首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

【验证码逆向专栏】某验三代滑块验证码逆向分析

声明

本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!

逆向目标

目标:某验三代滑块验证码,底图还原及 w 参数逆向

验证码 demo 列表:

滑块验证码:

加密算法:RSA、AES、MD5

验证码流程分析

进入网页后,打开开发者人员工具进行抓包

1.未点击按钮进行验证之前,Network 中抓包到了以下信息:

:注册滑块请求,响应预览中返回的信息中重要的是 gt 和 challenge,gt 是固定值,不同网页对应不同的 gt 值,类似于特征码,challenge 的值每次刷新页面都会变化,gt 参数会通过 url string 的形式传递给 gettype.php:

:获取验证码,HTTP 请求中不同的请求方式和设置不同的 Content-Type 时,参数传递的方式会不一样,一般为 Query String Parameters、Form Data、Request Payload,这里是 Query String Parameters,在 GET 请求时,参数会以 url string 的形式进行传递,即 ? 后的字符串则为其请求参数,并以 & 作为分隔符,这里传递了 gt 参数的值以及 callback,callback 为 geetest_ + 时间戳:

响应预览中返回了一些 js 文件及对应的版本号:

第一个,url 中传递了一些参数,关键部分如下:

:register-slide 响应返回的 gt 值;

:register-slide 响应返回的 challenge 值;

:对轨迹、滑动时间等进行加密后的参数,该网站第一个 w 值可以直接置空;

:geetest_ + 时间戳。

响应内容如下,这里没什么需要注意的,feedback 就是某验的帮助中心:

2.点击按钮进行验证之后,Network 中抓包到了以下信息:

第一个 ,url 中传递了一些参数,关键部分如下:

:register-slide 响应返回的 gt 值;

:register-slide 响应返回的 challenge 值;

:对轨迹、滑动时间等进行加密后的参数,该网站第二个 w 值也可以直接置空;

:geetest_ + 时间戳。

响应返回验证码模式,滑块验证码为 slide,点选验证码为 click:

第二个 ,url 中传递了一些参数,关键部分如下:

:register-slide 响应返回的 gt 值;

:register-slide 响应返回的 challenge 值;

:geetest_ + 时间戳。

这个响应返回了很多关键内容:

:被打乱的带缺口背景图,需要还原,

:被打乱的完整背景图,需要还原,

:滑块图片,不需要还原,

:关键参数,与后面 aa 参数的值有关,固定值;

:关键参数,与后面 aa 参数的值有关。

第二个 ,url 中传递了一些参数,关键部分如下:

:register-slide 响应返回的 gt 值;

:register-slide 响应返回的 challenge 值 + 两位字符串,注意多了两位,是第二个 get.php?xxx 返回值中得到的;

:对轨迹、滑动时间等进行加密后的参数,需要通过逆向得到;

:geetest_ + 时间戳。

滑动滑块验证通过即会返回以下内容:

失败则会返回:

逆向分析

w 参数

跟到 w 参数的值方法很多,以下讲两种:

1.很简便,w 参数在 js 文件中有特征码,点击按钮进行验证之后,ctrl + shift + f 全局搜索 ,因为 就是 w 的 Unicode 编码,然后点击进入 slide.7.8.9.js 文件中,7.8.9 为当前版本,注意没点击验证的话是不会有这个 js 文件的:

进入后点击左下角 大括号,格式化文件,再 ctrl + f  局部搜索 ,只有一个结果,在第 6086 行,在第 6088 行打下断点,滑动滑块即会断住,h + u 即为 w 参数的值:

2.通过 Initiator 跟栈,跟进到 中:

进去同样格式化后,会跳转到第 4583 行,在该行打下断点:

向上跟栈到 中同样会找到刚刚的位置:

由以上分析可知,w 参数是 h 和 u 相加得到的,所以找到定义的位置,看看是怎么构造生成的,u 参数定义在第 6077 行,h 参数定义在第 6079 行,内容如下:

可以看到,h 参数是传入了 l 参数后经过 方法处理后得到的,所以依次往下分析,现在看看 u 参数是怎么生成的:

u 参数

u 参数通过 方法生成,选中后跟进到方法定义位置:

会跳转到第 6218 行,在 6227 行 return 处打下断点,重新拖动滑块,即会断住:

e 为 u 参数的值,其定义在第 6266 行:

在控制台中打印输出一下各部分内容:

从打印出来的结果可以看出,e 参数的值可能是将 16 位的随机字符串加密后得到的,跟进到 中验证一下:

跳转到第 6208 行,在第 6214 行 return 处打下断点:

即 16 为字符串,,跟进到 函数中,在第 4213 行,于第 4219 行打下断点后会发现,16 位字符串是由四个 方法的结果相加得到的:

跟进到 方法的定义位置,在第 4203 行,第 4208 行即为随机字符串算法:

还原混淆后内容如下, 是随机选取大于等于 0.0 且小于 1.0 的伪随机 double 值, 为十六进制字符串:

跟进去查看一下:

跳转到第 2908 行,在第 2922 行断住后, 的值为 :

第 2908 行,ut 函数传入了两个值,t 为公钥值,e 为公钥模数,都是固定值:

这里可以直接引库复现,也可以选择将算法部分扣下来,局部搜索 ,在第 2043 行,将整个自执行函数扣下来,这里随机数后期写成固定值,后面也有随机数,不然会造成传参不匹配:

运行后报错提示,:

其定义在第 136 行,是个函数对象,补上即可:

运行后报错提示,:

搜索后可知,其定义在第 128 行:

跟进过去将该部分扣下来:

接着报错提示,:

定义在第 7 行,直接将 整个扣下来即可,然后会报错提示,window 和 ht 未定义,ht 为 navigator:

又报错提示,:

其定义在第 132 行,扣下来补上:

报错提示,:

通过搜索,其定义在第 68 行,将 整个扣下来即可,至此,u 参数成功复现:

l 参数

u 参数解决后,接着需要分析 l 参数,内容如下:

可以知道,l 参数的结果是将 和 加密后得到的,先来分析 ,选中后跟进进去,跳转到了熟悉的第 6208 行,就是之前的 16 位随机字符串:

将这里写成跟之前一样的固定值, 返回的是 JSON 格式的数据,由 o 参数生成:

对比分析以下 o 参数中,哪些是定值,哪些是动态变化的,可以看到箭头所指的值都不一样了:

:滑动距离 + challenge 的值;

:滑块滑动时间;

:图片加载时间;

:轨迹加密;

: 相关;

:每天 key、value 会变,后文分析;

:gt + 32 位 challenge + passtime,再经过 MD5 加密。

接下来对关键值进行分析,先来分析下 ,o 定义在第 6012 行:

定义在第 6014 行,需要分析 ,控制台打印一下:

t 为滑动滑块的距离,需要注意的是 为第二个 传递的 ,比注册请求时的 长两位,再将 H 参数扣下来即可,其定义在第 704 行,报错提示,:

定义在第 159 行:

至此, 成功复现,接下来看 , 值此时已经生成了,为 1010,向上跟栈到 中:

为 值,定义在第 8164 行,为滑动结束时间 - 开始时间:

接下来分析下 参数,其定义在第 6017 行,值由参数 传递,同样向上跟栈到 中,为第 8168 行的 l 值,l 定义在第 8167 行,三个参数加密后得到:

:轨迹加密后的结果;

:c 值,在第二个 返回的响应中得到;

:s 值,在第二个 返回的响应中得到。

接下来跟进到 中,分析下轨迹是如何加密的,在第 4065 行,于第 4133 行打下断点,第 4108 行的 即为轨迹值,关于轨迹算法后面会专门出一期文章:

将整个算法部分抠出来,先将轨迹值固定,写成参数传递进去,不然会报错提示,,因为轨迹值是别的算法生成的,不传值即为空,运行程序,会报错提示,:

ct 定义在第 4223 行,扣下来,报错提示,:

定义在第 4326 行,补上以下内容,即可复现:

结果对比一致:

后面三个参数的值都分析完了,回到第 8167 行 l 处,跟进到 中,在第 4135 行,扣下来即可:

将 c 和 s 写为固定值,对比结果一致:

aa 参数分析完成,接下来分析 rp 参数,定义在第 6076 行:

后面三个参数都很明显了,跟进到 X 函数中,在第 1876 行,扣下来即可,对比结果一致:

这里是 MD5 加密,也可以直接通过引库复现:

ep 定义在第 6018 行,跟进到 中,tm 参数定义在第 6239 行:

跟进 中,在第 5268 行打下断点,tm 结果如下:

o 中这个键值对内容每天都会变化:

在第 6021 行打下断点,此时的 o 中还没有生成以上键值对:

接着往下找,第 6026 行 执行之后 s 中生成了以上的键值对,所以跟进到 中,会跳转到 文件中,这个文件的路径可以从 get.php 接口获取到:

在该文件的第 1253 行打下断点,可以看到此时的 t 中已经生成了 :

跟进到 方法中,其定义在第 1202 行,在第 1208 行打下断点,键值对在此处生成,可以通过全局导出调用:

至此,参数 o 复现完毕,回到第 6078 行,分析完 l 即完成,跟进,定义在第 3218 行,在第 3230 行打下断点,这里为 AES 加密,初始向量 iv 值为 :

直接引库复现:

对比结果一致:

l 参数分析完毕,终于只剩下一个 h 了, 即将 l 加密后得到的,跟进 ,定义在第 1568 行,在第 1575 行打下断点,为 e 中两个 value 值相加:

e 定义在第 1574 行,t 为传入的 l 参数,跟进到 中,在第 1523 行,复现如下:

校验结果一致:

w 参数至此终于全部复现完成!

底图还原

前文说过,拿到的完整背景图以及带缺口背景图都是被打乱了的,这里需要还原才能计算滑动距离以及轨迹等,极验的底图是通过 Canvas 绘制出来的,直接打下事件断点:

点击按钮进行验证即会断住,格式化后跳转到第 295 行,

简单解一波混淆,会清晰一些:

控制流平坦化混淆,可以通过 AST 技术解混淆,AST 相关可以看 K 哥往期文章:《逆向进阶,利用 AST 技术还原 JavaScript 混淆代码》,这里就不对此进行讲解了,这里就是 Canvas 绘图的过程,关键乱序算法部分在 中:

原图比例为 312 x 160,宽为 320,长为 160:

、 指还原后的图片比例为 260 x 160,a 的值为 r / 2 即 80,就是将整张图片分为了上下两等分,再将图片纵向切割为了 26 等份,Ut 数组的长度为 52, 即依次取数组中的元素, 数组即为图片还原的顺序,是固定的, 判断图片是上半部分还是下半部分, 表示每个小块取 10 px 像素,正确图片的顺序为:

示例:

Python 复现:

还原后如下:

错误结果

结果验证

100 次大概 95% 的成功率:

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20221221A04NUP00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券