首页 > 其他分享 >某东 h5st 4.7 逆向分析

某东 h5st 4.7 逆向分析

时间:2024-06-11 17:37:26浏览次数:24  
标签:AES 加密 函数 h5st 4.7 某东 生成 参数

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

前言

最近某东也是在不断的维护升级 h5st 参数, 原因就是逐渐 VMP 化,现在已经到了 4.7 版本了,也相对稳定下来了,那我们就来分析分析。

逆向目标

目标:某东 h5st 4.7 参数逆向分析

网站:aHR0cHM6Ly93d3cuamQuY29tLw==

流程分析

我们先抓包分析一下,随便找个有 h5st 参数的接口,我们可以直接看到它的版本:

还有个 x-api-eid-token 这是一个风控参数,生成位置如下:

也是接口返回,a,d 参数由大量的浏览器环境以及指纹信息生成,这边就不具体分析了,可以先写死,我们具体来看看 h5st 参数。

逆向分析

定位 h5st 参数的生成,可以直接通过搜索大法,或者找堆栈都能快速定位到生成的位置:

跟栈进去:

可以发现他将 colorParamSign 传入 window.PSign.sign 这个异步函数,返回的结果就有了 h5st 参数:

取了前面的查询参数,然后 colorParamSign 的 body 就是将前面查询参数的 body 经过 SHA256 加密,测试没有魔改,我们直接套库就行。

点击进入 window.PSign.sign 函数中就到了 VMP 文件了, 也是主要的加密文件:

仔细观察一下,发现他将加密的主要流程,以及加密的函数大部分 VMP 化了,不过却留下不少的特征点:

  • 方法一:

我们可以在所有的 vmp 操作的 call 的位置打上日志断点,进行分析,不过日志点比较多,不太推荐。

  • 方法二:

根据留下的特征点,在关键的加密函数的位置上,断点分析,既能看到传入的明文,也能看到加密后的密文,能节省不少时间。我们搜索一下一些常见的加密函数 CryptoJS, AES,SHA, Base64 等等。

能找到差不多有 10 处左右进行加密,编码操作的函数,都写在一起,而且格式,特征都基本一致:

传入一个对象,来接收导出的加密函数:

可以发现里面还有标准的 ob 模式的混淆,主要导出的加密函数就是 o 函数,初始直接将 o 函数的返回值,赋值给 HS 对象,后续就传入 HS 对象到 o 函数再进行导出,所以 HS 对象应该包含所有的加密函数。

我们可以输出看看,找到如下位置断下,这里就是最后拼接生成 h5st 的位置:

然后 输出 HS 对象:

点击对应的加密函数,下断点,这样就能精准的知道是如何进行操作的(其实可以都打上断点)我这边求方便就只打下面这几个关键断点了:

  • AES

  • 哈希

  • Base64:

我们重新请求后,就在 AES 这断下了:

这里的 n, a 应该就是 key,iv ,可能有人看不懂,没事我们可以转换一下:

const CryptoJS = require('crypto-js');
var Bytes ={
    words: [1598895705, 1063548518, 1312043094, 1296456536],
    sigBytes: 16
};
var key = CryptoJS.enc.Utf8.stringify(Bytes);
console.log(key);
var Bytes = CryptoJS.enc.Utf8.parse(key);
console.log(Bytes);

测试一下,发现 AES 跟标准的 AES 结果不一致,可能是魔改了什么东西,问题不大,我们继续往下走;

将 AES 加密的结果进行 Base64 编码(也是魔改了的),我们可以在 return 的地方断下来:

继续往下走:

我们向上找一下堆栈,进到 test 可以很明显的发现是如何进行操作的:

然后找了一下这个 test 是怎么来的,发现是 request_algo 接口 返回,注意 rd 和加密的函数都是动态的

唯一要具体分析的就是 expandParams,这个也是走的上面魔改的 AES 加密生成,key 值不一样,明文主要就是一些环境值,可以先固定,这里就不具体分析了。

我们再来输出一下加密后的值,以防后续调用:

然后继续走,就断到这里了:

'5571a8dda12c510ad1922b90d6b048aba648d9a8c2fc679927fc1e7102520489appid:search-pc-java&body:64ef977e15f853295527f3ce1f15fc980963c43f27c40066d26dd19b542d0bd4&client:pc&clientVersion:1.0.0&functionId:pc_search_s_new&t:17152462710115571a8dda12c510ad1922b90d6b048aba648d9a8c2fc679927fc1e7102520489'
  • 加密结果为:
626bad7f7ebe126bb799ac619409778c8808864ad364bcb3d6a42bfb14af47b7

仔细观察明文其实就是 上面 test 函数生成的加密结果 + colorParamSign 的拼接 + test 函数生成的加密结果。

不过我们不知道他走的是哪个加密函数,我们可以通过 HS 对象下的加密函数来一一确认,也可以在其他的加密函数上打上断点,可能有的大佬可以直接秒,哈哈,已经确认走的是 SHA256 加密函数:

继续往下走就来到了最后拼接生成 h5st 参数的位置:

  • e:就是上面 SHA256 加密函数生成的;
  • t : 是时间戳;
  • r :由 t 转换生成。
function format() {
    var e = arguments.length > 0 && void 0 !== arguments[0] ? arguments[0] : Date.now()
      , t = arguments.length > 1 && void 0 !== arguments[1] ? arguments[1] : "yyyy-MM-dd"
      , r = new Date(e)
      , n = t
      , a = {
        "M+": r.getMonth() + 1,
        "d+": r.getDate(),
        "D+": r.getDate(),
        "h+": r.getHours(),
        "H+": r.getHours(),
        "m+": r.getMinutes(),
        "s+": r.getSeconds(),
        "w+": r.getDay(),
        "q+": Math.floor((r.getMonth() + 3) / 3),
        "S+": r.getMilliseconds()
    };
    return /(y+)/i.test(n) && (n = n.replace(RegExp.$1, "".concat(r.getFullYear()).substr(4 - RegExp.$1.length))),
    w_(a).forEach((function(e) {
        if (new RegExp("(".concat(e, ")")).test(n)) {
            var t, r = "S+" === e ? "000" : "00";
            n = n.replace(RegExp.$1, 1 == RegExp.$1.length ? a[e] : j_(t = "".concat(r)).call(t, a[e]).substr("".concat(a[e]).length))
        }
    }
    )),
    n
};


console.log(format(1715246309293, "yyyyMMddhhmmssSSS"))  // 20240509171829293
  • n:就是上面第一次 AES 加密进行魔改 Base64 编码后的结果;
  • _fingerprint:可以先写死,算法生成;
  • _appid:也可以先写死,页面里获取;
  • _token:request_algo 接口返回。

h5st 参数的生成都分析完,现在就差 HS 对象下的加密函数如何获取:

看似复杂,还有 ob 混淆等等,其实直接正常扣就行了,缺啥补啥,ob 混淆其实都没必要还原,手动扣就行,混淆的地方不多,大概有 10 处这样的函数,结构都一致:

扣完后,输出 HS 对象,就可以直接调用里面的加密函数,注意要校验和浏览器加密的结果一致:

结果验证

注意:正确的 h5st 不会出现 <Response [403]> 的情况,100% 可以拿到数据:

标签:AES,加密,函数,h5st,4.7,某东,生成,参数
From: https://www.cnblogs.com/ikdl/p/18242411

相关文章

  • 4.7K+ Star!一款开源工作流开发平台!
    大家好,我是Java陈序员。今天,给大家介绍一个开源的工作流平台,适用于OA办公!关注微信公众号:【Java陈序员】,获取开源项目分享、AI副业分享、超200本经典计算机电子书籍等。项目介绍RuoYi-activiti——基于若依、Activiti6.0,集流程设计、流程部署、流程执行、任务办理、流......
  • 进件最新版点微同城源码34.7+全套插件+小程序前后端
    模板挺好看的带全套插件自己耐心点配置一下插件可以H5可以小程序资源链接:最新版点微同城源码34.7+全套插件+小程序前后端-资源吧......
  • 某东h5st4.7 加密参数(二)
    接着上一篇文章,由于最近比较忙,没有时间看。今天有时间看看上一篇没有说完的其他加密参数。仅供学习交流!1、fp的生成,搜索关键词fingerprint,即可查看到生成位置调试可以找到生成位置2、请求获取tkalgo中参数expandParams,如下图调试可以获取到参数expandParams从此可......
  • 某东h5st 3.x-4.x 本篇web端4.7的生成方式和逆向分享
    前言本文中所有的内容仅供学习交流,禁止非法用途和商业行为。产生的一切后果与本作者无关。如有雷同纯属巧合4.7较前面的版本改动稍大,通过异步的方式生成了h5st。这个了解过的应该都可以看出来分析一、抓包确定逆向参数:20240511183735521;n9nymytm9nzgi560;f06cc;tk03wd2f......
  • 【康复训练3】2024.4.7小红书
    这期的题目整体比较简单,相比之前的都简单第一题-塔子哥送粉丝周边简单排序#include<bits/stdc++.h>usingnamespacestd;#defineintlonglongconstintN=2e5+100;structstr{ intnum; ints;}st[N];boolcmp(stra,strb){ if(a.s!=b.s){ returna.s>b.s......
  • 京东web端h5st—4.7逆向分析
    声明本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!目标网站aHR0cHM6Ly93d3cuamQuY29tLw==分析流程了解h5st看了sha256相关加密算法逻辑body加密大......
  • OS-Windows11-系统盘安装-DVD[4.7GB]
    OS-Windows11-系统盘安装-DVD[4.7GB]背景安装Windows11操作系统。DownloadWindows11(microsoft.com)安装方法MediaCreationTool_Win11_23H2.exe使用系统U盘或下载ISO镜像直接下载ISO镜像,然后使用DVD光驱刻录工具刻录DVD4.7GBDVD系统盘制作使用UltralISO工具的......
  • 很强!4.7k star,推荐一款Python工具,可实现自动化操作!!
    1、介绍在日常工作中,肯定会遇到一些重复性的工作,不管是点击某个按钮、写东西,打印东西,还是复制粘贴拷贝资料之类的,需要进行大量的重复操作。按键精灵大家都听说过,传统的方式,大家可以使用按键精灵将操作录制一遍,形成脚本,剩余的工作让计算机自动循环执行,应对这些重复性的任务。但今......
  • 2024.4.7
    <?xmlversion="1.0"encoding="utf-8"?><ScrollViewxmlns:android="http://schemas.android.com/apk/res/android"xmlns:app="http://schemas.android.com/apk/res-auto"xmlns:tools="http://schemas.androi......
  • 上周热点回顾(4.1-4.7)
    热点随笔:· 一个程序员的编年史 (鲁那西)· C#/.NET/.NETCore优秀项目和框架2024年3月简报 (追逐时光者)· 园子周边第2季:黑色大鼠标垫已上架,大气简洁与五彩缤纷的融合 (博客园团队)· VisualStudio2022的安装-编程手把手系列文章 (lzhdim)· 为AI而生的编程语言......