• 新时代青年大学生 学习新思想 同上一堂课 2019-06-25
  • 去年中国汽车召回同比增长77% 连续4年刷新纪录 2019-06-14
  • 启新航 谋新篇——陕西省第十三次党大会——西部网、陕西头条客户端 2019-06-14
  • 回复@艾鸣1:你的老蚕暴露无遗,还好意思笑?这个帖子会成为你终身的耻辱! 2019-06-13
  • 风力发电机 藏身高楼中 2019-06-11
  • 隔代育儿,“晚年”该如何呵护童年 2019-06-11
  • 新西兰总理预产期临近 民众纷纷猜测宝宝体重性别 2019-06-10
  • 《国家人文历史》2018年第10期(总第203期)封面及目录 2019-06-10
  • 图解中央军委巡视组如何开展巡视工作? 2019-06-06
  • 糖尿病打胰岛素是好还是坏?知道答案的糖友都沉默了 2019-06-05
  • 美堪萨斯州一所法院外发生枪击案 致警察1死1伤 2019-06-01
  • 河北加强扬尘整治:全面推行“以克论净”考核标准 2019-06-01
  • 延安:“幸福院”+“一岗双助”实现助老扶贫双赢 2019-06-01
  • 中国武器亮相国外 铁甲雄狮大秀视觉盛宴 2019-05-29
  • 特朗普发推特相关新闻 2019-05-28
  • 吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|北京pk10最稳办法 www.yhhjx.com

     找回密码
     注册[Register]

    QQ登录

    只需一步,快速开始

    搜索
    查看: 10482|回复: 163
    上一主题 下一主题

    北京pk是最稳全天计划: [原创] ××电影小程序check算法分析

        [复制链接]
    跳转到指定楼层
    楼主
    xiaobiao 发表于 2019-5-27 15:18 回帖奖励
    前前言
    首先是先说明一下,本篇文章是基于的 @案首梦 [微信消灭病毒sign算法分析] 前提作为基础思路进行的搞事情,由于相关原理文字解释 @案首梦 写的较好,所以部分文段会直接摘抄,但走的思路完全是独立弄出,本文仅提供北京pk10最稳办法思路。


    前言

    最近得到了几张某达实体票,去看妇联的时候居然要使用四张兑换券才能换两张电影票!不得不感叹漫威粉们的狂热!

    好了,扯远了~当时实体票是去到电影院兑换的座位,看了票背面其实是支持在线兑换座位,票上有两个大二维码,分别是下载APP和关注公众号,于是下载APP准备兑换剩下的券,然后进入钱包兑换券,当看到券码上的纯数字的卡号和密码,心中一记,看看能不能走撞裤,服务器挂个脚本自动去撞,免费的电影票唾手可得啊~理想很美好,那么就来试试


    试错二十几次后都提示兑换码不存在,感觉没有风控,于是就想搞一搞事情。


    一、初步抓包

    测试手机为小米9,抓包软件各种各样,本机APP可以优先选择Packet Capture和HttpCanary,两种软件傻瓜式操作,如果要抓https都需要装个CA证书,推荐使用HttpCanary可扩展性高且样式较多


    在 HttpCanary 选指定APP



    再打开APP开始抓包,可以看到我们抓到两个包


    首先是第一个请求


    然后是第二个请求

    大概可以猜测主请求为第二个,首先访问形式是get,参数都是放在header上面,由于水表问题打了一些码,可知主要参数为MX-API,格式如下(敏感数据以***显示):

    {"ver":"6.5.1","cCode":"1_2","sCode":"Wanda","appId":2,"_mi_":"***","width":1280,"json":true,"check":"***","Accept-Encoding":"gzip, deflate","ts":1550668891000,"heigth":720}

    其中_mi_为固定长度字符串,猜测是身份id,check为加密串,ts为13位的unix时间戳,测试在同个码的情况下,ts和check码为动态变动,可知check是包含ts值的32位小写MD5,当然,由于动态,也意味着...



    常规md5库根本无从解答!


    二、再接再厉


    本快要放弃了,突然想到他的第二个二维码,微信公众号,用小程序?想起前几天看到其他小程序算法分析的文章,立马动手起来


    测试的确是小程序没错,且界面都差不多,返回也一样,但是,HttpCanary抓包后显示ssl hand shake error异常,看来小程序https抓包是不行


    通过404(谷歌)查询是知道从Android Nougat(7.0)开始,谷歌改变了网络安全策略。自签的CA证书将默认不被TLS/SSL连接信任,限制于一些策略,但是也有办法绕过,通过HttpCanary的开源github网址https://github.com/MegatronKing/HttpCanary可查询到好几种方式,这边是用下图方法后可以正常抓包


    但是,凡事讲究效率,小试之后我们直接祭出神器Burp Suite,需要电脑且需要提前配置,初步配置这里不再多说可以自行404,如果继续用HttpCanary也是可以完成下面抓包的

    再次抓包,我们可以得到MX-API参数有所不同,但是check依旧存在,格式如下(敏感数据以***显示):

    {"ver":"6.4.0","sCode":"Wanda","_mi_":"***","width":1280,"json":true,"cCode":"XIAOCHENGXUGP","check":"***","ts":1550668891000,"heigth":720,"appId":3}


    三、微信小程序源码获取

    获取办法:在已经ROOT的手机上使用RE文件管理器查看微信源码目录,并复制导出到电脑中。

    微信小程序源文件保存在/data/data/com.tencent.mm/MicroMsg/.../appbrand/pkg/这个目录下,中间的“...”是一串32位的16进制字符串名文件夹。

    如果有很多不确定是哪个的情况下,我的解决办法是删掉所有这样的目录,在微信中删掉小程序重新添加,就可以看到新创建的目录。找到指定目录并拷贝至电脑上,我们就获得了微信小程序的源代码,在我的手机上有两个wxapkg文件,不清楚是哪个,先都拷贝出来。


    下一步是反编译源文件,用大佬写的 wxappUnpacker,Github地址:https://github.com/qwerty472123/wxappUnpacker

    我们首先安装nodejs环境:https://nodejs.org/en/

    运行 进入刚下载的wxappUnpacker文件夹内,安装一下依赖:

    npm install esprima
    npm install css-tree
    npm install cssbeautify
    npm install vm2
    npm install uglify-es
    npm install js-beautify
    npm install escodegen

    最后使用这个命令进行反编译源文件:node wuWxapkg.js [-d] <files...> //files 就是你想要反编译的文件名

    例如:我有一个需要反编译的文件 _12345678_123.wxapkg 已经解压到了D盘根目录下,那么就输出命令
    node .\wuWxapkg.js D:\_12345678_123.wxapkg


    这样我们就得到了某达小程序源码,对于微信小程序这种,我们可以简单理解为HTML+CSS+JS,只不过JS是微信JS而已。

    所以在这个场景下,我们的思路就是找到小程序源码,看看JS里面有没有什么能利用的东西,对网络传输进行抓包,试试有没有漏洞。


    关于这个游戏论坛上和网络其他位置已经有很多工具和教程了,本篇文章不会留工具,纯技术讨论,想要工具的可以直接关掉本文去404搜索其他文章了,本篇文章是纯技术流程!


    四、校验算法回顾

    为了保证数据在通信时的安全性,可以采用参数签名的方式来进行相关验证。这种方式的基本原理就是将传递的数据加一些参数做MD5,并跟随数据包一起进行传递,在服务器端进行再次验证,将计算得到的MD5与收到的MD5进行比对,如果不同,则说明数据包被篡改过。

    这个过程就是为了防止数据包在传递过程中遭到篡改的一种校验算法。

    sign签名的方式能够在一定程度上防止信息被篡改和伪造,但是对于微信小程序来说,逻辑都写在 JS 中,而 JS 源码是能够逆出来的,我们能够通过查看源代码得知程序逻辑,再更改数据包之后,我们自行组织逻辑,算出MD5,一同发送至服务器,就可以绕过校验。


    我们目前面对的就是一个典型的web应用中前端sign逻辑校验情况,只不过这里不叫sign,叫做check,是存在安全问题的。


    五、分析小程序源码


    首先我们先找check字符串,在四个文件都有,其中app-service.js最大,估计是程序主体,那么从这个开始


    可能是为了压缩体积,部分代码直接连成一坨了,可以在//www.bejson.com/重新格式化编码


    经过初步查找找到我们的熟悉的代码块,但是app-service.js发现好几处这个代码块,同时vendor.js、MxApiHelper.js都有类似代码块


    由于不懂JS,努力看了很久还是放弃了,app-service.js通过格式化校验已经近4w行,还没算这个js含有多个相同的代码块和其他js中相同的代码块,所以,我们决定弯道超车,通过微信开发小程序直接进行代码调试



    六、弯道超车


    安装最新版本微信web开发者工具,导入项目,AppID选择测试号即可


    编译提示报错,404得知这种情况去app.json把显示报错的全部去掉就行


    需要注意小程序走的是https,需要勾选不校验https,不然小程序跑不下去


    倒腾一会,小程序终于活了,虽然与正常界面差别很多,不过毕竟是逆向,部分资源可能不完整,所以也没纠结,能找到check就行



    由于没有加载图片资源,显示为纯js,排版有些怪异,随意点击一个图片验证码,就发现我们心心念的check了(连请求个图片都要check也是没谁了)

    然后我们修改可能是参数的代码块,比如width或者heigth参数,改成1、2、3这样排序,一是看这些参数是否影响check,二是看check到底在哪个代码块

    最后我们可以确定刚才图片请求check来自MxApiHelper.js,打开区区100行(虽然还是看不懂),但是祭出开发工具最大杀器--断点调试,由于不知道哪里断点,就直接把100行代码全部断点了


    可以看到点击获取图片后断点确实跳到这里,微信web开发工具调试最大的好处是你可以实时知道调试时各个参数的变量




    多步调试后,我们就可以看到即将要MD5的完整变量i参数(敏感数据以***显示):
    WandaXIAOCHENGXUGP4906B2***1550668891000/user/apply_verify_img_code.apiphone=0&json=true

    拆开来,可以看到是【sCode+cCode+4906B2***+ts+请求api接口+未知参数】,暂不确定_mi_是否参加check计算


    但是通过校验可加密出check参数,同时与调试产生的check相同,可知_mi_不在check的计算中


    其中4906B2***一直不知道哪里产生的,直到后几次调试看到这个,才知道这是key

    那么此时可以知道MD5前参数格式为【sCode+cCode+key+ts+请求api接口+未知参数】

    之所以成为未知参数,是因为没有特定规律,比如获取一个验证码,后面的参数如下
    /user/third_mobile_code.apithirdType=5&openId=undefined&mobile=0&json=true

    苦于不会js(其实是代码太多不想看),寻求于404和各大论坛,但回想我们刚说过的算法回顾,这种方式的基本原理就是将传递的数据加一些参数做MD5,并跟随数据包一起进行传递,在服务器端进行再次验证,将计算得到的MD5与收到的MD5进行比对,所以,这些参数肯定请求url中!


    通过各种尝试最后可以确定check格式为【sCode+cCode+key+ts+请求末尾完整url】

    七、最后挑战
    既然破解出通用check,一个成功的兑换除了票券编码,还有个密码,密码6位纯数字,最大也就是100w可能,没有风控接口可靠(连验证码都走check接口肯定冇问题的)多线程跑起一天不到的事。

    我们用一个可以用的票券编码进入输入密码界面,进行抓包,得到如下请求(去除非必须header,敏感数据以***显示)::


    GET /card/bind.api?card_no=***&password=***&json=true HTTP/1.1
    {"ver":"6.4.0","sCode":"Wanda","_mi_":"***","width":1280,"json":true,"cCode":"XIAOCHENGXUGP","check":"***","ts":1550668891000,"heigth":720,"appId":3}

    但是我们这次发现,get请求的card_no和password也有加密,而且card_no是64位,password是32位,再将密码也填成和卡号一致,发现两个都是相同的64位加密,明显不是MD5的算法了



    这就。。。比较尴尬了 ,由于微信开发工具拿到不太完整的源码,调试的小程序不能正常登录,所以也不能进入到测试密码界面来debug

    怎么办,咱们可以先找下怎么得到这两个值在哪些文件有。


    通过搜索我们可以知道在app-service.js和index.js两个地方都有这两个字段,

    然后我们再回想下刚才抓包每个api后面接的参数都是不一样,也就是我们一开始说的【未知参数】,但其实我们在app-service.js还是可以看出端倪



    比如api后面的code=xxxx,其实在app-service.js还是能找到的




    在api后面的couponNo=xxxx,也可以找到

    同理,我们也可以猜出,肯定有一段大概是这个样子的代码
    var a = {
    card_no: b
    password: c
    };


    找来找去,也就只有在index.js里面找出大概的字段,从代码可以知道是AES加密(不要问怎么知道的,上面写着AES)


    网上随意找了一个在线AES加密,下拉什么的可以看代码看出,加密模式是ECB,填充为pkcs7padding,数据块未知,偏移量未知,因为输出为纯小写字母和数字,没有base64标准的【==】标志,所以是hex,字符集未知


    等等,有个密码???是的,AES加密其实是需要密码,类似与加盐后的MD5

    最后实在没辙,在线请教大神,大神丢过来card_no上面两行的一串字
    n = t.default.clientKey.substr(0, 16);


    也就是这行,大神解释说密码是n,n是这个变量的0-16位,clientKey?好像有点眼熟?


    没错了,就是这个key前面的0-16位(key的二次复用)

    这时我们把密码填成123456,抓包得到请求的password值就变为d48a93104ebcb43196ec847f60ef2cb2,由于数据块和字符集那些未知,都撞一下


    结果居然成了!


    现在最后的问题是,怎么将这块加密转变为自己熟悉的语言


    心细的同学可能发现有个o一直存在,和我们原来调试MxApiHelper.js有点异曲同工之处


    当输出加密前check的i值时,调用r,其实r就是调用了md5这个文件,也就是普通的MD5,只是js这里没有自带需要调用


    同理,AES中的o也是如此,调用了aes/aes.js

    自己平时用shell比较多,但是也不清楚AES和shell怎么转换,网上也没有现成的例子,那咱们就调用吧,把aes.js上传到咱们的Linux服务器,在服务器yum安装一个node,再写个js调用,把o和n重新定义下变量,在404找个传参的例子贴进来就可以直接用了。


    调用就能使用了


    完成\~撒花\~收工\~


    最后通过生成的card_no和password再生成check,也能够正常校验,到这里就结束了,欢迎大家讨论。


    最后的最后

    最后的最后,我知道大家想问什么,其实都不说了,看图


    那么就...


    其实当时试错和风控的距离,大概就是这样的情况




    总结:破解的过程还是挺有趣的,尤其一些中间想到弯道超车的想法,当然本身不懂js的确是硬伤,也感谢大神强锅的指点和帮助,虽然免费电影票不行了,但是复联4咱们还是可以再多刷几次。



    PS:Discuz!的图片处理真心不好搞~~~


    ============================================华丽的文章结束线======================================================

    点评

    加精警告!前排占位!话说小程序说白了就是h5。。。相当于扒了衣服给你看。。。用微信小程序开发工具来调试,学到了。。  发表于 2019-5-27 20:59

    免费评分

    参与人数 79吾爱币 +85 热心值 +72 收起 理由
    海水很咸 + 1 + 1 我很赞同!
    伞兵 + 1 用心讨论,共获提升!
    yixi + 1 + 1 谢谢@Thanks!
    bingleiwl + 1 + 1 我很赞同!
    bricher9988 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
    nofailyoung + 1 + 1 666 还是有干货的
    xxaa + 1 + 1 我很赞同!
    misakira + 1 我很赞同!
    爱破解的阿卡丽 + 1 + 1 大佬厉害,小白菜学到了,虽然看不懂
    帅气的小莲 + 1 + 1 用心讨论,共获提升!
    逐风之雷霆之怒 + 1 + 1 看完了, 真厉害,佩服佩服。。
    zeng0918 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    呆到深处自然萌 + 1 + 1 优秀两个字奉上
    我们的回忆丶 + 1 + 1 谢谢@Thanks!
    wwr2128 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    Emil + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    dwock + 1 + 1 我很赞同!
    一点丶心动 + 1 + 1 谢谢@Thanks!
    南柯. + 1 鼓励转贴优秀软件安全工具和文档!
    poisonbcat + 1 + 1 谢谢@Thanks!
    crp123 + 1 + 1 我很赞同!
    随风丶而逝 + 1 + 1 谢谢@Thanks!
    renpeng009 + 1 + 1 66666666666666666
    demo886 + 1 用心讨论,共获提升!
    klidopic + 1 + 1 我很赞同!
    JaobsenYc + 1 + 1 用心讨论,共获提升!
    minglei526 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    yanguichao + 1 + 1 不明觉厉
    叫我吴彦祖 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    快意恩仇 + 1 + 1 热心回复!
    pinkly + 1 热心回复!
    繁微 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    UnderTaker丶s1o + 1 + 1 用心讨论,共获提升!
    tzxinqing + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
    LI2049 + 1 谢谢@Thanks!
    sushangyu + 1 + 1 谢谢@Thanks!
    dadao815 + 1 + 1 用心讨论,共获提升!
    s1158627362 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    无痕软件 + 3 + 1 谢谢@Thanks!
    wlxiaozhzh + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    毛新航 + 1 我很赞同!
    雪莱鸟 + 2 + 1 哈哈哈哈哈哈哈哈哈哈哈哈哈哈~~~
    simon21 + 1 + 1 我很赞同!
    椎名牧 + 1 + 1 666,学到了
    tomcath + 1 + 1 用心讨论,共获提升!
    小鬼cece + 1 + 1 热心回复!
    songdaiqiang + 1 + 1 我很赞同!
    agan123 + 1 + 1 字数多,牛逼~~
    2018666666 + 1 + 1 谢谢@Thanks!
    Thefirst1 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    iorilw + 1 + 1 我很赞同!
    shaoshuai110 + 1 优秀
    CrazyNut + 3 + 1 膜拜大佬
    金咏森 + 1 + 1 我很赞同!
    q342520 + 1 + 1 我很赞同!
    MartinLee + 1 + 1 能拿到小程序源码是真的好。。。啊
    kong1383068 + 1 用心讨论,共获提升!
    那一年的白洁啊 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    案首梦 + 1 + 1 给个评分!很棒!
    anysuy + 1 热心回复!
    丶咖啡猫丶 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
    zhangweiy + 1 + 1 用心讨论,共获提升!
    jskhuizi521 + 1 用心讨论,共获提升!
    Light紫星 + 1 + 1 我很赞同!
    huang2010 + 1 + 1 用心讨论,共获提升!
    kingering + 1 热心回复!
    涛之雨 + 3 + 1 用心讨论,共获提升!
    frankyxu + 1 + 1 优秀
    笙若 + 2 + 1 谢谢@Thanks!
    asaSKTY + 1 + 1 谢谢@Thanks!
    陈世界 + 1 + 1 热心回复!
    cwq6636862 + 1 用心讨论,共获提升!
    cst198926 + 1 + 1 为了排版+分
    xu15219367909 + 1 + 1 看见这么多字,给你加分
    蓝余 + 1 + 1 你字数多你厉害
    lkl2425572 + 1 + 1 热心回复!
    BY丶显示 + 2 + 1 谢谢@Thanks!
    冷小鑫 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    as1329 + 1 + 1 虽然暂时还看不到图片,,,但是看文字已经不明觉厉了......

    查看全部评分

    发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

    推荐
     楼主| xiaobiao 发表于 2019-5-27 21:51 |楼主
    l101 发表于 2019-5-27 21:43
    爬微信小程序源码,学到了

    其实算反编译
    推荐
    天使3号 发表于 2019-5-28 09:55
    4#
     楼主| xiaobiao 发表于 2019-5-27 15:28 |楼主
    图片有些异常,重新处理中

    点评

    图片盗链了,直接上传本地贴到文中吧。  详情 回复 发表于 2019-5-27 16:05
    5#
    超正义的小煌 发表于 2019-5-27 15:31
    楼主图片可以上传到本地呀
    6#
    wclself 发表于 2019-5-27 15:37
    牛逼牛逼
    7#
    Adolpho 发表于 2019-5-27 15:46
    感谢分享~~~~
    8#
     楼主| xiaobiao 发表于 2019-5-27 16:00 |楼主
    9#
    Moriartya 发表于 2019-5-27 16:02
    全程看不到图片,不过还是看完一遍了
    10#
     楼主| xiaobiao 发表于 2019-5-27 16:05 |楼主
    Moriartya 发表于 2019-5-27 16:02
    全程看不到图片,不过还是看完一遍了

    现在刷新能看到了吧
    11#
    Hmily 发表于 2019-5-27 16:05
    xiaobiao 发表于 2019-5-27 15:28
    图片有些异常,重新处理中

    图片盗链了,直接上传本地贴到文中吧。
    12#
    emousme 发表于 2019-5-27 16:14
    沒圖還是看完了
    您需要登录后才可以回帖 登录 | 注册[Register]

    本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

    快速回复 收藏帖子 返回列表 搜索

    RSS订阅|小黑屋|联系我们|北京pk10最稳办法 ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

    GMT+8, 2019-6-26 20:56

    Powered by Discuz!

    © 2001-2017 Comsenz Inc.

    快速回复 北京pk10最稳办法 返回列表
  • 新时代青年大学生 学习新思想 同上一堂课 2019-06-25
  • 去年中国汽车召回同比增长77% 连续4年刷新纪录 2019-06-14
  • 启新航 谋新篇——陕西省第十三次党大会——西部网、陕西头条客户端 2019-06-14
  • 回复@艾鸣1:你的老蚕暴露无遗,还好意思笑?这个帖子会成为你终身的耻辱! 2019-06-13
  • 风力发电机 藏身高楼中 2019-06-11
  • 隔代育儿,“晚年”该如何呵护童年 2019-06-11
  • 新西兰总理预产期临近 民众纷纷猜测宝宝体重性别 2019-06-10
  • 《国家人文历史》2018年第10期(总第203期)封面及目录 2019-06-10
  • 图解中央军委巡视组如何开展巡视工作? 2019-06-06
  • 糖尿病打胰岛素是好还是坏?知道答案的糖友都沉默了 2019-06-05
  • 美堪萨斯州一所法院外发生枪击案 致警察1死1伤 2019-06-01
  • 河北加强扬尘整治:全面推行“以克论净”考核标准 2019-06-01
  • 延安:“幸福院”+“一岗双助”实现助老扶贫双赢 2019-06-01
  • 中国武器亮相国外 铁甲雄狮大秀视觉盛宴 2019-05-29
  • 特朗普发推特相关新闻 2019-05-28
  • 彩运网秒速时时彩 浙江快乐彩12怎么玩 3d020期布衣独胆王南方双彩网 排列5号码最新规律 湖南彩票定制开发报价 河南快赢481最近200期 海上皇宫线上娱乐网站 极速十一选五微信计划 体彩36选7开奖结果 竞彩足球比分点球算吗 内蒙古快三走势图所有 山西十一选五任三遗漏号码 六合神童 河南泳坛夺金跨度形态走势 4场进球彩媒体预测注册