首页
社区
课程
招聘
[讨论][分享][原创]萌新利用ast语法树改写js代码实现hook,快速分析淘宝登录包 cookie参数+请求体参数
发表于: 2022-6-2 13:10 10752

[讨论][分享][原创]萌新利用ast语法树改写js代码实现hook,快速分析淘宝登录包 cookie参数+请求体参数

2022-6-2 13:10
10752

直接进入分析cookie

一,确认目标

1.进入登录地址随便输入点击登录 抓到登录包

图片描述

cookie参数目标共有10个分别是

1:XSRF-TOKEN

2:_samesiteflag

3:cookie2

4:t

5:_tbtoken

6:isg

7:l

8:_bl_uid

9:cna

10:tfstk

二 分析生成

1,参数1 XSRF-TOKEN

图片描述

ctrl+F一搜 原来是在一开始的login.jhtml请求设置的cookie

一下子解决5个参数 分别是参数 1,2,3,4,5

2,继续分析参数6 isg

ctrl+F一搜 无结果

利用ast hook大法 定位搜索 就5个结果好办全部下断点

图片描述

断在了这个i函数 点进去也有其他断点 八九不离十是i了

图片描述
图片描述

整体扣下来 导出目标函数 得出isg结果

图片描述

3,继续分析参数7 l 搜到3个可疑位置 先下3个断点

图片描述

果然就是这个d函数 跟进去 就传了3个参数

图片描述
图片描述

把整个d函数拿下来 传入参数 得到结果

图片描述
图片描述

4,继续分析参数8 _bl_uid 继续搜索 出来非常多结果

但是发现at Object.uu 里面的 return o.join("")之后立刻又t = i.uu() ; 八九不离十就是这个UU函数了

图片描述

扣出相应函数 得出结果

图片描述

4,继续分析参数9 cna 一搜出来非常多结果 不过注意一个特别的请求https://log.mmstat.com/eg.js

图片描述

原来直接打开这个地址就可以取到结果cna

图片描述

5,继续分析参数10 一搜 发现两个可疑位置 下断点

图片描述

果然就是这个跟进去整体扣下之后发现跟之前的cookie参数7 l函数有点像 那好办直接传值得到结果

图片描述
图片描述
图片描述

6,继续分析参数11 哦cookie参数分析完了 时间也来到了1点 先吃饭。。。。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (6)
雪    币: 1385
活跃值: (5609)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
6666
2022-6-2 15:17
2
雪    币: 64
活跃值: (3959)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3

-

最后于 2023-1-31 10:31 被RiDiN编辑 ,原因:
2022-6-2 15:35
3
雪    币: 239
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
RiDiN 虽然但是,这个与ast有什么关系,我看标题还以为写的是AST反混淆的
里面搜索参数功能,就是利用ast进行改写S 实现hook几乎全部参数值 达到快速搜索。前面聊分析,后面在讲ast部分,ast部分工具代码地址https://github.com/71n9/prophet
2022-6-2 22:06
2
雪    币: 228
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
能留个联系方式么,需要千牛扫码登陆逆向,有偿
2022-12-4 17:58
1
雪    币: 0
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
能留个联系方式么 经常有js方面的参数需要解密 我的v:lxw20225201009
2023-3-3 04:20
0
游客
登录 | 注册 方可回帖
返回
//