JS逆向：网易某版本滑块验证分析（上）——生成浏览器指纹

前言

滑块验证码是比较常用的验证码之一，不过目前越来越多的网站将验证码改为点选汉字了，点选汉字确实要比滑块难的多。滑块用selenium过可以说是基本没什么技术含量，要解决的也只有对driver的检测问题。如果想用代码过，那确实是有点意思。最难的地方，当属伪造轨迹。本篇针对W易Y盾某版本滑块验证，分析指纹及轨迹的检测。

Go

原网址：aHR0cHM6Ly9saXZlLnYud28uY24vcGxhdGZvcm0veXRweHovdHRkcmF3Lmh0bWw=（b64）

点击获取验证码，会出现滑块验证，通过抓包找到这一个请求，滑块验证码的图片链接都在这里面了：

参数还是挺多的，首先要搞定这些。

这次换一种找入口的方式：在network列表中点击initiator直接定位到对应代码处：

下好断点并刷新验证码，成功的断下来了。

逐个击破，首先这个id，经过多次刷新，发现这个id是写死不变的，那就不用管它了。
然后fp，很明显就是浏览器指纹了，为啥？FingerPrint啊。根据调用栈一层一层往上找可疑的地方。

跟到这里的时候，我们发现了这个FP的全称。。。果然是FingerPrint。看一下a是从这里来的（state commit dispatch 三兄弟。。Vue.js石锤了）：

再往上找，也没有找到太像的地方。搜一下fingerprint，一共有6处，观察一番后锁定这里：

fingerprint的值是i赋给它的，i又是什么？向上看发现i就是window.g什么东西的。

他把这个指纹挂在window对象上了，那就好办了，HOOK大法安排！直接上油猴脚本了

然后清掉cookie，刷新页面。

搞定。

调试观察一下指纹里都取了什么。

在这里取完h后，进行了拼接。

最后面加了:和时间戳，即使没有找到代码也能一眼看出来。往上找h的来源：

发现h是Oe，Oe是由数组k转换的字符串，K又来源于对Y的元素进行了一些操作。。。一层一层套娃，往上翻，最后找到这里：

S就是原本的指纹了，打印看看他检测了什么：

我们发现在这里，W函数开始的地方，做了一些操作，看样子就是在定义指纹的内容。

v：v1.1，版本号呗，写死固定。然后h：live.v.wo.cn，域名。u：先取了时间戳p，再对p加了de，浏览器中可以查看到de是个常量900000。这里的u[86]就是字母u，取完p后对p加盐，前面和后面分别加上了三个字母，$这个函数每次执行结果都不一样，应该是取随机字符

找过去证实确实是在取随机字符：

继续跟，然后发现了惊喜：

不好意思发错图了，是这个：

canvas出现！继续跟，跟到他做完所有操作进行加密的地方。这里他把数组o和数组i分别通过join拼接，s[139]是###，也就是转成字符串，到m.e方法里加密，加密完再用逗号拼接好两个结果，就是fp的值。

打印看看o和i的值。

i是canvas相关的参数，o是ua之类的东西。先说说这个o，o里面包括ua、屏幕分辨率、语言、版本等，这里可以写死固定。如果只验证这些信息，那么以上都可以随机。但是结合canvas一起发给服务器，那么随机可能会过不了。
然后参数i，canvas是个相当头疼的地方。canvas是一种HTML5的标签，非浏览器中是绝对弄不出来的。这个也是目前取浏览器指纹比较复杂的一种算法，与其类似的还有WebGL，也就是3D版的Canvas。这里我也没有太好的方法，但是有一件事，你取了一个这么长的base64，到最后向浏览器传的也只是一个十几位的数值，我可以把一个长度几万个字符的字符串通过算法转为十几位的数字，但是你服务器怎么去通过这十几位的数字还原原本的几万个字符呢？是做不到的，这个东西虽然难搞，同时服务器也很难检测出来。一般来讲，如果不是和浏览器信息一同返回，那么canvas这个东西可以直接随机。如果不行，那可以试试改掉图片base64的最后几个字符，让最后几个字符随机。如果还是不通过，那么需要去看看他的加密函数做了什么，针对加密函数做出调整。还还还不行，那只能想办法去搞这个canvas数据了。通过前面我们分析出这个网站是把canvas和浏览器信息加密后一同返回给服务器的，那么这里把i完全随机应该不大行，不过还是侥幸一下，万一过了呢。
先尝试全部随机，在这里下一个断,重新给n赋个值，随便改几个字符：

然后一路F8:

我们发现，他也能成功加载验证码。但是经过一番测试，我发现无论怎么滑动都无法通过验证。看来这个方法确实不行，那就方案二，改他的图。

一样的方法，下断->输出原本的图片代码->修改代码->替换。这里可以借助在线base64图片互转的网站，改掉几个末尾的字符，确定图片还是原来的样子。

我们发现fp确实已经改变了

加载验证码，滑动，验证通过。这个地方的伪造需要多考虑一些，不能够完全随机，也不能够完全写死，fp那两个串是否需要配合变动。

关于这个地方抠代码，首先找到W所在函数的头和尾，一共1000行左右代码。剪出来。直接剪出来是不能运行的，前面既然已经发现了他前端是vue做的，那么必定是用了webpack之类的工具构建打包，我们需要把webpack入口相关的代码也剪过来。这个入口，无非就两种，有的网站会把webpack入口代码单独提到一个js文件中，另一种就是和逻辑代码在一个文件中。webpack执行的地方，往往伴随着apply、call、及数组的push操作。

我们发现这个js里，入口代码就在最上面，他直接定义了一个大数组，包裹所有的function，我们把这段也抠走。

把这些代码贴到vscode里补环境。还是那句话，缺啥补啥。先把window和navigator这俩大哥定义了：

运行：

这是个啥。。不知道就去浏览器里找，在对应代码处下断：

G实际是document，u[160]是cookie，看代码，他这里应该是遍历cookie，如果有就直接赋值，否则返回null。返回null的下一步，就是重新生成呗。把这段for循环直接注掉。另外一处G[u[160]]的地方一样。
按照如上逻辑补全环境即可，需要注意的是域名，我们要手动把live.v.wo.cn填进去，然后里面的fp。。半随机半固定，看你心情搞就行。和canvas有关的代码直接干掉，反正我们已经知道他验证了些什么了，在关键处直接拦截改值就OK。
最后是cb参数，全局搜cb一共就4个地方，都打下断点。刷新验证码，断下来了：

进入s方法：

醒目的uuid，遇见uuid，直接随机。。A方法我们要看一看：

跟着单步走一圈，没有太复杂的算法，加盐+二进制处理。这里可以直接抠出来运行。
具体步骤略过（PS：我也比较懒..），这里比较重要的地方我们都已经分析过了。
然后是轨迹生成。欲知后事如何，且听下回分解。

总结

到目前为止，网站整体没什么太复杂的地方，比较棘手的只有canvas，这个东西我也是没什么太好的应对方法。之前看过一个大佬专门开发了一个浏览器，修改底层得到各种类型的指纹，绝无重复，需要的时候调一下就出来了，是个很好的想法。下篇找一找轨迹的算法。

声明：本文分析过程仅供学习，并无任何个人以及商业或其他用途。如有不慎侵权，请联系我删除。