某Y易盾滑块acToken、data逆向分析

内容仅供参考学习

欢迎朋友们V一起交流： zcxl7_7

---

 

目标

网址：案例地址
这个好像还没改版，我看官网体验那边已经进行了混淆
只研究了加密的生成，环境不正确可能会导致的加密结果不对 (太累了，先缓缓吧，最近事比较多)

---

 

分析

 

• 请求体中出现了多个字段

• 其中token是getapi请求返回的中的参数
   
  
   

• id就直接当作是固定值，cb在之前已经研究过加密过程。因此现在需要研究的就是标题中所说的2个加密值acToken和data
   
  

---

 

逆向分析

 

• 进入Initiator，点击onMouseUp对应的节点中
   
  
   

• 可以非常清晰地看到data的组成，其中this.traceData是估计加密的列表；this.$jigsaw.style.left是滑块移动的距离；this.width是个定值300；this.mouseDownCounts应该是鼠标点击次数

• acToken我是直接搜的，对比一下里面的内容，很容易确定到加密位置
   
  
   

• 在这面打上断点
   
  
   

• 可以看到加密值已经存在，往前找，最后在这个位置找到了生成位置
   
  
   

• 其中x为false，t为一段字符串
   
  
   

• 在当前位置，往周边找t的生成或者赋值的位置。经过查找可以发现t是有bc()生成的
   
  

---

 

结果

 

• 由于我比较懒，所以仅生成了加密值，轨迹是直接抠的游览器上的，并未测试，只是学习