Loading

【验证码逆向专栏】vaptcha 手势验证码逆向分析

7ANh4j.png

逆向目标

目标:vaptcha 手势验证码

网站:aHR0cHM6Ly93d3cudmFwdGNoYS5jb20vI2RlbW8=

抓包分析

抓包分析,首先是 vaptcha-demo 接口:

7A3bDZ.png

这个接口返回了验证码类型,其中 embed 的值就是嵌入式点击验证码,其他三个分别对应三种类型。

再看下面这个接口:

7A3gfU.png

目前猜测是请求或配置某些静态资源。

再往下看会看到几个 config 接口:

7A38lq.png

然后是图片接口 get:

7A3GAs.png

  • vi:唯一标识符,类似于 uuid,可以写死;
  • k:第二个 config 接口返回;
  • origin_url 可以写死;
  • rm:可以写死;
  • en:加密生成。

返回的数据包含图片链接等信息:

7A3xJa.png

返回的图片是乱码的,还原步骤后文分析:

7A3AT7.png

接下来是验证接口 validate,参数加密方式大差不大:

7A3WYV.png

  • vi:标识符;
  • k:第二个config 接口返回;
  • origin_url:写死;
  • rm:写死;
  • en :加密生成(包含轨迹)。

返回下面内容,代表验证通过:

7A3VgI.png

逆向分析

图片还原

直接下 canvas 断点,我们在下面的这个地方向上跟栈:

7A3cdL.png

跟到这里,会发现加载了几次图像,当我们刷新图片的时候,会看到图片不断地切换。其实就是通过固定数组不断对图像进行操作,然后覆盖:

7A3auJ.png

但是我们最终还原的图像结果不在这,因为最后一次循环执行时,没有获取 _0x3af163 数组的最后一个值,而是跳到了其他地方。我们下断点调试,可以找到最终生成地方:

7A3DOG.png

这个解密函数 Decrypt 和参数的生成也很简单,算法如下:

function _0x5845e4(_0x33bc25, _0xcc5af2) {
        var _0x1b7e7e = '';
        _0x1b7e7e = (parseInt(_0x33bc25) - _0xcc5af2)['toString']();
        if (_0x1b7e7e['length'] < 0xa) {
            _0x1b7e7e = '0' + _0x1b7e7e;
        }
        return _0x1b7e7e;
    }

参数是由 canvas 指纹 + hashComponents + 固定字符串 + work2 接口值返回:

_0x3ac810 = _0x3b0a39 + _0x53e0aa + parseInt(_0x327a80['secretC']) + _0x33539f;

_0x3b0a39

7A3OiB.png

_0x53e0aa

7A3Ult.png

_0x33539f

7A31Vb.png

传入图片 url 和这个顺序即可还原图片:

7A3PJe.png

7A3YTP.png

还原代码可以 GPT 一下,下面给出的还原代码,仅供参考,感兴趣的小伙伴可以自行修改:

// 用于处理图像的函数
const {createCanvas, loadImage} = require('canvas'); // 导入 canvas 模块
const fetch = require('node-fetch');  // 安装2版本

// 用于处理图像的函数
function huany(order,src) {
    // 创建一个 canvas
    const wid = 290;
    const hei = 167;
    const canvas = createCanvas(wid, hei); // 使用 canvas 库创建 canvas 对象
    const ctx = canvas.getContext('2d');  // 获取绘图上下文

    const can_width = Math.round(wid / 5);
    const can_height = Math.round(hei / 2);

    // 使用 node-fetch 下载图像
    const imageUrl = src;

    // 加载图像
    fetch(imageUrl)
        .then(response => response.buffer()) // 将响应转换为二进制数据
        .then(imageBuffer => loadImage(imageBuffer)) // 使用 canvas 的 loadImage 函数加载图像
        .then(image => {
            console.log("图片加载成功!");

            const width = Math.round(400 / 5);
            const height = Math.round(230 / 2);

            // 确保 order 是一个有效的字符串
            if (order.length !== 10) return;

            // 按照顺序处理图像
            for (let i = 0; i < 10; i++) {  // 假设 shunxu[0] 中只有 10 个字符
                const j = i < 5 ? i : i - 5;
                let cha_value = parseInt(order.charAt(i));

                if (cha_value < 5) {
                    // 处理第一部分的图像绘制
                    ctx.drawImage(image, j * width, i < 5 ? 0 : height, width, height, cha_value * can_width, 0, can_width, can_height);
                } else {
                    cha_value = cha_value - 5;
                    // 处理第二部分的图像绘制
                    ctx.drawImage(image, j * width, i < 5 ? 0 : height, width, height, cha_value * can_width, can_height, can_width, can_height);
                }
            }

            // 将生成的图像保存为 PNG 文件
            const fs = require('fs');
            const out = fs.createWriteStream('image.png');
            const stream = canvas.createPNGStream();
            stream.pipe(out);
            out.on('finish', () => console.log('图像已保存为 image.png'));
        })
        .catch(error => {
            console.error("图片加载失败!", error);
        });
}

// 执行函数,使用指定的顺序
huany("1523906784","https://img-cn.vaptcha.net/vaptcha/9d64bb2c0c2b494c9881f40250caf252.jpg");

k 参数

直接搜索这个值,在第二个 config 接口:

7A3rhw.png

en 参数

因为获取图片和验证的加密内容基本一致,且都在 vm 文件里面,这里就一同分析。搜索 en 值或者 xhr 断点都可以找到,这里直接搜索即可:

7A3tY6.png

val 的 en 值:

7A3zdO.png

可以看到是一个控制流语句,en 的值都是由 encryFunc 加密生成,接受两个参数,_0x3583f5['selectFrom'](0x3, 0xf)

_0x5d0500,而 _0x5d0500 的值由很多值相加生成,这里我们逐一分析,这里以 get 接口为例:

_0x5d0500 = _0x42d77b + _0x34957f + _0x30ee8c + _0x184fa6 + _0x1cbeb7 + _0x38e801 + _0xe67885 + _0x30b74a + _0x183d7b + _0x3c7b59 + _0x28aaca['globalMd5']['slice'](0x0, 0x5);

_0x42d77b_0x40ed1f['GenerateFP']() 生成,进入这个函数,可以看到,经过了canvas 指纹和 crc32 校验:

7A3CwQ.png

_0x34957f 是上一个异步生成的值返回,我们进入 GenerateFP 这个函数:

7A3JOf.png

可以看到是一段 promise 代码,遇到这种,可以直接到所有返回值和成功回调的地方下断点:

7A3Xic.png

慢慢分析,会发现最后返回的值是 _0x22dd67 _0x22dd67 又是通过 hashComponents 方法对 _0x26e045 进行加密生成:

7A3n73.png

可以看到 _0x26e045 里面全是环境,这里先把环境写死,再把 _0x42bf43['hashComponents'] 函数扣下来即可。

_0x22dd67 值为 true 时,会直接返回该值,反之切割 8 位后返回。

knock 参数的值都是第二个 config 接口返回的,下面就不多强调了:

// canvas 指纹
_0x30ee8c = _0x40ed1f['GenerateFP'](_0x1f1e69['knock']['substr'](-0x5, 0x5))  

这里的 md5 都是标准的加密算法,直接引库或者扣都行:

const crypto = require('crypto');
crypto.createHash('md5').update("值").digest('hex')
// 异步函数
_0x184fa6 =  _0x16d82b['GenerateFP'](_0x1f1e69['knock']['substr'](-0x5, 0x5))
_0x59bba5 = 'adszzSECRETB'  // 固定值
_0x1cbeb7 = _0x36a17d['hex_md5'](_0x30ee8c + _0x184fa6 + _0x59bba5)['slice'](0x0, 0x5);

此处在 get 接口时,ha 的值为空,走第一个逻辑;在 val 接口时,ha 有值,走第二个逻辑:

_0x38e801 = _0x28aaca['ha'] === '' ? '0123456789qwe' : _0x28aaca['ha'] + _0x40ed1f['GenerateFP'](_0x28aaca['ha']);  

这个地方 get 接口是固定的,val 接口赋值不同:

_0xe67885 = _0x376c54 =  '0123456789qwe';

从 localStorage 里面取值,经过测试,这里的值可以写死:

_0x21a42e = _0x1f1e69['dfu']
_0x4fbf9b = _0x14e656 ? localStorage['getItem']('vaptchanu') ? localStorage['getItem']('vaptchanu')['split'](',')[0x0] : _0x28aaca['staticDfu'] : _0x28aaca['staticDfu'];
_0x30b74a = _0x1cb1c6['compareDfu'](_0x21a42e, _0x4fbf9b);
_0x183d7b =  _0x14e656 ? localStorage['getItem']('vaptchaut') ? localStorage['getItem']('vaptchaut') : _0x28aaca['staticDfuTrust'] ? _0x28aaca['staticDfuTrust'] : '0123456789qwertyuiopasdf87654321' : _0x28aaca['staticDfuTrust'] ? _0x28aaca['staticDfuTrust'] : '0123456789qwertyuiopasdf87654321';

通过对 ua、location 的 host 以及一段固定值,进行 md5 算法进行加密。另外还有个 globalMd5 值,get 接口生成的地方在这里:

 _0x36a17d['hex_md5'](_0x280f74)['slice'](0x0, 0x5);

参数是由第二个 config 接口的返回值,进行 md5 加密后得到的:

7A3IVj.png

7A3MX5.png

validate 接口值生成的位置,如下图所示:

7A3imm.png

其中 data 的值是由 get 接口返回的:

7A3sh4.png

7A32rh.png

另外上面的 globalMd5 中的 splicingObj 函数也不一样,扣的时候注意点就行。

最后验证 val 接口 en 加密多了以下这些参数:

7A36e9.png

7ANSCq.png

  • v: 手势滑动轨迹;
  • vi:类似于 uuid,这里代表手势;
  • k:第二个 config 接口 ;
  • dt :滑动时间;
  • ch:图片高度;
  • cw:图片宽度。

轨迹转化代码:

var _0x319301 = {
    '_sample': 'abcdefgh234lmntuwxyz',
    '_convertScale': function (_0x1acba4) {
        _0x1acba4 = Math['floor'](_0x1acba4);
        var _0x395d5e = this['_sample'][_0x1acba4 % 0x14];
        _0x1acba4 = Math['floor'](_0x1acba4 / 0x14);
        var _0x2de1a1 = this['_sample'][_0x1acba4 % 0x14];
        var _0x5461c6 = Math['floor'](_0x1acba4 / 0x14);
        _0x5461c6 = _0x5461c6 ? this['_sample'][_0x5461c6] : '_';
        return ''['concat'](_0x5461c6 || '_')['concat'](_0x2de1a1 || '_')['concat'](_0x395d5e || '_');
    },
    'assemblyCoordData': function (_0x4ae77e) {
        var _0x2e15c5 = [];
        var _0x31480a = [];
        var _0x457f77 = [];
        for (var _0x72bd9d = 0x0, _0x5abd1e = _0x4ae77e; _0x72bd9d < _0x5abd1e['length']; _0x72bd9d++) {
            var _0x171511 = _0x5abd1e[_0x72bd9d];
            _0x2e15c5['push'](this['_convertScale'](_0x171511['x']));
            _0x31480a['push'](this['_convertScale'](_0x171511['y']));
            _0x457f77['push'](this['_convertScale'](_0x171511['time']));
        }
        return _0x2e15c5['join']('') + _0x31480a['join']('') + _0x457f77['join']('');
    }
};
var _0x47570b = [{x: 188, y: 87, time: 14.899999976158142}];
var _0x390710 = _0x319301['assemblyCoordData'](_0x47570b);
console.log(_0x390710);

轨迹处理可以自己训练或者对接平台,手势验证码的训练方法可以参考 K 哥往期的文章:

https://mp.weixin.qq.com/s/RJ-oab76HETV2aZBMpleOg (手势验证码模型训练)

注意点

en 、knock 值错误,验证接口返回:

{"code":"0101","msg":""}

验证时间过长:

{"code":"0109","msg":""}

轨迹值不对,或同一张图片失败过多:

{"code":"0104","msg":""}

_0x40ed1f['GenerateFP']() 有个坑,当用了 node 的 canvas 库生成这个值,就会报错:

{"code": "0103","data": {"u":"","ut":"","token":"000000000000000000000","rate":0},"msg":""}

访问频率过快:

{"code":"0105","msg":""}

另外,调试多了就会被风控,图片也会变灰,遇到这种情况,换个浏览器就行:

7A3ZwY.png

相关算法源码会放到星球里面,仅供学习交流,有需要的小伙伴自取~

结果验证

7A3dSH.png

posted @ 2024-11-18 16:27  K哥爬虫  阅读(98)  评论(0编辑  收藏  举报