AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

一处JS反调试引发的思考

2023-02-13 206
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 一处JS反调试引发的思考

起因

白帽子们挖Web漏洞时,JavaScript信息是至关重要的一环

从JS中可以得到隐藏接口等信息,然后尝试挖掘越权,SQL注入和上传等洞

笔者刚入门时候曾用这种办法挖到了一些CNVD,算是收获颇丰


回到主题,审计JS能够获得重要信息,然而并不是所有JS都能直接拿来看

很多情况下白帽子们将会面临混淆后的JS,这时候就需要尝试逆向调试分析了


最近在研究JS逆向相关的事情,遇到了一处比较有趣的代码

也许对于大佬来说很简单,不过我不太懂JS,第一次遇到感觉挺有趣的


起因是发现调试该JS时候会发现卡死,但目标网站在正常使用该JS脚本


分析

做全局JavaScript做了一定的分析后,最终跟踪到代码如下

注意到其中有类似正则的地方,所有第一印象这里可能是业务逻辑代码,分析后发现并不是

var _0x578a10 = _0x2ba9['nKWcry'][_0x101b8f];
if (_0x578a10 === undefined) {
   var _0x4b1809 = function (_0x3b1d14) {
       this['YlKlnG'] = _0x3b1d14;
       this['NsTJKl'] = [0x1, 0x0, 0x0];
       this['HILIkx'] = function () {
           return 'newState';
      };
       this['GGmyeM'] = '\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*';
       this['VUtdVO'] = '[\x27|\x22].+[\x27|\x22];?\x20*}';
  };
   _0x4b1809['prototype']['OsLPar'] = function () {
       var _0x1403ab = new RegExp(this['GGmyeM'] + this['VUtdVO']);
       var _0x3fadf0 = _0x1403ab['test'](this['HILIkx']['toString']()) ? --this['NsTJKl'][0x1] : --this['NsTJKl'][0x0];
       return this['anWLTR'](_0x3fadf0);
  };
   _0x4b1809['prototype']['anWLTR'] = function (_0x26db32) {
       if (!Boolean(~_0x26db32)) {
           return _0x26db32;
      }
       return this['xTDWoN'](this['YlKlnG']);
  };
   _0x4b1809['prototype']['xTDWoN'] = function (_0x597ca7) {
       for (var _0x3e27c4 = 0x0, _0x192434 = this['NsTJKl']['length']; _0x3e27c4 < _0x192434; _0x3e27c4++) {
           this['NsTJKl']['push'](Math['round'](Math['random']()));
           _0x192434 = this['NsTJKl']['length'];
      }
       return _0x597ca7(this['NsTJKl'][0x0]);
  };
   new _0x4b1809(_0x2ba9)['OsLPar']();
   _0x27941a = _0x2ba9['dzoqWA'](_0x27941a);
   _0x2ba9['nKWcry'][_0x101b8f] = _0x27941a;
} else {
   _0x27941a = _0x578a10;
}
return _0x27941a;


在一开始定义了大函数_0x4b1809

最终这样调用:new _0x4b1809(_0x2ba9)['OsLPar']();

跟入OsLPar函数

function () {
       var _0x1403ab = new RegExp(this['GGmyeM'] + this['VUtdVO']);
       var _0x3fadf0 = _0x1403ab['test'](this['HILIkx']['toString']()) ? --this['NsTJKl'][0x1] : --this['NsTJKl'][0x0];
       return this['anWLTR'](_0x3fadf0);
};


_0x1403ab拼出了一个正则:\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*[\x27|\x22].+[\x27|\x22];?\x20*}

化简后为其实就可以看懂了:\w+ *\(\) *{\w+ *['|"].+['|"];? *}

不难猜出,该正则匹配的是:aaa () {aaa'aaa';}这样的字符串,看上去似乎是一个函数调用


照着写一段,验证猜测

var a = new RegExp("\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*[\x27|\x22].+[\x27|\x22];?\x20*}");
var b = a.test("function a () {return 'ok';}");
var c = a.test("function a () {return 'ok'; }");
var d = a.test("function a () { return 'ok';}");
console.log(b);// true
console.log(c);// true
console.log(d);// false


得出结论,函数调用的最后分号后可以跟多个空格,但左大括号之后必须跟字符串

这个正则正是导致我卡死的反调试核心代码


回到代码中_0x1403ab['test']等价于上文代码的a.test

var _0x3fadf0 = _0x1403ab['test'](this['HILIkx']['toString']()) ? --this['NsTJKl'][0x1] : --this['NsTJKl'][0x0];
return this['anWLTR'](_0x3fadf0);


函数参数为this['HILIkx']['toString']()

这个参数是正则需要匹配的目标,跟入HILIkx函数发现只是简单的return字符串

this['HILIkx'] = function () {
   return 'newState';
};


注意最后还有一个toString代码,这里的toString不同于Java的方法

这里直接返回的是纯字符串"function () {\n    return'newState';\n};"

显然可以得出结论,无法匹配到正则\w+ *\(\) *{\w+ *['|"].+['|"];? *}因此返回false

继续看后面的表达式,如果为true会从NsTJKl数组中移除1否则移除0,暂不分析这里的用途

this['NsTJKl'] = [0x1, 0x0, 0x0];


函数的return会跟入anWLTR函数,传入的_0x26db32一定是false

其中的~是非运算,所以代码最终会进入this['xTDWoN'](this['YlKlnG'])

_0x4b1809['prototype']['anWLTR'] = function (_0x26db32) {
   if (!Boolean(~_0x26db32)) {
       return _0x26db32;
  }
   return this['xTDWoN'](this['YlKlnG']);
};


跟入xTDWoN函数,先不考虑传入的参数,因为参数只会影响到返回值

_0x4b1809['prototype']['xTDWoN'] = function (_0x597ca7) {
   for (var _0x3e27c4 = 0x0, _0x192434 = this['NsTJKl']['length']; _0x3e27c4 < _0x192434; _0x3e27c4++) {
       this['NsTJKl']['push'](Math['round'](Math['random']()));
       _0x192434 = this['NsTJKl']['length'];
  }
   return _0x597ca7(this['NsTJKl'][0x0]);
};


重点关注for循环内容,次数数组this['NsTJKl']['length']长度为2大于0,所以成功进入for循环

将for循环化简如下,发现for循环内会往数组NsTJKl中push一个随机数

然后将数组长度赋值给length,本来进入for循环的条件i是满足的,继续加入随机数导致for循环永远满足,也就是死循环

for (var i = 0, length = this['NsTJKl']['length']; i < length; i++) {
   this['NsTJKl']['push'](Math['round'](Math['random']()));
   length = this['NsTJKl']['length'];
}


这里找到了卡死的原因,本质是一处的正则没有匹配到


问题来了,为什么目标网站的正则可以匹配到,但我本地无法匹配到

原因不难,目标网站的JS是压缩后的代码

this['HILIkx'] = function () {return 'newState';};


逆向者在本地尝试做破解的时候,会将代码格式化(无论chrome还是vscode里都会很容易地进行格式化)

格式化后的代码不满足条件,所以会进入死循环


绕过方式其实也简单,还原回压缩格式即可

......
var _0x4b1809 = function (_0x3b1d14) {
   this['YlKlnG'] = _0x3b1d14;
   this['NsTJKl'] = [0x1, 0x0, 0x0];
   this['HILIkx'] = function () {return 'newState';};
   this['GGmyeM'] = '\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*';
   this['VUtdVO'] = '[\x27|\x22].+[\x27|\x22];?\x20*}';
};
......


实现

使用node的babel库

npm install @babel/parser


上手写代码

const parser = require("@babel/parser");
const traverse = require("@babel/traverse").default;
const t = require("@babel/types");
const generator = require("@babel/generator").default;
const fs = require("fs");
const jscode = fs.readFileSync("../demo.js", {
   encoding: "utf-8"
});
let ast = parser.parse(jscode);
// 正则初始化
var targetRegex = "\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*[\x27|\x22].+[\x27|\x22];?\x20*}";
var initValue = t.newExpression(t.identifier("RegExp"),[
   t.stringLiteral(targetRegex),
]);
var regDec = t.variableDeclaration("var", [t.variableDeclarator(t.identifier("_4ra1n"), initValue)]);
// 用于验证的函数
var tempBlock = t.blockStatement([t.returnStatement(t.stringLiteral("_4ra3n"))]);
var funcExpr = t.functionExpression(t.identifier("_4ra2n"),[],tempBlock);
var funcDec = t.variableDeclaration("var",[t.variableDeclarator(t.identifier("_4ra4n"), funcExpr)]);
// 正则test调用
var tempMem = t.memberExpression(t.identifier("_4ra1n"),t.stringLiteral("test"),true);
var callExpr =  t.callExpression(tempMem,[t.identifier("_4ra4n")]);
var callDec = t.variableDeclaration("var",[t.variableDeclarator(t.identifier("_4ra5n"),callExpr)]);
// 最终if判断和死循环模拟
var tempCallExpr = t.callExpression(t.identifier("Boolean"),[t.identifier("_4ra5n")]);
var tempForBlock = t.blockStatement([t.forStatement(null,null,null,t.blockStatement([]))]);
var unaryExpr = t.unaryExpression("!",tempCallExpr);
var ifState = t.ifStatement(unaryExpr,tempForBlock);
console.log("start");
// 遍历语法树添加
traverse(ast,{
   FunctionDeclaration(path) {
       let blockStatement = path.node.body;
       blockStatement.body.unshift(ifState);
       blockStatement.body.unshift(callDec);
       blockStatement.body.unshift(regDec);
       blockStatement.body.unshift(funcDec);
       path.get("body").replaceWith(blockStatement);
  }
});
let code = generator(ast).code;
fs.writeFile("./demo-new.js", code, (err) => { });

给出一个demo.js文件,简单的一个两数相加函数

function add(a, b) {
   var c = a + b;
   return c;
}


经过笔者自制工具处理后代码如下,给末尾添加调用语句add(1,2);执行该JS文件发现卡死

function add(a, b) {
 var _4ra4n = function _4ra2n() {
   return "_4ra3n";
};
 var _4ra1n = new RegExp("\\w+ *\\(\\) *{\\w+ *['|\"].+['|\"];? *}");
 var _4ra5n = _4ra1n["test"](_4ra4n);
 if (!Boolean(_4ra5n)) {
   for (;;) {}
}
 var c = a + b;
 return c;
}
add(1,2);


使用babel库的压缩代码功能

let code = generator(ast, {
   retainLines: false,
   comments: false,
   compact: true
}).code;


得到如下代码,执行代码后发现没问题

function add(a,b){var _4ra4n=function _4ra2n(){return"_4ra3n";};var _4ra1n=new RegExp("\\w+ *\\(\\) *{\\w+ *['|\"].+['|\"];? *}");var _4ra5n=_4ra1n["test"](_4ra4n);if(!Boolean(_4ra5n)){for(;;){}}var c=a+b;return c;}
文章标签:
Java
JavaScript
前端开发
SQL
安全
Web App开发
关键词:
JavaScript调试
亿人安全
目录
相关文章
游客fz577umxdejsg
|
5月前
|
JavaScript 前端开发 开发者
Chrom devtools JS调试、性能优化与必备功能
Chrom devtools JS调试、性能优化与必备功能
游客fz577umxdejsg
83 4
cqtianxin1
|
4月前
|
Web App开发 JavaScript 前端开发
JavaScript 调试
JavaScript 调试
cqtianxin1
25 0
toddli
|
5月前
|
存储 JSON 监控
JavaScript 逆向基础篇:浏览器调试与 Hook 技术
JavaScript 逆向基础篇:浏览器调试与 Hook 技术
toddli
473 1
尹正杰
|
4月前
|
Web App开发 JavaScript 前端开发
JavaScript基础知识-使用Firefox进行代码的调试(Debug)
关于如何使用Firefox浏览器进行JavaScript代码调试的基础知识介绍。
尹正杰
107 0
土木林森
|
5月前
|
JavaScript 开发者 UED
Vue.js 错误处理与调试:跟上技术潮流,摆脱开发困扰,成为代码大神不是梦!
【8月更文挑战第30天】在 Vue.js 开发中,错误处理与调试至关重要。本文将对比 Vue 的全局错误捕获机制 `Vue.config.errorHandler` 和组件内 `watch` 监听数据变化的方式,并介绍 Vue 开发者工具、控制台打印 (`console.log`) 以及代码断点 (`debugger`) 等调试方法。此外,还将探讨如何通过自定义错误页面提升用户体验。通过这些技巧的对比,帮助开发者灵活选择适合的策略,确保应用稳定性和开发效率。
土木林森
79 0
路边两盏灯
|
5月前
|
JavaScript 前端开发 C++
【Azure Function】调试 VS Code Javascript Function本地不能运行,报错 Value cannot be null. (Parameter 'provider')问题
【Azure Function】调试 VS Code Javascript Function本地不能运行,报错 Value cannot be null. (Parameter 'provider')问题
路边两盏灯
40 0
。思索
|
5月前
|
Web App开发 JavaScript 前端开发
IDEA——使用JavaScript Debugger调试代码
IDEA——使用JavaScript Debugger调试代码
。思索
42 0
陈佳烨
|
7月前
|
JavaScript 前端开发 开发者
介绍如何在WebStorm中调试JavaScript文件
介绍如何在WebStorm中调试JavaScript文件
陈佳烨
239 1
朝阳39
|
6月前
|
JavaScript
js 调试 —— 断点(含进入函数、条件断点等)
js 调试 —— 断点(含进入函数、条件断点等)
朝阳39
261 0
朝阳39
|
6月前
|
Web App开发 JavaScript 前端开发
js 调试—— 【控制台】debugger语句 、 命令行API
js 调试—— 【控制台】debugger语句 、 命令行API
朝阳39
304 0

热门文章

最新文章

  • 1
    Midscene.js:AI 驱动的 UI 自动化测试框架,支持自然语言交互,生成可视化报告
  • 2
    一个好看的小时钟html+js+css源码
  • 3
    如何使用Selenium处理JavaScript动态加载的内容?
  • 4
    带方向感知功能的js图片遮罩层插件
  • 5
    折腾之王:JavaScript之父Brave浏览器与BAT的诞生
  • 6
    Next.js 实战 (七):浅谈 Layout 布局的嵌套设计模式
  • 7
    页面滚动触发css3动画js插件
  • 8
    npm、cnpm 和 pnpm 是三种常用的 Node.js 包管理工具
  • 9
    捕获键盘输入和输入组合键的js库hotkeys
  • 10
    Node.js导入MongoDB具体操作指南
  • 1
    【网络安全 | 信息收集】JS文件信息收集工具LinkFinder安装使用教程
    432
  • 2
    JavaScript闭包允许内部函数访问并保留外部函数的变量,即使外部函数执行结束
    64
  • 3
    js设计模式-观察者模式与发布/订阅模式
    89
  • 4
    js设计模式-策略模式与代理模式的应用
    83
  • 5
    深入理解JavaScript中的闭包机制
    68
  • 6
    使用Vue.js构建交互式前端的技术探索
    100
  • 7
    使用Node.js构建实时聊天应用的技术指南
    153
  • 8
    深入理解JavaScript中的事件循环机制
    100
  • 9
    【MongoDB 专栏】MongoDB 的 JavaScript 引擎与脚本执行
    136
  • 10
    JavaScript 数组方法概览
    44

    • 相关课程

    更多
  • JavaScript入门与实战
  • JavaScript 自学手册文档教程

    • 相关电子书

    更多
  • JavaScript异步编程
  • Delivering Javascript to World
  • 编程语言如何演化-以JS的private为例

    • 相关实验场景

    更多
  • Html5和Webpack2:Webpack5打包JS和样式表
  • 前端开发基础6:Node.js和LESS预编译工具
    • 下一篇
    DataWorks智能交互式数据开发与分析之旅