为了账号安全,请及时绑定邮箱和手机立即绑定

17track物流查询平台 last-event-id 参数逆向分析

标签:
Python

声明

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在公众号【K哥爬虫】联系作者立即删除!

逆向目标

目标:17xx 物流查询平台 last-event-id 参数逆向分析

网站:aHR0cHM6Ly93d3cuMTd0cmFjay5uZXQvemgtY24=

抓包分析

打开 F12 ,映入眼帘的就是我们熟悉的 debugger , 我们直接看它触发 debugger 的 js 文件:

又是经典的 ob 混淆, 这里直接借用 v佬 的插件快速还原,工具地址如下:

Github 仓库:https://github.com/cilame/v_jstools

在线分析工具:https://astexplorer.net

看了一下也不需要我们做另外的预处理操作了,只需要把代码 ob 混淆的部分放入工具内就可以还原了:

还原后,过 debugger 就容易多了,只需要将下面这几个关于代码检测的函数都删除掉,都是些无关的代码,检测代码格式化 、debugger 等:

然后再通过工具替换代码,这边选用 ReRes 工具进行替换,写好规则保存勾选就好了:

我们就可以正常抓包分析代码了,目标参数:

通过搜索 last-event-id 就可以定位到,其就在我们解完混淆的文件里:

解完混淆后代码就清晰可见,缺啥扣啥,一步步来就好了,代码也不多,可见 AST 解混淆的重要性。

注意点:

  • _0x308754 = YQ.configs.md5 来自首页 html 中,通过搜索可以确定:

  • 请求需要携带 cookie 值 _yq_bid 并且要和生成 last-event-id 中的 _yq_bid 一致。

附上完整的 JS 代码:

var _0x199099 = [];
var _0x19d69d = “”;
var _0x308754 = “17”;
var _0x58ecad = 0;
var _0x269b49 = “”;
var _0x288444 = 5;
function _0x5879b4(_0x56b807, _0x3603af) {
var _0x2f5b4a = 1315423911 ^ _0x3603af << 16;
var _0x4844e9;
var _0x4d42c4;
for (_0x4844e9 = _0x56b807.length - 1; _0x4844e9 >= 0; _0x4844e9–) {
_0x4d42c4 = _0x56b807.charCodeAt(_0x4844e9);
_0x2f5b4a ^= (_0x2f5b4a << 5) + _0x4d42c4 + (_0x2f5b4a >> 2);
}
return _0x4243f2(4),
Math.abs(_0x2f5b4a & 2147483647);
};

function _0x4243f2(_0x8916b) {
_0x199099[3] = _0x8916b;
}


function _0x1d212e(_0x3ffdba) {
if (!_0x3ffdba)
return 0;
var _0x9920fa = 5381;
var _0x55570f = _0x3ffdba.length;
while (_0x55570f) {
_0x9920fa = _0x9920fa * 33 ^ _0x3ffdba.charCodeAt(–_0x55570f);
}
return _0x9920fa >>> 0;
};

function _0x39b7cc(_0x18dcad) {
return _0x18dcad.split("").reverse().join("");
};


function _0x402770(_0x1e4f12) {
var _0x3bcbe3 = “”;
for (var _0x5f5a6c = 0; _0x5f5a6c < _0x1e4f12.length; _0x5f5a6c++) {
if (_0x3bcbe3 == “”)
_0x3bcbe3 = _0x1e4f12.charCodeAt(_0x5f5a6c).toString(16);
else
_0x3bcbe3 += _0x1e4f12.charCodeAt(_0x5f5a6c).toString(16);
}
return _0x3bcbe3;
};

;function _0x4293c9(_0x5b936d) {
function _0x44c5b9(_0x185712, _0x240a39, _0xc135ae, _0x4da978, _0x511583) {
return _0x56f850(_0x185712 - 152, _0x240a39 - 498, _0xc135ae - 247, _0x4da978 - -820, _0x240a39);
}
var _0x147e74 = _0x5b936d;
while (_0x147e74.length < 8) {
_0x147e74 = “0” + _0x147e74;
}
return _0x147e74;
}

;function _0x59789d(_0x20b526, _0x117056, _0x2c2317) {
var _0x26536c = _0x5879b4(_0x20b526, _0x117056);
if (_0x2c2317) {
_0x199099[5] = _0x4293c9(_0x26536c.toString(16));
return;
}
_0x199099[4] = _0x4293c9(_0x26536c.toString(16));
};

function _0x187331(_0xcae6a6) {
var _0x59eb35 = _0xcae6a6;

var _0x46a854 = Math.random();
_0x59eb35 = Math.round(_0x46a854 * _0xcae6a6);
_0x288444 = _0x288444 * _0x288444;

_0x199099[1] = _0x59eb35.toString(16);
_0x199099[2] = _0x59eb35.toString(16).length;
return _0x59eb35;
};

function createGUID(e, t) {
var o = (new Date).getTime();
return (e || “G-xxxxxxxxxxxxxxxx”).replace(t || /[xy]/g, function(e) {
var t = (o + 16 * Math.random()) % 16 | 0;
return (“x” == e ? t : 7 & t | 8).toString(16).toUpperCase()
})
}




function get_last_event_id(_0x19d69d, YQ_md5){
_yq_bid = createGUID();
_0x4566f3 = undefined;
_0x59789d(_0x19d69d, _0x19d69d.length, !![])
_0x6de72e = _0x187331(43)


var _0x5d4d80 = “yq-”;
_0x58ecad = _0x6de72e;

// 指纹信息 24: screen.colorDepth
cancas_fp = ‘24\r\nzh-CN\r\n-480\r\n1067x1707\r\n‘

var _0x2b62a6 = _0x1d212e(cancas_fp);
var _0x5d74a6 = _0x1d212e(_0x4566f3);

if (_0x6de72e == 0)
_0x5d4d80 += “random”;
else {
_0x5d4d80 = “dropdown-menu-footer yq-user-footer clearfix”; // 目测可以写死或者随机取
}
_0x269b49 = _yq_bid;


_0x5d4d80 = _0x269b49;
(_0x58ecad = _0x58ecad * 50,
_0x5d4d80 += “:” + false + “:” + _0x2b62a6 + “:” + _0x6de72e + “:” + _0x58ecad);
_0x5d4d80 += “/” + Date.now().toString(16) + “/11/” + true + “/” + new Date().getTimezoneOffset().toString() + “/” + _0x2b62a6 + “/” + YQ_md5 + “/” + _0x5d74a6;
_0x59789d(_0x5d4d80, _0x6de72e);
_0x5d4d80 = _0x402770(_0x39b7cc(_0x5d4d80));
_0x199099[0] = _0x5d4d80;
return [_0x199099.join(""), _yq_bid]

};

console.log(get_last_event_id(’{“data”:[{“num”:“LZ025387152CN”,“fc”:0,“sc”:0}],“guid”:"",“timeZoneOffset”:-480}’, ‘22c342b’));

结果验证

点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消