快手滑块逆向分析

目标URL：

aHR0cHM6Ly9wYXNzcG9ydC5rdWFpc2hvdS5jb20vcGMvYWNjb3VudC9sb2dpbi8/c2lkPWt1YWlzaG91LndlYi5jcC5hcGkmY2FsbGJhY2s9aHR0cHMlM0ElMkYlMkZjcC5rdWFpc2hvdS5jb20lMkZyZXN0JTJGaW5mcmElMkZzdHMlM0Zmb2xsb3dVcmwlM0RodHRwcyUyNTNBJTI1MkYlMjUyRmNwLmt1YWlzaG91LmNvbSUyNTJGYXJ0aWNsZSUyNTJGcHVibGlzaCUyNTJGdmlkZW8lMjUzRm9yaWdpbiUyNTNEd3d3Lmt1YWlzaG91LmNvbSUyNnNldFJvb3REb21haW4lM0R0cnVl

此处iframe新开一个窗口，可以减少其他的干扰

失效的话，将上面的重新获取一下，重新复制iframe的URL，进去就可以了

验证不通过

验证通过

检验URL和参数

https://captcha.zt.kuaishou.com/rest/zt/captcha/sliding/kSecretApiVerify

全局搜一下参数verifyParam

c参数是一个做了加密的长字符串

此处需要注意，当我断在6374的时候，c还是undefined

F8运行到6394的时候，他的值就计算出来了

回到case为0处，有个r对象，其中有个trajectory参数，大概猜测是路径加密后的值，可以先从这里入手

全局搜索一下参数“trajectory”

此处搜到了3个，分别下断点，拖动之后，最后是断在行号 8863 的这个

结果是经过一个参数 c.slice(1)

此处是他的拖动路径数据

此处c的计算在这个位置

此处为指纹hash

到这一步，就可以把路径算法扣下来，路径还原结果如下

const t = {
  trajectory: [
    [0, 22, 1664078425847],
    [7, 22, 1664078425857],
    [25, 20, 1664078425864],
    [50, 18, 1664078425875],
    [79, 17, 1664078425881],
    [108, 15, 1664078425891],
    [141, 13, 1664078425898],
    [170, 11, 1664078425904],
    [199, 9, 1664078425911],
    [228, 8, 1664078425918],
    [257, 7, 1664078425926],
    [289, 5, 1664078425934],
    [315, 4, 1664078425942],
    [333, 3, 1664078425950],
    [355, 3, 1664078425958],
    [369, 3, 1664078425966],
    [384, 3, 1664078425976],
    [398, 3, 1664078425985],
    [413, 3, 1664078425990],
    [423, 3, 1664078425997],
    [431, 3, 1664078426007],
    [438, 3, 1664078426014],
    [449, 3, 1664078426023],
    [452, 3, 1664078426030],
    [456, 3, 1664078426036],
    [460, 3, 1664078426044],
    [467, 3, 1664078426052],
    [471, 3, 1664078426211]
  ]
}
let n = {}

const f = {
  uhUaq: function (n, t) {
    return n - t
  },
  FuwxQ: function (n, t) {
    return n + t
  }
}

let r = t.trajectory[0] ? t.trajectory[0][2] : 0

let c = t.trajectory.slice(-100).reduce(function (n, t) {
  return f.FuwxQ(
    n,
    ','
      .concat(t[0], '|')
      .concat(t[1], '|')
      .concat(f.uhUaq(t[2], r))
  )
}, '')

console.log(c.slice(1))

本地结果和浏览器验证结果匹配，说明算法没有扣错

然后我们再回到之前的这个位置，目前已经把路径的参数给解决了，还剩下 captchaExtraParam，captchaSn，gpuInfo

在这个位置下断点，当 case 为 0 执行完之后，t 参数的 sent 会把最后的计算结果算出来并赋值

这里hook去跟一下

跟到这里的时候，Shift+F11

在此处下断点，重新刷新，进到f函数里面

进到这里之后，F8运行，观察 n 形参的变化

n变量的变化是这样的
1、先是UA和指纹信息

2、然后是会传一个超长的数组

3、最后就是运算出结果

当n出现数组的时候，F11进入，会进到这个位置，这里就是最后结果生成的地方

以下是每个值的参数和输出的结果

到了断点位置，
先执行完 u = e[i(“0x32”)]，可以看到e的输出是一个大数组
然后执行e[i(“0x33”)](i(“0x34”), ni(“0x35”)i(“0x36”));
最后e里面的参数就计算出来了

所以我们只需要在这个地方注入我们需要的代码就可以，
然后将**c.a[i(“0x31”)]，d，e[i(“0x33”)](i(“0x34”), ni(“0x35”)i(“0x36”))**导出到全局，然后rpc调用，或者你也可以扣代码，我这里是直接自己写一个WSS去调算法，想扣代码的大佬自己去扣，这里就不多废话了。

最后本地验证一下，成功获得凭证数据

补补补补补补补：

captchaSn参数是来自https://captcha.zt.kuaishou.com/rest/zt/captcha/sliding/config这个接口的返回数据

captchaSession参数又是来自上一个接口https://id.kuaishou.com/pass/kuaishou/sms/requestMobileCode