聲明
本文章中所有內容僅供學習交流,抓包內容、敏感網址、數據接口均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切后果均與作者無關,若有侵權,請聯系我立即刪除!
逆向目標
-
目標:Steam 登錄
-
主頁:aHR0cHM6Ly9zdG9yZS5zdGVhbXBvd2VyZWQuY29tL2xvZ2lu
-
接口:aHR0cHM6Ly9zdG9yZS5zdGVhbXBvd2VyZWQuY29tL2xvZ2luL2RvbG9naW4v
-
逆向參數:
Form Data:
password: MzX419b8uvaNe//lkf+15sx6hnLD/L1BX...... captchagid: 5718995253934681478 rsatimestamp: 374533150000
逆向過程
抓包分析
來到 Steam 的登錄頁面,隨便輸入一個賬號密碼登錄,抓包定位到登錄接口為 aHR0cHM6Ly9zdG9yZS5zdGVhbXBvd2VyZWQuY29tL2xvZ2luL2RvbG9naW4v ,POST 請求,Form Data 里,donotcache 是 13 位時間戳,密碼 password 被加密處理了,captchagid 和 rsatimestamp 不知道是什么,captcha_text 是驗證碼:
我們注意到登錄請求的上面,還有一個 getrsakey 的請求,很明顯和 RSA 加密有關,應該是獲取 key 之類的參數,可以看到其返回值類似於:
{
"success":true,
"publickey_mod":"b1ae3215684fd66207415e39810dcbda75c143dc8c4497994db51591ed5bd17dbaf75e1e......",
"publickey_exp":"010001",
"timestamp":"288093900000",
"token_gid":"c304e76a58481ad12"
}
這里可以發現登錄請求的 rsatimestamp 參數就是這里的 timestamp,其他參數在后面會用到。
XHR 斷點定位
本次案例我們使用 XHR 斷點來定位加密的位置,首先了解一下什么是 XHR,XHR 全稱 XMLHttpRequest,XHR 可以在不重新加載頁面的情況下更新網頁、在頁面已加載后從服務器請求、接收數據,是 Ajax 的基礎,屬於 Ajax 特殊的請求類型,利用瀏覽器控制台可以過濾 XHR 請求。
既然是 XHR 斷點,那么這種方法就只能用於 XHR 請求,這也是這種方法的缺點,通過 XHR 斷點,定位到的位置通常在加密處理完成之后,已經准備發送請求了,這樣的優點是我們可以跟蹤棧,能比較容易地找到加密的地方。
XHR 斷點定位有兩種方法,第一種是找到發送請求的 URL 之后,截取 URL 的一部分,在 Source 面板下,右側 XHR/fetch Breakpoints 里添加你截取的 URL,如下圖所示,已成功斷下:
第二種方法,在 Network 面板,點擊 XHR 過濾 XHR 請求,在 Initiator 項里可以看到調用的 JS,鼠標移到 JS 上,可以看到調用棧,點擊第一個,即可進入到發送請求的地方,定位到的位置和第一種方法是一樣的。這種方法需要注意的是,XHR 過濾不一定准確,但是只要是 Initiator 項里可以看到 JS,就說明可以跟進去進行調試,如果是通過 Form 表單或者其他方式發送的請求,Initiator 項會顯示 Other,此時就不能通過這種方法進行調試。
參數逆向
前面 XHR 的兩種方法,無論使用哪一種,定位到的位置都是一樣的,查看右側 Call Stack,即調用棧,一步一步往上查看調用的函數,在 login.js 里面,可以找到語句 var encryptedPassword = RSA.encrypt(password, pubKey);,非常明顯的 RSA 加密:
可以關鍵代碼改寫一下,方便本地調試:
function getEncryptedPassword(password, results) {
var pubKey = RSA.getPublicKey(results.publickey_mod, results.publickey_exp);
password = password.replace(/[^\x00-\x7F]/g, '');
var encryptedPassword = RSA.encrypt(password, pubKey);
return encryptedPassword
}
找到加密的位置后,就可以埋下斷點,取消 XHR 斷點,重新進行調試,可以看到 results 就是前面 getrsakey 請求返回的數據:
RSA.getPublicKey 和 RSA.encrypt 分別是 rsa.js 里面 RSA 的 getPublicKey 和 encrypt 方法:
將整個 rsa.js 復制下來進行本地調試,會提示 BigInteger 未定義,鼠標放上去會看到是用到了 jsbn.js 里面的方法,如果一個一個函數去扣的話會比較麻煩,直接將整個 jsbn.js 文件代碼復制下來即可:
完整代碼
GitHub 關注 K 哥爬蟲,持續分享爬蟲相關代碼!歡迎 star !https://github.com/kgepachong/
以下只演示部分關鍵代碼,不能直接運行!完整代碼倉庫地址:https://github.com/kgepachong/crawler/
JavaScript 加密關鍵代碼架構
navigator = {};
var dbits;
// JavaScript engine analysis
var canary = 0xdeadbeefcafe;
var j_lm = ((canary & 0xffffff) == 0xefcafe);
// (public) Constructor
function BigInteger(a, b, c) {}
// return new, unset BigInteger
function nbi() {}
// am: Compute w_j += (x*this_i), propagate carries,
// c is initial carry, returns final carry.
// c < 3*dvalue, x < 2*dvalue, this_i < dvalue
// We need to select the fastest one that works in this environment.
// am1: use a single mult and divide to get the high bits,
// max digit bits should be 26 because
// max internal value = 2*dvalue^2-2*dvalue (< 2^53)
function am1(i, x, w, j, c, n) {}
// 此處省略 N 個函數
var RSAPublicKey = function ($modulus_hex, $encryptionExponent_hex) {};
var Base64 = {};
var Hex = {};
var RSA = {};
function getEncryptedPassword(password, results) {
var pubKey = RSA.getPublicKey(results.publickey_mod, results.publickey_exp);
password = password.replace(/[^\x00-\x7F]/g, '');
var encryptedPassword = RSA.encrypt(password, pubKey);
return encryptedPassword
}
// 測試樣例
// var results = {
// publickey_exp: "010001",
// publickey_mod: "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",
// success: true,
// timestamp: "370921200000",
// token_gid: "3d1df3e102d1a1d2"
// }
//
// console.log(getEncryptedPassword("12345678", results))
Python 登錄關鍵代碼
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import time
import execjs
import requests
from PIL import Image
index_url = '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler'
login_url = '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler'
get_rsa_key_url = '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler'
render_captcha_url = '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler'
refresh_captcha_url = '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler'
headers = {
'Host': '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler',
'Origin': '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler',
'Referer': '脫敏處理,完整代碼關注 GitHub:https://github.com/kgepachong/crawler',
'sec-ch-ua': '" Not;A Brand";v="99", "Google Chrome";v="91", "Chromium";v="91"',
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36'
}
session = requests.session()
def get_cookies():
response = session.get(url=index_url, headers=headers)
cookies = response.cookies.get_dict()
print(cookies)
return cookies
def get_captcha(cookies):
# 首先獲取 gid
data = {'donotcache': str(int(time.time() * 1000))}
refresh_captcha_response = session.post(url=refresh_captcha_url, data=data, cookies=cookies, headers=headers)
gid = refresh_captcha_response.json()['gid']
# 攜帶 gid 獲取驗證碼
params = {'gid': gid}
render_captcha_response = session.get(url=render_captcha_url, params=params, cookies=cookies, headers=headers)
with open('code.png', 'wb') as f:
f.write(render_captcha_response.content)
image = Image.open('code.png')
image.show()
captcha = input('請輸入驗證碼: ')
return captcha, gid
def get_rsa_key(username, cookies):
data = {
'donotcache': str(int(time.time() * 1000)),
'username': username
}
response = session.post(url=get_rsa_key_url, data=data, cookies=cookies, headers=headers).json()
print(response)
return response
def get_encrypted_password(password, rsa_key_dict):
with open('encrypt.js', 'r', encoding='utf-8') as f:
steampowered_js = f.read()
encrypted_password = execjs.compile(js).call('getEncryptedPassword', password, rsa_key_dict)
print(encrypted_password)
return encrypted_password
def login(username, encrypted_password, cookies, rsa_key_dict, captcha, gid):
data = {
'donotcache': str(int(time.time() * 1000)),
'password': encrypted_password,
'username': username,
'twofactorcode': '',
'emailauth': '',
'loginfriendlyname': '',
'captchagid': gid,
'captcha_text': captcha,
'emailsteamid': '',
'rsatimestamp': rsa_key_dict['timestamp'],
'remember_login': False,
# 'tokentype': '-1'
}
print(data)
response = session.post(url=login_url, data=data, cookies=cookies, headers=headers)
print(response.text)
def main():
username = input('請輸入登錄賬號: ')
password = input('請輸入登錄密碼: ')
# 獲取 cookies
cookies = get_cookies()
# 獲取驗證碼和 gid
captcha, gid = get_captcha(cookies)
# 獲取 RSA 加密所需 key 等信息
rsa_key_dict = get_rsa_key(username, cookies)
# 獲取加密后的密碼
encrypted_password = get_encrypted_password(password, rsa_key_dict)
# 攜帶 用戶名、加密后的密碼、cookies、驗證碼等登錄
login(username, encrypted_password, cookies, rsa_key_dict, captcha, gid)
if __name__ == '__main__':
main()
