标题: WEB前端逆向随笔

创建: 2024-06-25 15:09
更新: 2024-06-27 08:35
链接: https://scz.617.cn/web/202406251509.txt

WEB前端逆向初学者的若干备忘。

不管用啥办法，得尽早设法F12调试，否则进展困难。

正常js不太可能用eval这类狗屎函数，Ctrl-Shift-F，全局搜索eval，命中的js都需
要手工检视。

有两类常见执行debugger的方案:

eval("debugger")
Function("debugger")()

Hook相应函数，若其参数中有debugger，做针对性处理。这只是简单示例，见招拆招。

--------------------------------------------------------------------------
Q:

F12 Network面板过滤Fetch/XHR，Type列有fetch、xhr两种，啥区别？

A:

XHR是老技术，Fetch是基于Promise的新技术，使用起来比XHR更简洁。
--------------------------------------------------------------------------
F12
  Network
    Fetch/XHR
      Initiator
        调用栈回溯
--------------------------------------------------------------------------

据此可定位

h.send(c)

--------------------------------------------------------------------------
F12
  Sources
    XHR/fetch Breakpoints
--------------------------------------------------------------------------

即XHR断点，据此可断在

h.send(c)

断下来时，可查看h，h是XMLHttpRequest对象，有不同的"event handler"，比如

--------------------------------------------------------------------------
onerror
onload
onloadend
onloadstart
onreadystatechange
ontimeout
--------------------------------------------------------------------------

不一定都设置有值，有值时对应"event handler"，展开后有FunctionLocation，据
此可定位"event handler"。一般onload、onreadystatechange用于处理响应。

--------------------------------------------------------------------------
Event Listener Breakpoints
  XHR
    error
    load
    loadend
    loadstart
    readystatechange
    timeout
--------------------------------------------------------------------------

即XHR事件断点，重点关注load、readystatechange，据此可断在

h.onreadystatechange

即使js混淆过，前述众方法仍适用，不受混淆干扰。

--------------------------------------------------------------------------
Event Listener Breakpoints
  Script
    Script First Statement
--------------------------------------------------------------------------

每个<script>标签会命中一次，每个eval()产生的VM也会命中一次。

--------------------------------------------------------------------------
Event Listener Breakpoints
  Load
    beforeunload
--------------------------------------------------------------------------

有些js检测到DevTools会关闭当前页面，上述断点会命中。

有些反DevTools的js，Network面板"Block request domain"、"Block request URL"
可对付。

js混淆是标配，国内"jsjiami.com.v6/v7"比较常见，这种较易反混淆，用Babel自实
现反混淆，多写几次就能通用化。过去看别人反混淆，觉得不太好理解，被迫实战几
次后，发现光看觉着难，实际动手就不难了。

https://babeljs.io/
https://astexplorer.net/

Babel，我是看两本书入门的:

《Python 3网络爬虫开发实战(第二版)_崔庆才》
《反爬虫AST原理与还原混淆实战_李岳阳》

--------------------------------------------------------------------------
eval(function(...) {
...
}('...'))
--------------------------------------------------------------------------

有些js被多种混淆层层包裹，包括但不限于多层eval()，在Network面板调用栈回溯
中只看到VM，找不到原始js所在。Ctrl-Shift-F，全局搜索特征字符串，无有效命中。
此时可尝试Hook eval，用includes检查参数中是否含有特征字符串，匹配时执行
debugger，调用栈回溯中有原始js。若不用Hook，可用"Script First Statement"断
点挨个找，还可结合二分法之类的思路。

js反混淆后可本地Overrides，不便本地Overrides时挂代理在线替换js。

可能多个js中都有反调试，挨个Overrides。有些看似功能性js暗藏混淆js片段，不
要凭名字忽略某个js，都过一遍，我吃过亏。

https://beautifier.io/

js会检查自身是否美化过，反调试手段之一，RegExp是其特征。发现自身美化过，一
般不会显式结束流程，而是设法吃内存，比如无限递归，直至触发OOM。若js中某行
代码未美化前会被执行，美化后设断无命中，其前面必有美化检测代码，找出来改掉。
这种美化检测在nodejs中表现得更明显，比如require完不成。

有些js会重定义function关键字，比如替换成var，导致无法定义函数，具体情况具
体处理。

有些js会检测窗口大小，可将DevTools Undock to separate window，即浮动起来。

混淆过的js随时间变化，比如每5分钟一变，这种若不反混淆后辅以静态分析，会很
痛苦。

F12调试，Network面板Name列有时会看到类似这种:

blob:https://...

blob的名字每次都不一样，是个uuid，其Type列是"text/javascript"，这种是从内
存动态加载的js，不走网络。假设Network看到这种blob，想找出其创建位置，可拦
截"URL.createObjectURL"，查看调用栈回溯。

blob名是uuid，每次不一样，无法对之使用Overrides技术。可直接对blob源做修改，
内嵌debugger语句。

Application面板中可以清Cookies等数据。

善用CyberChef，常用的有:

--------------------------------------------------------------------------
AES Decrypt
From Base64
From HTML Entity
MD5
To Hexdump
Unescape string
--------------------------------------------------------------------------

"Unescape string"通用，对\x、\u都处理，不必用"Unescape Unicode Characters"。
有些人还在找在线工具集，这是完全没听过CyberChef吧。

https://github.com/gchq/CyberChef

总的来说，只是禁F12、DevTools，意义不大。私有js混淆及时间戳敏感能增加逆向
难度，比wasm抗性大。目前这些wasm也就吓唬一下没搞过二进制逆向的，有些弱智
wasm居然未strip，符号信息赤裸裸地留在那儿，凭白便宜逆向人员。将来wasm自身
抗逆向工程是一定的，便如PE、ELF走过的路。wasm缺乏成熟调试工具也是个问题。