JS逆向 | 某招聘网站cookie分析

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!

目标网站:

aHR0cHM6Ly93d3cuemhpcGluLmNvbS9qb2JfZGV0YWlsLz9xdWVyeT1qYXZhJmNpdHk9MTAxMjgwNjAwJmluZHVzdHJ5PSZwb3NpdGlvbj0=

本次目标为获取cookie __zp_stoken__ 这里介绍一种快速定位cookie加密的方法:浏览器安装油猴插件(自行百度),编写脚本如下

JS逆向 | 某招聘网站cookie分析_第1张图片

保存脚本并打开开关,清空cookie后重新刷新页面,成功断下,且值已经生成了

JS逆向 | 某招聘网站cookie分析_第2张图片

往上跟踪堆栈,发现其为ABC类的z方法生成,传入的实参为seedts

JS逆向 | 某招聘网站cookie分析_第3张图片

这两个值都在上面生成,因此我们在上面打下断点,清空cookie后再次刷新页面

JS逆向 | 某招聘网站cookie分析_第4张图片

跟进getQueryString方法看下,即点击红框部分,或按F11运行进入

var getQueryString = function(name) {
    var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
    var r = window.location.search.substr(1).match(reg);
    if (r != null) return unescape(r[2]);
    return null;
};

分析以上代码,实际就是取window.location.search中的参数值,注意编码转换

JS逆向 | 某招聘网站cookie分析_第5张图片

那么这段url哪里来的呢?原来就是请求目标网站后302跳转的

JS逆向 | 某招聘网站cookie分析_第6张图片

继续运行,使之停在这里

JS逆向 | 某招聘网站cookie分析_第7张图片

按F11跟进后,发现代码混淆的比较严重

JS逆向 | 某招聘网站cookie分析_第8张图片

拉到最上面,可以看出是很明显的ob混淆

JS逆向 | 某招聘网站cookie分析_第9张图片

这时候可以利用我之前介绍的ob混淆还原工具配合正则替换的方法,可以将代码量缩减到原来的一半左右,且逻辑比较清晰了,如图:

JS逆向 | 某招聘网站cookie分析_第10张图片

现在直接在本地调试即可。调试时发现代码中大量检测了浏览器环境,如

JS逆向 | 某招聘网站cookie分析_第11张图片

遇到检测浏览器环境的,通常有两种做法:一是直接将检测的代码删除,同时将逻辑修改成与浏览器运行逻辑一致,如

// 将以下代码
if (typeof document.getElementById == "function") {
  a = 10;
}
if (window.global != undefined) {
  b = 20;
}
// 修改成如下即可
a = 10;

因为在浏览器中,条件1成立,而条件2不成立。由于这段JS代码是动态变化的

JS逆向 | 某招聘网站cookie分析_第12张图片

它前四位就是根据代码中动态生成的,所以方法一在这里不可行,因此只能采用方法二

JS逆向 | 某招聘网站cookie分析_第13张图片

方法二不用修改代码,我们直接伪造浏览器环境,使代码可以像在浏览器环境中一样运行。如何伪造请看这篇《JS逆向 | 骚操作教你如何伪造浏览器环境》

最后直接将获取的参数、代码执行eval即可获得cookie。需要注意的是,它不仅只有一套代码,我碰到了两套,需要根据不同的代码伪造不同的环境,最后合成通用的环境即可,最终能获取到网页源码即成功,如图:

JS逆向 | 某招聘网站cookie分析_第14张图片

代码已经放到本人Github,需要自取,完!

欢迎关注我的公众号“逆向新手”,逆向系列将持续更新!

公众号

你可能感兴趣的:(JS逆向 | 某招聘网站cookie分析)