JS逆向实战27——pdd的anti_content 分析与逆向

声明

本文章中所有内容仅供学习交流，抓包内容、敏感网址、数据接口均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关，若有侵权，请联系我立即删除！

本文已在微信公众号发布

目标

网站

aHR0cHM6Ly9tb2JpbGUucGluZHVvZHVvLmNvbS8=

任务

获取商品列表接口中的内容

接口参数分析

我们获取的接口。可能在web端出不来。所以我们切换成手机端。



然后刷新网页。



然后我们跟栈一步一步去找这个anti_content



从第一个栈慢慢进就行了。



断点到这里 就能看到 anti_content的值了 但是这个值好像并不是生成值的地方。继续往上找。

走到异步方法里面。



然后找到这个方法。

发现这个方法只是个实例对象 没办法调用，但是我们因此知道了 这个方法。我们搜下这个方法试试



看到一共有五个。我们去最后这个方法里面看看。不要问为什么只看最后一个。



一步一步打断点 进入这个 n.getRiskControlInfoAsync()方法里面。

然后再一步一步打断点（这是个过程，需要很有耐心 一步一追踪）





最终发现anti_content的值。

其实这个时候不难发现。这是个ob混淆啊。

生成逻辑分析

我们先不着急去扣代码。或者是干别的。我们先来看看他的生成逻辑。

我们进入ne这个方法去看看里面的生成。



这个方法 前面都是一些逻辑层的移位与混淆还有定义变量。这里就不分析了。

这里我简单脱了一下混淆

function ne() {
    function n(e, t) {
        return B(t, e - 1064)
    }

    var r = t["CTxCC"]
        ,
        a = (e = [])["concat"].apply(e, [W[r](), P[r](), C[r](), E[r](), I[r](), D[r](), T[r](), N[r](), R[r](), A[r](), L[r](), M[r](), z[r]()].concat(function (e) {
            if (Array.isArray(e)) {
                for (var t = 0, n = Array(e.length); t < e.length; t++)
                    n[t] = e[t];
                return n
            }
            return Array.from(e)
        }(q[r]()), [F[r](), G[r](), Q[r](), H[r](), U[r](), V[r](), Y[r](), J[r](), X[r]()]));

    t["npRBP"](setTimeout, (function () {
            t["JSeyi"](ee)
        }
    ), 0);
    for (var c = a["length"]["toString"](2)["split"](""),
             s = 0;
         t["iSDtI"](c["length"], 16); s += 1)
        c["unshift"]("0");
    c = c["join"]("");
    var u = [];
    t["hNmVQ"](a["length"], 0) ? u["push"](0, 0) : t["xfDub"](a["length"], 0) && t["HvucD"](a["length"], t["kbnzE"](t["YrazO"](1, 8), 1)) ? u["push"](0, a["length"]) : t["fBcAN"](a['length'], t["kbnzE"](t["YrazO"](1, 8), 1)) && u["push"](d["parseInt"](c["substring"](0, 8), 2), d["parseInt"](c["substring"](8, 16), 2)),
        a = []["concat"]([1], [1, 0, 0], u, a);
    var l = o["deflate"](a)
        , p = []["map"]["call"](l, (function (e) {
            return String["fromCharCode"](e)
        }
    ));

    function h(e, t) {
        return B(t, e - 1797)
    }

    return t["dhItA"](t["yQQNR"], i["encode"](t["dhItA"](p["join"](""), f["join"]("")), i["budget"]))

}

其实可以看到

1. r获取a的切片值。 通过合并多个数组（其实这里都是cookie和一些指纹。），从而让a获取qr展开后的内容再次合并形成一个新的数组。
2. 之前获得的新数组重新展开生成一个二进制的新字符串。并且添加了补长度功能。
3. 根据a 和 u判断从而继续生成新数组
4. 再根据新数组 重新添加某些值。并且进行了压缩操作。
5. 压缩并且再生成字符串 然后进行编码生成anti_content。

解决方案

其实这个有两种思路。根据刚刚我提供的思路

第一种：硬扣代码。

难度较大

第二种就是使用webpack去扣。其实也说不上来扣 全都抓取下来 然后补环境就行。

至于为什么是webpack。往上翻就行了。



首先这是一个一个模块。这就不多说了。

再次再往上滑。看到加载器.



然后把加载器和后面的列表全扣下来就行。

然后全部扣下来之后。我们不要放到代码中运行。

我们利用浏览器的这个片段。直接运行看看。



ok 也能直接出结果 感觉长度的话也像那么回事。现在我们搞到代码里面慢慢补就行了。

补环境

这里呢首先第一个错就是Cannot use 'in' operator to search for 'ontouchstart' in undefined

这还是个移动端事件

手指触摸屏幕时触发，即使已经有手指在屏幕上也会触发。但是我们的代码中没有这个事件。所以就会报错。

这是个监听事件。我们先加上监听事件。看看然后会不会报错

document = {};
document.addEventListener = function addEventListener(type, listener, options, useCapture){};

然后发现就不报这个错了。



然后就开始报另一个错

根据网页API中所写 https://developer.mozilla.org/zh-CN/docs/Web/API/Screen/availWidth

这个方法是返回浏览器窗口可占用的水平宽度（单位：像素）。

但是这个是个方法 所以不能直接赋值 需要用方法的方式。

window.screen = Screen = function () {
    return {
        availHeight: 1032,
        availLeft: 0,
        availTop: 0,
        availWidth: 1920,
        colorDepth: 24,
        height: 1080,
        isExtended: false,
    }
}

这个补完之后还有个报错。



报错 Element 没有被定义。

这里呢，官方解释是这样的：

Element 是最通用的基类，Document 中的所有元素对象（即表示元素的对象）都继承自它。它只具有各种元素共有的方法和属性。更具体的类则继承自 Element。

这个方法要补的其实不少。但是我们可以简单定义一个对象。后期需要什么就补什么

Element = function(){}

剩下的其实也就是一样。缺什么补什么 可以挂个proxy框架。很简单。大家可以自己试试,

结果

结语

对了 总有人问我要代码。说实话很多人都是抱着白嫖的心思，问完就没有任何交集了。我感觉这样加好友说实话没啥意义。那与其这样，不如我挂个星球。大家想要代码 直接去里面拿。我也有收益，你也不会问的不清不楚。星球里遇到的问题我看见都会回答。