前言
上篇我们找到了他具体的浏览器指纹怎么生成的,我们已经拿到了请求验证码图片的所有参数,那么剩下的就可以安心搞轨迹生成了。
源网址:aHR0cHM6Ly9saXZlLnYud28uY24vcGxhdGZvcm0veXRweHovdHRkcmF3Lmh0bWw=(b64)
JS逆向:网易某版本滑块验证分析(上)——生成浏览器指纹
分析
打开网站,清掉缓存和Cookie,开启Fiddler抓一个滑动的包。
经过一番查看,确定这个链接就是发送滑动验证码的操作结果的请求。
先看看这些参数,第一个id写死的,token服务器返回,第三个acToken,依然是服务器返回,width应该是图片的宽度:
type和version都写死不变。然后cb,生成的算法我们在上一篇已经找到了。extraData runEnv referer这些都不用管,callback是jsonp的参数,随便写。剩下的data,就是轨迹了。
这里这几个变量名,无论搜索哪个,结果都非常多。我们换一种方式定位,下事件断点。
操作完之后,当我们抬起鼠标的时候就会断在对应的地方了。尝试一下,正常拖动验证码,然后拖到某个位置松开鼠标:
我们观察到,这个arguments里就存放着一些鼠标坐标的数据:
顺着nc.apply方法往下跟,可以跟到这里:
这里的data里面有d m r ext,这不就是我们前面看到的轨迹数据吗。看一下traceData:
一个大数组,里面很多加密数据。那么这个很有可能就是一组组轨迹数据了。文件里搜索traceData,在这样类似于push的地方下断,我们要看看这个数组里到底push进去了什么东西。
然后刷新验证码开始滑动,刚开始滑就断下来了
向数组中push了f,f是上面一行代码得来的,控制台打印看看f里原本的数据是什么
f = p(u, [Math.round(i.dragX < 0 ? 0 : i.dragX), Math.round(i.clientY - i.startY), a.now() - i.beginTime] + "");
· 国际惯例,第一个参数是x坐标,第二个是y的坐标,第三个是时间,为了方便,我直接管时间坐标叫z了。看来他是每取到一个点,就进行一次加密,把加密的值放到数组里。那我们就不太好观察每个轨迹的内容了,下一步进行插桩输出。
也就是在这行下面加一个console.log。插完桩干嘛?当然是替换js啊。fiddler走起,常规操作了。。不展开了。
很显然这里他取的是一个偏移值,有些网站会取从浏览器或者屏幕最左端和最上端的坐标计算,而这里x是从图片最左端开始计算的偏移值,y则是以最开始鼠标按下的位置为原点计算的偏移值。可以理解为是下面这样一个坐标系,O就是原点:
y坐标没什么好说的,变动的区间很小,如果要伪造的话,不要让y变动的太大,最多1 2个像素的样子,也不能让他一直变,y坐标如果是0 1 0 -1 0 1这样一直在变,那明显是不对的,后台会检测到的,可以设置个策略让他随机变化一点。
x坐标就是一个速度的问题了,我们在用selenium过滑块的时候都知道,这个东西在最开始要加速度,快到缺口的位置的时候减速,到了缺口的位置,也可以让他过一点,再拉回来。这些都是为了欺骗服务器,伪造出符合人类习惯的轨迹。这里一样的道理,速度是在x坐标和时间差上体现的。加速和减速,要么是x坐标变化的比较大,要么是z坐标变化比较大。
这个是其他网站里扒下来的轨迹坐标,貌似也是在z上的数值变化较大。好吧,一时半会也找不到具体的例子了。总之,减速的这个过程,要么是在差不多的时间里,x轴位移变小,要么是在差不多的位移变化里,时间间隔变大,很容易想明白。这边很显然,用的策略是后者。我们只需要按照他的规律,伪造出符合他的条件的轨迹就行了。
需要注意的地方是最后x停的位置,x不应该正正好好停在缺口的位置,向前或向后偏移一些才是正常的。然后是最后停的位置,我们需要知道他停下来的地方是什么。是缺口的位置还是滑块的位置,或者是其他的。上面这张图,最后一个点的x值为104,大概量一下:
那么最后一个点的值就是滑块位置了。
轨迹的代码不难,只是有些麻烦,如果后面都搞定了验证结果却没过,那么首先要怀疑轨迹生成的有问题。就是要慢慢调了。
回到代码里,看看加密函数里做了什么。
f是调用函数p得到的,第一个参数u是上面的token,第二个参数就是轨迹数组,通过弱类型转换得到的字符串。token是啥,找一下呗。
是在获取验证码图片的时候和图片一起从服务器返回来的。进到p里:
一些位操作,然后是_:
里面的m:
原来是替换编码的base64。这部分也不难,直接抠出来或者改写成其他语言的都可以。单个点的就是这么多了,接下来看他怎么合并的。
找了一下,i依然是上面那个token值。this.mouseDownCounts固定为1, 然后1拼了个逗号,传了一个traceData的长度。。p函数:
还是上面那个p。wc他没验证轨迹吗???
不好意思看错了,轨迹在这里。。。
截取了轨迹中的50个点,在下面这个函数里截取
然后用 ":" 拼接,最后加密:
找到头尾直接抠就行了,代码也不多,300多行。
改法和之前的差不多,改成自执行,第一个参数随便传,第二个参数给他传个全局对象,然后执行this.eypt就行了:
接下来就剩个参数p了,找一下,也很简单:
鼠标放上去,第一个参数是226px,相信大家已经能猜到了,这个东西,就是滑块重点的x坐标,要么是滑块的,要么是缺口的。
看来是缺口的。和滑块的坐标大概差了9个像素点。在伪造轨迹的时候就要注意了,通过算法或者打码平台识别出来的是缺口位置,而在轨迹里传的是滑块的坐标,需要把这9个像素加回来。而最后向服务器传的就是缺口坐标,不需要再加其他值了。
width 310,图片的宽。加密的方法和上面ext的加密一样。
over。
总结
那么整个滑动验证的过程就分析完了,比较难的部分,一是指纹的生成,二是轨迹的伪造。某盾这个版本的滑块相对简单,跟某验之类的比,难度要低一些,至于对轨迹的检测,那就不好说了,怎样去模仿的像一点提高成功率,需要慢慢优化。现在有些滑块验证码的图片,做过切片混淆或者canvas现画一个出来,难度加到了对图片的获取上,比如某验,其余的部分都是大同小异,在一些地方的处理就见仁见智吧。。
本文分析过程仅供学习交流,并无任何个人以及商业或其他用途。如有不慎侵权,请联系我删除。