JS逆向 | 某招聘网站cookie分析

声明：本文只作学习研究，禁止用于非法用途，否则后果自负，如有侵权，请告知删除，谢谢！

目标网站：

aHR0cHM6Ly93d3cuemhpcGluLmNvbS9qb2JfZGV0YWlsLz9xdWVyeT1qYXZhJmNpdHk9MTAxMjgwNjAwJmluZHVzdHJ5PSZwb3NpdGlvbj0=

本次目标为获取cookie __zp_stoken__ 这里介绍一种快速定位cookie加密的方法：浏览器安装油猴插件(自行百度)，编写脚本如下

保存脚本并打开开关，清空cookie后重新刷新页面，成功断下，且值已经生成了

往上跟踪堆栈，发现其为ABC类的z方法生成，传入的实参为seed、ts

这两个值都在上面生成，因此我们在上面打下断点，清空cookie后再次刷新页面

跟进getQueryString方法看下，即点击红框部分，或按F11运行进入

var getQueryString = function(name) {
    var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
    var r = window.location.search.substr(1).match(reg);
    if (r != null) return unescape(r[2]);
    return null;
};

分析以上代码，实际就是取window.location.search中的参数值，注意编码转换

那么这段url哪里来的呢？原来就是请求目标网站后302跳转的

继续运行，使之停在这里

按F11跟进后，发现代码混淆的比较严重

拉到最上面，可以看出是很明显的ob混淆

这时候可以利用我之前介绍的ob混淆还原工具配合正则替换的方法，可以将代码量缩减到原来的一半左右，且逻辑比较清晰了，如图：

现在直接在本地调试即可。调试时发现代码中大量检测了浏览器环境，如

遇到检测浏览器环境的，通常有两种做法：一是直接将检测的代码删除，同时将逻辑修改成与浏览器运行逻辑一致，如

// 将以下代码
if (typeof document.getElementById == "function") {
  a = 10;
}
if (window.global != undefined) {
  b = 20;
}
// 修改成如下即可
a = 10;

因为在浏览器中，条件1成立，而条件2不成立。由于这段JS代码是动态变化的

它前四位就是根据代码中动态生成的，所以方法一在这里不可行，因此只能采用方法二

方法二不用修改代码，我们直接伪造浏览器环境，使代码可以像在浏览器环境中一样运行。如何伪造请看这篇《JS逆向 | 骚操作教你如何伪造浏览器环境》

最后直接将获取的参数、代码执行eval即可获得cookie。需要注意的是，它不仅只有一套代码，我碰到了两套，需要根据不同的代码伪造不同的环境，最后合成通用的环境即可，最终能获取到网页源码即成功，如图：

代码已经放到本人Github，需要自取，完！

欢迎关注我的公众号“逆向新手”，逆向系列将持续更新！