【验证码逆向专栏】某验四代滑块验证码逆向分析
声明
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!
逆向目标
- 目标:某验四代滑块验证码,w 参数逆向
- 主页:
aHR0cHM6Ly9ndDQuZ2VldGVzdC5jb20v - 加密算法:RSA、AES
通讯流程
验证码流程分析
进入网页后,打开开发者人员工具进行抓包,点击滑动拼图验证,此时还未点击按钮开始验证,抓到了一个名为
load?captcha_id=xxxQuery String Parameters
-
:验证码 id,固定值,由captcha_id
文件生成,后文分析;adaptive-captcha-demo.js -
:动态变化,由challenge
文件生成,后文分析;gtc4.js -
:表示 web 端;client_type -
:验证码类型,例如滑块为 slide,无感为 ai;risk_type -
:语言;lang -
:geetest_ + 时间戳,主要作用是防止缓存。callback
响应预览中返回的关键内容如下,相较于三代,底图未做混淆:
-
:背景图片地址;bg -
:验证码类型;captcha_type -
:gct4 文件路径;gct_path -
:后续生成 pow_msg、w 的关键参数;lot_number -
:后续 verify 请求接口需要的参数;payload -
:ISO 8601扩展格式的日期,后续生成 pow_msg 的关键参数;datetime -
:后续 verify 请求接口需要的参数;process_token -
:滑块图片地址。slice
点击按钮开始验证,弹出滑块验证码,滑动滑块,抓包到
verify?captcha_id=xxxQuery String Parameters
-
:与 load 接口请求头中的 captcha_id 一致;captcha_id -
:表示 web 端;client_type -
:load 接口返回的;lot_number -
:与 load 接口中的一致,表示验证码类型;risk_type -
:load 接口返回的;payload -
:load 接口返回的;process_token -
:加密参数,由轨迹、滑动时间、滑动距离、userresponse、device_id、pow_msg 等参数加密得到;w -
:geetest_ + 时间戳,主要作用是防止缓存。callback
响应预览中返回的内容如下,result 值为 fail 即校验失败,success 为校验通过,通过后携带 seccode 下的参数进行后续业务请求:
逆向分析
captcha_id 参数
全局搜索
captcha_id
进去后在第 307 行打上断点,刷新页面即会断住,此时
captcha_id
向上跟栈到 value,即
adaptive-captcha-demo.js
challenge 参数
前面提到,
challengecaptcha_id
可以看到,challenge 参数的值由
uuidw 参数
从
verify?captcha_id=xxx
打下断点滑动滑块断住后,向上跟栈到 s 处,如果做过某验三代滑块的话,第 6249 行有个很熟悉的东西,
"\u0077": r"\u0077"
r 参数定义在第 6237 行,e 也是跟三代类似的参数,r 是将 i 参数和转为字符串的 e 参数加密得到的:
向上跟栈,找到 e 参数中各部分定义生成的位置,跟到
$_BHIH
passtimetracksetLeftuserresponsesetLeftt[$_GDFCG(1909)] a / t[$_GDFCG(1909)] + 2 接着跟到
$_BCFjdevice_idlot_numberpow_msgpow_sign
device_idlot_numberpow_msgpow_sign
pow_msgpow_sign
d 定义在第 5835 行,这部分还原一下就很明显了:
var c = t["toDataURL"]()["replace"]("data:image/png;base64,", "")
, _ = new w["default"]["MD5"]()["hex"](c);
a["options"]["deviceId"] = _;
var h = a["options"]
, l = h["powDetail"]
, p = h["lotNumber"]
, f = h["captchaId"]
, d = v["default"](p, f, l["hashfunc"], l["version"], l["bits"], l["datetime"], "") 跟进到
v["default"]
pow_msg_ + h_ _ = i + "|" + r + "|" + n + "|" + s + "|" + t + "|" + e + "|" + o + "|"; - i:
l["version"] - r:
l["bits"] - n:
l["hashfunc"] - s:
l["datetime"] - t:
f, h["captchaId"] - e:
p, h["lotNumber"] - o:
""
h 定义在第 6269 行,跟进去是 16 位随机数字符串,
pow_signpow_msg
至此这四个也分析完了,还差以下这部分:
em 等定值就不分析了,注意
kqg5:"1557244628"$_BCFj
下一行打下断点,下步断点,即执行完
n[$_CBHIE(791)](e);n[$_CBHIE(791)]
跳转到第 5766 行,在第 5779 行打下断点,此时的 n 中还未生成此参数:
执行了
_gct(n)
可见其生成位置在
_gct
可以将值导出,至此 e 就分析完了,接着回到第 6238 行,跟进到加密函数
d[$_CBHHO(84)]d[$_DIEHS(177)](c) + u
先跟进到 u,其定义在第 11705 行,解混淆后如下:
u = new l["default"]()["encrypt"](i); 所以 u 是 i 经过加密后得到的,i 定义在第 11702 行:
i = (0,d[$_DIEIq(103)])() 跟进到
d[$_DIEIq(103)]
i 是随机数,跟进到加密函数
l[($_DIEHS(84))]
回到 c 参数,c 参数的值为一个大数组,其定义在第 11705 行,解混淆后内容如下:
var c = s[a]["symmetrical"]["encrypt"](e, i); e 之前分析完了,i 为随机数,两个参数已经分析完了,跟进到加密方法中,在第 12174 行,于 12186 行打下断点,控制台打印一下混淆部分内容,很熟悉的东西,这里就是 AES 加密,iv 为初始向量,加密模式为 CBC,对各类加密算法不熟悉的,可以阅读 K 哥文章 【爬虫知识】爬虫常见加密解密算法:
c 参数最后又被
d[$_DIEHS(177)]
结果验证
