某头条加密参数逆向分析

本文章中内容仅供项目展示使用，不用于其他任何目的，逆向项目不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！ 本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负任何法律责任，若有侵权，请联系作者立即删除！

抓包分析

随便打开一个文章，抓包分析一下参数，发现加密监测点在于cookie，分析下cookie

第一次

__ac_nonce=0634bd4e400180f467fbf; 
__ac_signature=_02B4Z6wo00f01I4zg-AAAIDB7TlDi-X7hxyOE4dAAEDLf1; 
__ac_referer=__ac_blank; 
msToken=n0vjmk_5Uo8JvgpdBN_NEZlJKh259Zs-WCKDiWnPNnHaaV96VCdO9h_EYpfIlvExWgTEuvHXJNqCOJ65l6wxsnwMv9ZGcFMwNJjrnddf2IM=; 
ttwid=1%7C5X6ymNMFlVkJBxdObBKsG9E8zrynEB0zlF-5BGGAXT0%7C1665914095%7Cbed138dbf9eff90e3073123ff9bd01966726ebb68418dd0db9d0f025dab6390c

第二次

__ac_nonce=0634bd55a00ae77811ef9; 
__ac_signature=_02B4Z6wo00f01KPBamgAAIDBwMuqAPt0.5Sj5W7AAEvABND3oqikO4plIGV0JeSgilhQSqgvLYEFRsbeGeGSbqrkGO.UjWATBZFsthl1CUlWHLt7qUW52l0C-aYIM7IK2uHmNJzPldvJTUln9c; 
__ac_referer=__ac_blank; 
msToken=pP2S0jbdWO2utEdWD9LnJQbar97YtchzM9dm2FmV96Zf4mCsR3IwuBsYt9CR-2ukhsoKmvfFQSAbtd83wEGAtgpB0iTwJedSpILtJnuQTX4=; 
ttwid=1%7C2Okthktd_Dds1C2lW0JxPLT0-lbziCBtL3t-42GKJCI%7C1665914204%7C5a11284df5955b3915482f5f89d039367828bd8b76664f44a1a4881083e3282c

发现除了__ac_referer外，其他均为动态生成，这里主要分析下__ac_signature参数的生成
在一个动态VM中

生成第二个动态VM，发现参数

这里__ac_signature于__ac_nonce相关，这两个动态VM中的JS要全部拿出来做拼接

环境检测

打开vscode调式代码，检测了node，浏览器环境等


输出检测的环境对应进行伪造

结果

输出__ac_signature结果