前言：

隨著當前攻防水平的不斷提高，實戰(zhàn)攻防過程中，經(jīng)常能遇到前端的參數(shù)被各種各樣的方式加密的情況。毫無疑問，這種方式能夠防止很多腳本小子的腳步，但是很多網(wǎng)站就存在“金玉其外，敗絮其內(nèi)“的情況，將傳遞的參數(shù)加密了事，忽略很多系統(tǒng)本身存在的安全風險。本文以實戰(zhàn)角度出發(fā)，介紹面對這種前端加密情況下的攻防技巧。

測 試 思 路

常見的JavaScript逆向相關(guān)的技巧，包括瀏覽器調(diào)試、Hook、AST、無限D(zhuǎn)ebugger的繞過以及模擬調(diào)用JavaScript等，但是在實際對抗過程中，如何將技巧形成一個行之有效的“套路“來應(yīng)對JavaScript逆向的流程。一般來說，在實戰(zhàn)過程中，JavaScript可以分為三大部分：尋找入口、調(diào)試分析和模擬執(zhí)行。

▌尋找入口：

關(guān)鍵步驟，逆向大部分情況下就是分析加密參數(shù)是如何來的，實戰(zhàn)過程中，遇到請求中的加密參數(shù)比如token、sign等，這個加密邏輯是如何形成的？這個關(guān)鍵邏輯可能寫在某個方法、或者隱藏在某個關(guān)鍵變量中，眾所周知，一個網(wǎng)站加載了很多JavaScript文件，如何尋找這個加密邏輯就是我們尋找入口所要做的事情。

▌?wù){(diào)試分析：

找到入口之后，我們找到這個參數(shù)是在某個方法里面執(zhí)行的，那么到底是如何執(zhí)行這個加密邏輯的呢？里面究竟調(diào)用了多少加密算法，經(jīng)歷了多少次賦值和轉(zhuǎn)換呢？這些都是我們要思考的點，以便于我們后續(xù)進行模擬調(diào)用或者邏輯改寫。在這個過程中我們主要是借助瀏覽器的調(diào)試工具打斷點進行分析，或者借助反混淆工具進行代碼的反混淆等。

▌模擬執(zhí)行：

經(jīng)過調(diào)試分析后，我們已經(jīng)大致弄清楚整個加密邏輯，但是我們最終的目的就是如何加解密參數(shù)，方便我們進行攻擊操作。因此這個過程就需要對整個加密邏輯進行復(fù)寫或者模擬執(zhí)行，比如我們輸入的是一些惡意代碼，經(jīng)過調(diào)用后，就是服務(wù)器能夠識別的加密代碼，從而完成一次攻擊。

01

尋找入口

常見的尋找入口的操作很多，其中包括：查看請求、搜索參數(shù)、分析發(fā)起調(diào)用、打斷點、Hook等操作，這里來分別介紹一下：

「查看請求」

以一次訪問電影網(wǎng)站為例，可以看到首頁有很多數(shù)據(jù)，這些數(shù)據(jù)肯定是逐個請求返回的，我們就要思考，究竟是哪一個請求返回的內(nèi)容呢？打開瀏覽器開發(fā)者工具-->打開網(wǎng)絡(luò)面板-->點擊搜索按鈕，比如我們這里就搜索唐伯虎點秋香，如下圖所示：

此時可以看到對應(yīng)的搜索結(jié)果，點擊搜索到的結(jié)果，我們就可以定位到對應(yīng)的響應(yīng)結(jié)果的位置，如下圖所示：

找到響應(yīng)之后，我們就可以順便找到是誰發(fā)起的請求了，如下圖所示：

比如，這里我們想找到我們想要的數(shù)據(jù)所對應(yīng)的請求位置了。很明顯，請求方法為GET，參數(shù)是limit、offset、token。一般來說，可以通過這種方法來尋找最初的突破口，如果這個請求帶有加密參數(shù)，就需要知道這個參數(shù)究竟是在哪里生成的。如果這個參數(shù)沒有加密，爬蟲選手可以直接開爬，就可以獲取該系統(tǒng)所有的電影數(shù)據(jù)。思考一下，如果電影數(shù)據(jù)是身份信息會怎么樣呢？

「搜索參數(shù)」

在上一步中，我們已經(jīng)找到了最初的突破口，明確了關(guān)鍵請求是如何發(fā)起的，帶有什么加密參數(shù)，這里發(fā)現(xiàn)一個關(guān)鍵參數(shù)token，現(xiàn)在就是去尋找token前世今生的時候了。最簡單的方法就是直接進行全局搜索。一般來說，參數(shù)名就是一個普通的字符串，這里的參數(shù)名就叫做token，這里的某個JavaScript文件中肯定有這個字符串。這里有一個搜索技巧，點擊ctrl+shift+F，開啟全局搜索，如下圖所示：

這是一個資源搜索的入口，可以搜索我們下載下來的JavaScript文件的內(nèi)容，這里我們輸入token來進行搜索。

這樣我們就找到一些關(guān)鍵點了，一共五個結(jié)果，結(jié)果不多，我們可以進一步分析。

「調(diào)用分析」

搜索是一種查找入口的方式，這是從源碼層面進行查找，我們也可以從發(fā)起調(diào)用邏輯的流程進行分析。比如打開Network請求里面的Initiator查看當前請求構(gòu)造的相關(guān)邏輯。

點擊光標，會有完整的請求調(diào)用流程，我們點進去就可以尋找到相關(guān)代碼邏輯。

很明顯，紅框處是我們尋找到的入口點參數(shù)，我們找到了入口點。

「斷點分析」

我們還可以通過一些端點進行入口的查找，比如XHR斷點，DOM斷點、事件斷點等。這里我們在開發(fā)者工具Sources面板里添加設(shè)置，比如這里我們添加了XHR斷點和全局Load時間斷點，如圖所示：

我們在下圖紅框處找到了入口點。

「Hook」

在實戰(zhàn)過程中Hook也是常用的查找入口點的功能。一些代碼搜索或者斷點并不能很有效地找到對應(yīng)的入口，這種情況下就可以用Hook。比如說，對一些常見的加密和編碼算法、常用的轉(zhuǎn)換操作都可以進行Hook，比如Base64編碼、Cookie的賦值、JSON的序列化。常用Hook方式就是通過TemporMonkey來實現(xiàn)。具體實現(xiàn)過程本篇文章暫不詳述。

02

調(diào)試分析

找到常見入口后，我們需要進行的就是整個流程的調(diào)試分析，這個步驟中，我們常用到一些格式化、斷點調(diào)試、反混淆的手法來輔助整個流程分析。

「格式化」

格式化過程很重要，能夠提高代碼的可讀性，一般情況下很多JavaScript代碼都是經(jīng)過打包和壓縮的。多數(shù)情況下，我們可以使用Sources面板下JavaScript窗口左下角的格式化按鈕對代碼進行格式化。如下圖所示：

「斷點調(diào)試」

代碼格式化之后，我們就需要進行正式調(diào)試，基本操作就是給想要調(diào)試的代碼添加斷點，同時在對應(yīng)的面板觀察變量值。我們知道入口點需要三個參數(shù)，核心加密參數(shù)是token，那么我么應(yīng)該著重關(guān)注token的生成邏輯，如下圖所示，

不斷回溯，找到我們的token生成邏輯。

這里的加密邏輯就是：▲將/api/movie放到一個列表中；▲在列表中添加當前時間戳，調(diào)用push方法，添加到列表中；▲將列表內(nèi)容用逗號拼接；▲將拼接結(jié)果進行SHA1編碼；▲將編碼的結(jié)果和時間戳再次拼接；▲將拼接后的結(jié)果進行Base64編碼。這里結(jié)果用python模擬，將過程的值輸出如下圖：

我們已經(jīng)獲取到加密字段，接下來能干的事情就不詳述。

「反混淆」

實戰(zhàn)過程中可能遇到各種各樣的混淆方式，比如控制流扁平化、數(shù)組移位等。對于這種我們可以嘗試AST技術(shù)來對代碼進行還原。比如下圖

這里while循環(huán)內(nèi)部，通過一些判斷條件執(zhí)行某些邏輯，這種邏輯我們無法直接判斷執(zhí)行順序，對于這種類似的混淆技術(shù)，我們可以嘗試AST進行還原。

03

模擬執(zhí)行

經(jīng)過一系列調(diào)試，我們已經(jīng)了解其中的加密邏輯，接下來就是調(diào)用執(zhí)行的過程了。常見的調(diào)用流程如下：●Python改寫或者模擬執(zhí)行適用于整體邏輯不復(fù)雜，我們可以嘗試用Python來實現(xiàn)整個加密流程?！馢avaScript模擬執(zhí)行+API適用于Python不兼容部分JavaScript的情況，而Node.js天生就支持JavaScript，為了更加通用實現(xiàn)JavaScript的模擬調(diào)用，我們可以用express類模擬JavaScript，實現(xiàn)跨語言調(diào)用?！駷g覽器模擬執(zhí)行適用于調(diào)試分析結(jié)果不理想的情況，由于整個邏輯都是在瀏覽器中運行，我們可以利用Selenium、PlayWright來嘗試將一些JavaScript代碼，得到一些返回結(jié)果。

總 結(jié)

本篇文章，我們從實戰(zhàn)角度出發(fā)，對整個JavaScript逆向的流程進行了簡單介紹，通過三大步驟——尋找入口、調(diào)試分析、模擬執(zhí)行來梳理JavaScript逆向過程中常用技巧，文中部分內(nèi)容由于篇幅限制，不夠詳實，僅提供思路，詳細內(nèi)容歡迎加《權(quán)說安全》技術(shù)交流群進行交流。