极验3代 加密分析

• 目标链接

'aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby9zbGlkZS1mbG9hdC5odG1s'

• 接口分析

1. 极验参数重要信息 gt和challenge；gt是固定的，但是challenge每次请求会产生不同的，这里的请求的并没有什么加密参数。
   

2. 下一个请求 gettype.php，传递了 gt 参数的值以及 callback，callback 为 geetest_ + 时间戳；响应预览中返回了一些 js 文件及对应的版本号。
   

3. get.php?xxx,传入的参数如下：
   gt：register-slide 响应返回的 gt 值；
   challenge：register-slide 响应返回的 challenge 值；
   w：对轨迹、滑动时间等进行加密后的参数，不存在轨迹直接置空
   callback：geetest_ + 时间戳。
   响应数据好像也没啥，就是极验的帮助中心信息

4. 点击按钮进行验证之后，Network 中抓包到了以下信息 ajax.php?xxx请求
   gt：register-slide 响应返回的 gt 值；
   challenge：register-slide 响应返回的 challenge 值；
   w：对轨迹、滑动时间等进行加密后的参数， w 值也可以直接置空；
   callback：geetest_ + 时间戳。
   
   响应返回验证码模式，滑块验证码为 slide，点选验证码为 click

5. 第二个 get.php?xxx，url 中传递了一些参数
   gt：register-slide 响应返回的 gt 值；
   challenge：register-slide 响应返回的 challenge 值；
   callback：geetest_ + 时间戳。
   type:上个请求返回的验证码类型
   重点响应参数：
   bg：被打乱的带缺口背景图，需要还原
   fullbg：被打乱的完整背景图，需要还原
   slice：滑块图片，不需要还原
   c：关键参数，与后面 aa 参数的值有关，固定值；
   s：关键参数，与后面 aa 参数的值有关。

6. 接下来请求ajax.php?xxx
   t：register-slide 响应返回的 gt 值；
   challenge：register-slide 响应返回的 challenge 值 + 两位字符串，注意多了两位，是第二个 get.php?xxx 返回值中得到的；
   w：对轨迹、滑动时间等进行加密后的参数，需要通过逆向得到；
   callback：geetest_ + 时间戳。

• 参数分析
  需要分析的参数challenge+两位数、w参数

w参数：

1. w 参数在 js 文件中有特征码，点击按钮进行验证之后，ctrl + shift + f 全局搜索 “\u0077”，因为 \u0077 就是 w 的 Unicode 编码，然后点击进入 slide.7.8.9.js 文件中，7.8.9 为当前版本。
   

2. 进入后点击左下角 {} 大括号，格式化文件，再 ctrl + f 局部搜索 “\u0077”，只有一个结果，在第 6086 行，在第 6088 行打下断点，滑动滑块即会断住，h + u 即为 w 参数的值
   

3. 参数是 h 和 u 相加得到的，所以找到定义的位置，看看是怎么构造生成的

var u = r[$_CAIAt(754)]()
l = V[$_CAIAt(353)](gt[$_CAIAt(218)](o), r[$_CAIAt(756)]())
h = m[$_CAIAt(782)](l)
"\u0077": h + u

可以看到，h 参数是传入了 l 参数后经过 m[$_CAIAt(782)] 方法处理后得到的

5. u参数
   1. u 参数通过 r[$_CAIAt(754)] 方法生成，选中后跟进到方法定义位置
   
   2. 进入函数在 6227 行 return 处打下断点，重新拖动滑块，即会断住
   
   加密地方

   e = new U()[$_CBGAZ(353)](this[$_CBGAZ(756)](!0));
   //还原
   e = new U()["encrypt"](this["$_CCEc"](!0));
   

   3. his[“$_CCEc”] 分析完了，那 new U()[“encrypt”] 是什么呢，选中 new U() 后，从原型链中可以看到 setPublic，根据经验很有可能就是 RSA 加密设置公钥
      

   4. 第 2908 行，ut 函数传入了两个值，t 为公钥值，e 为公钥模数，都是固定值：
      t：“00C1E3934D1614465B33053E7F48EE4EC87B14B95EF88947713D25EECBFF7E74C7977D02DC1D9451F79DD5D1C10C29ACB6A9B4D6FB7D0A0279B6719E1772565F09AF627715919221AEF91899CAE08C0D686D748B20A3603BE2318CA6BC2B59706592A9219D0BF05C9F65023A21D2330807252AE0066D59CEEFA5F2748EA80BAB81”
      e：“10001”
      这里可以直接引库复现，也可以选择将算法部分扣下来，局部搜索 var U = function，在第 2043 行，将整个自执行函数扣下来，这里随机数后期写成固定值，后面也有随机数，不然会造成传参不匹配

   5. 剩下就一点点扣

6. 参数l

   1. u 参数解决后，接着需要分析 l 参数，内容如下：

   // 混淆
   l = V[$_CAIAt(353)](gt[$_CAIAt(218)](o), r[$_CAIAt(756)]());
   // 未混淆
   l = V["encrypt"](gt["stringify"](o), r["$_CCEc"]());
   

   l 参数的结果是将 gt.“stringify”(o)'和 r.“${}_{C}CEc"()加密后得到的，先来分析r."$_CCEc”() , r"$_CCEc"()还是16位字符串。（记得得干rsa同一个值）

   2. 将这里写成跟之前一样的固定值， gt[“stringify”](o) 返回的是 JSON 格式的数据，由 o 参数生成
      
      userresponse：滑动距离 + challenge 的值；
      passtime：滑块滑动时间；
      imgload：图片加载时间；
      aa：轨迹加密；
      ep-tm：window[“performance”][“timing”] 相关；
      mocq：每天 key、value 会变，后文分析；
      rp：gt + 32 位 challenge + passtime，再经过 MD5 加密。

   3. 键值进行分析，先来分析下 userresponse，o 定义在第 6012 行:
      

   	o = {'lang': i[$_CAIAt(116)] || $_CAHJd(103),'userresponse': H(t, i[$_CAHJd(182)]),'passtime': n,'imgload': r[$_CAIAt(750)],'aa': e,'ep': r[$_CAHJd(714)]()
   };
   

   4. userresponse 定义在第 6014 行，需要分析 H(t, i[$_CAHJd(182)])，控制台打印一下
      
      见通过整个H函数扣下来补环境。

   5. passtime需要跟轨迹的最后一个时间一样

   6. 接着分析aa 其定义在第 6017 行，值由参数 e 传递，同样向上跟栈到 $_CGlj 中，为第 8168 行的 l 值，l 定义在第 8167 行，三个参数加密后得到：
      

      n[${}_{D}AAAV(913)][$_CJJJb(1066)]() ：轨迹加密后的结果；
      n[${}_{D}AAAV(69)][$_CJJJb(1097)] ：c 值，在第二个 get.php?xxx 返回的响应中得到；
      n[${}_{D}AAAV(69)][$_CJJJb(319)] ：s 值，在第二个 get.php?xxx 返回的响应中得到。
      这里相当于就是得把轨迹进行加密，将其算法全扣下来。细节就是它加密了两次。
      轨迹值：

   7. ep 定义在第 6018 行，跟进到 r/[${}_{C}AHJd(714)]中，tm参数定义在第6239行跟进newbt()[$_CBGEC(760)] 中，在第 5268 行打下断点，tm 结果如下
      
      再把this$_BJBFK(666)补上即可

   8. 往下看可以发现o新增了两个参数的，接下来分析 rp 参数，定义在第 6076 行
      

   	o[$_CAIAt(791)] = X(i[$_CAIAt(104)] + i[$_CAIAt(182)][$_CAHJd(139)](0, 32) + o[$_CAHJd(704)]);o["rp"] = X(i['gt'] + i['challenge']['slice'](0, 32) + o['passtime']);
   

   经过验证X就是MD5，而且是没有魔改的

   10. 接下来每次请求会变的那个参数
       
       接着往下找，第 6026 行 a = window[$_CAHJd(744)](s) 执行之后 s 中生成了以上的键值对，所以跟进到 window[$_CAHJd(744)] 中，会跳转到 gct.xxxxxxxx.js 文件中，这个文件的路径可以从 get.php 接口获取到
       
       在该文件的第 1253 行打下断点，可以看到此时的 t 中已经生成了 h9s9: “1803797734” ：

7. 参数 o 复现完毕，回到第 6078 行，分析完 V[$_CAIAt(353)] l 即完成，跟进，定义在第 3218 行，在第 3230 行打下断点，这里为 AES 加密，初始向量 iv 值为 “0000000000000000”：
   

function V(o_text, random_str) {var key = CryptoJS.enc.Utf8.parse(random_str);var iv = CryptoJS.enc.Utf8.parse("0000000000000000");var srcs = CryptoJS.enc.Utf8.parse(o_text);var encrypted = CryptoJS.AES.encrypt(srcs, key, {iv: iv,mode: CryptoJS.mode.CBC,padding: CryptoJS.pad.Pkcs7});for (var r = encrypted, o = r.ciphertext.words, i = r.ciphertext.sigBytes, s = [], a = 0; a < i; a++) {var c = o[a >>> 2] >>> 24 - a % 4 * 8 & 255;s.push(c);}return s;
};

对比结果一致

11. 参数分析完毕，终于只剩下一个 h 了，m$_CAIAt(782) 即将 l 加密后得到的，跟进 m[$_CAIAt(782)]，定义在第 1568 行，在第 1575 行打下断点，为 e 中两个 value 值相加：
    
    e 定义在第 1574 行，t 为传入的 l 参数，跟进到 this[$_GFJn(264)] 中，在第 1523 行，直接扣下来至此w参数复现完成。

现在已经将h和u还原成功了。