過debugger 阿布牛逼
function Closure(injectFunction) {
return function() {
if (!arguments.length)
return injectFunction.apply(this, arguments)
arguments[arguments.length - 1] = arguments[arguments.length - 1].replace(/debugger/g, "");
return injectFunction.apply(this, arguments)
}
}
var oldFunctionConstructor = window.Function.prototype.constructor;
window.Function.prototype.constructor = Closure(oldFunctionConstructor)
//fix native function
window.Function.prototype.constructor.toString = oldFunctionConstructor.toString.bind(oldFunctionConstructor);
var oldFunction = Function;
window.Function = Closure(oldFunction)
//fix native function
window.Function.toString = oldFunction.toString.bind(oldFunction);
var oldEval = eval;
window.eval = Closure(oldEval)
//fix native function
window.eval.toString = oldEval.toString.bind(oldEval);
// hook GeneratorFunction
var oldGeneratorFunctionConstructor = Object.getPrototypeOf(function*() {}).constructor
var newGeneratorFunctionConstructor = Closure(oldGeneratorFunctionConstructor)
newGeneratorFunctionConstructor.toString = oldGeneratorFunctionConstructor.toString.bind(oldGeneratorFunctionConstructor);
Object.defineProperty(oldGeneratorFunctionConstructor.prototype, "constructor", {
value: newGeneratorFunctionConstructor,
writable: false,
configurable: true
})
// hook Async Function
var oldAsyncFunctionConstructor = Object.getPrototypeOf(async function() {}).constructor
var newAsyncFunctionConstructor = Closure(oldAsyncFunctionConstructor)
newAsyncFunctionConstructor.toString = oldAsyncFunctionConstructor.toString.bind(oldAsyncFunctionConstructor);
Object.defineProperty(oldAsyncFunctionConstructor.prototype, "constructor", {
value: newAsyncFunctionConstructor,
writable: false,
configurable: true
})
// hook dom
var oldSetAttribute = window.Element.prototype.setAttribute;
window.Element.prototype.setAttribute = function(name, value) {
if (typeof value == "string")
value = value.replace(/debugger/g, "")
// 向上調用
oldSetAttribute.call(this, name, value)
}
;
var oldContentWindow = Object.getOwnPropertyDescriptor(HTMLIFrameElement.prototype, "contentWindow").get
Object.defineProperty(window.HTMLIFrameElement.prototype, "contentWindow", {
get() {
var newV = oldContentWindow.call(this)
if (!newV.inject) {
newV.inject = true;
core.call(newV, globalConfig, newV);
}
return newV
}
})
過debugger—1 constructor 構造器構造出來的
var _constructor = constructor;
Function.prototype.constructor = function(s) {
if (s == "debugger") {
console.log(s);
return null;
}
return _constructor(s);
}
過debugger—2 eval的
(function() {
'use strict';
var eval_ = window.eval;
window.eval = function(x) {
eval_(x.replace("debugger;", " ; "));
}
;
window.eval.toString = eval_.toString;
}
)();
JSON HOOK
var my_stringify = JSON.stringify;
JSON.stringify = function (params) {
//這里可以添加其他邏輯比如 debugger
console.log("json_stringify params:",params);
return my_stringify(params);
};
var my_parse = JSON.parse;
JSON.parse = function (params) {
//這里可以添加其他邏輯比如 debugger
console.log("json_parse params:",params);
return my_parse(params);
};
對象屬性hook 屬性自定義
(function(){
// 嚴格模式,檢查所有錯誤
'use strict'
// document 為要hook的對象 ,屬性是cookie
Object.defineProperty(document,'cookie',{
// hook set方法也就是賦值的方法,get就是獲取的方法
set: function(val){
// 這樣就可以快速給下面這個代碼行下斷點,從而快速定位設置cookie的代碼
debugger; // 在此處自動斷下
console.log('Hook捕獲到set-cookie ->',val);
return val;
}
})
})();
cookies - 1 (不是萬能的 有些時候hook不到 自己插入debugger)
var cookie_cache = document.cookie;
Object.defineProperty(document, 'cookie', {
get: function() {
console.log('Getting cookie');
return cookie_cache;
},
set: function(val) {
console.log("Seting cookie",val);
var cookie = val.split(";")[0];
var ncookie = cookie.split("=");
var flag = false;
var cache = cookie_cache.split("; ");
cache = cache.map(function(a){
if (a.split("=")[0] === ncookie[0]){
flag = true;
return cookie;
}
return a;
})
}
})
cookies - 2
var code = function(){
var org = document.cookie.__lookupSetter__('cookie');
document.__defineSetter__("cookie",function(cookie){
if(cookie.indexOf('TSdc75a61a')>-1){
debugger;
}
org = cookie;
});
document.__defineGetter__("cookie",function(){return org;});
}
var script = document.createElement('script');
script.textContent = '(' + code + ')()';
(document.head||document.documentElement).appendChild(script);
script.parentNode.removeChild(script);
// 當cookie中匹配到了 TSdc75a61a, 則插入斷點。
window attr
// 定義hook屬性
var window_flag_1 = "_t";
var window_flag_2 = "ccc";
var key_value_map = {};
var window_value = window[window_flag_1];
// hook
Object.defineProperty(window, window_flag_1, {
get: function(){
console.log("Getting",window,window_flag_1,"=",window_value);
//debugger
return window_value
},
set: function(val) {
console.log("Setting",window, window_flag_1, "=",val);
//debugger
window_value = val;
key_value_map[window[window_flag_1]] = window_flag_1;
set_obj_attr(window[window_flag_1],window_flag_2);
},
});
function set_obj_attr(obj,attr){
var obj_attr_value = obj[attr];
Object.defineProperty(obj,attr, {
get: function() {
console.log("Getting", key_value_map[obj],attr, "=", obj_attr_value);
//debugger
return obj_attr_value;
},
set: function(val){
console.log("Setting", key_value_map[obj], attr, "=", val);
//debugger
obj_attr_value = val;
},
});
}
eval/Function
window.__cr_eval = window.eval;
var myeval = function(src) {
// src就是eval運行后 最終返回的值
console.log(src);
console.log("========= eval end ===========");
return window.__cr_eval;
}
var _myeval = myeval.bind(null);
_myeval.toString = window.__cr_eval.toString;
Object.defineProperty(window, 'eval',{value: _myeval});
window._cr_fun = window.Function
var myfun = function(){
var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.lenght -1];
console.log(src);
console.log("======== Function end =============");
return window._cr_fun.apply(this, arguments)
}
myfun.toString = function() {return window._cr_fun + ""} //小花招,這里防止代碼里檢測原生函數
Object.defineProperty(window, "Function",{value: myfun})
eval 取返回值
_eval = eval;
eval = (res)=>{
res1 = res // 返回值
return _eval(res)
}
eval(xxxxxxxxx)
eval proxy代理 https://segmentfault.com/a/1190000025154230
// 代理eval
eval = new Proxy(eval,{
// 如果代理的是函數 查看調用 就用apply屬性
// 第二個參數是prop 這里用不上 因為是屬性,eval只是個函數 所以prop為undefind 這里設置了下划線 ——
apply: (target,_,arg)=>{
// target 是被代理的函數或對象名稱,當前是[Function: eval]
// arg是傳進來的參數,返回的是個列表
console.log(arg[0])
}
})
// eval執行的時候就會被代理攔截
// 傳入的如果是字符串 那么只會返回字符串,這里是匿名函數 直接執行 return了內容
eval(
(function(){return "我是包子 自己執行了"})()
)
// 結果 : 我是包子 自己執行了
websocket hook
// 1、webcoket 一般都是json數據格式傳輸,那么發生之前需要JSON.stringify
var my_stringify = JSON.stringify;
JSON.stringify = function (params) {
//這里可以添加其他邏輯比如 debugger
console.log("json_stringify params:",params);
return my_stringify(params);
};
var my_parse = JSON.parse;
JSON.parse = function (params) {
//這里可以添加其他邏輯比如 debugger
console.log("json_parse params:",params);
return my_parse(params);
};
// 2 webScoket 綁定在windows對象,上,根據瀏覽器的不同,websokcet名字可能不一樣
//chrome window.WebSocket firfox window.MozWebSocket;
window._WebSocket = window.WebSocket;
// hook send
window._WebSocket.prototype.send = function (data) {
console.info("Hook WebSocket", data);
return this.send(data)
}
Object.defineProperty(window, "WebSocket",{value: WebSocket})
hook 正則 —— 1
(function () {
var _RegExp = RegExp;
RegExp = function (pattern, modifiers) {
console.log("Some codes are setting regexp");
debugger;
if (modifiers) {
return _RegExp(pattern, modifiers);
} else {
return _RegExp(pattern);
}
};
RegExp.toString = function () {
return "function setInterval() { [native code] }"
};
})();
hook 正則 2 加在sojson頭部過字符串格式化檢測
(function() {
var _RegExp = RegExp;
RegExp = function(pattern, modifiers) {
if (pattern == decodeURIComponent("%5Cw%2B%20*%5C(%5C)%20*%7B%5Cw%2B%20*%5B'%7C%22%5D.%2B%5B'%7C%22%5D%3B%3F%20*%7D") || pattern == decodeURIComponent("function%20*%5C(%20*%5C)") || pattern == decodeURIComponent("%5C%2B%5C%2B%20*(%3F%3A_0x(%3F%3A%5Ba-f0-9%5D)%7B4%2C6%7D%7C(%3F%3A%5Cb%7C%5Cd)%5Ba-z0-9%5D%7B1%2C4%7D(%3F%3A%5Cb%7C%5Cd))") || pattern == decodeURIComponent("(%5C%5C%5Bx%7Cu%5D(%5Cw)%7B2%2C4%7D)%2B")) {
pattern = '.*?';
console.log("發現sojson檢測特征,已幫您處理。")
}
if (modifiers) {
console.log("疑似最后一個檢測...已幫您處理。")
console.log("已通過全部檢測,請手動處理debugger后盡情調試吧!")
return _RegExp(pattern, modifiers);
} else {
return _RegExp(pattern);
}
}
;
RegExp.toString = function() {
return _RegExp.toString();
}
;
}
)();
hook canvas (定位圖片生成的地方)
(function() {
'use strict';
let create_element = document.createElement.bind(doument);
document.createElement = function (_element) {
console.log("create_element:",_element);
if (_element === "canvas") {
debugger;
}
return create_element(_element);
}
})();
setInterval 定時器
(function() {
setInterval_ = setInterval;
console.log("原函數已被重命名為setInterval_")
setInterval = function() {}
;
setInterval.toString = function() {
console.log("有函數正在檢測setInterval是否被hook");
return setInterval_.toString();
}
;
}
)();
setInterval 循環清除定時器
for(var i = 0; i < 9999999; i++) window.clearInterval(i)
console.log 檢測例子 (不讓你輸出調試)
var oldConsole = ["debug", "error", "info", "log", "warn", "dir", "dirxml", "table", "trace", "group", "groupCollapsed", "groupEnd", "clear", "count", "countReset", "assert", "profile", "profileEnd", "time", "timeLog", "timeEnd", "timeStamp", "context", "memory"].map(key=>{
var old = console[key];
console[key] = function() {}
;
console[key].toString = old.toString.bind(old)
return old;
}
)
檢測函數是否被hook例子
if (window.eval == 'native code') {
console.log('發現eval函數被hook了 開始死循環');
}