某团某点评mtgsig1.2 H5guard加密算法剖析
仅供研究学习使用。
今天带来的是某点评headers中mtgsig参数的逆向。
目标站:某点评网m端 --> 传送门
上个月的时候写了一篇商家后台1.1算法的 某团mtgsig1.1 && H5guard加密算法剖析 (感兴趣可以回顾一下 )其中1.1的算法检测比较少 难度也较低 今天我们就看下最新的 也就是市面上目前c端产品的1.2算法,废话不多说 直接开搞。
我直接直接找了一个会有检测的接口
url = "https://mapi.dianping.com/mapi/fun/shopdetailktvbooktable2.json2?token=null&clienttype=miniprogram&shopuuid=l5IofsXTPiz3xNNE&device_system=&yodaReady=h5&csecplatform=4&csecversion=3.1.0"
如果不带mtgsig这个参数的话 则会返回
直接给403了 而且如果被检测次数过多 还会存在封号风险(一般24小时左右解封)
先来看一下这个mtgsig的各个参数
{
"a1": "1.2", # 固定版本号标识
"a2": 1744098324148, # 时间戳
"a3": "z612xyxv732v50vu0...w06y9795811v7y4z1", # cookie相关的一个参数 dfpId
"a5": "KhMJaJpaXSyx2t2ovUqoKWvQ0EvT3dlnlDJ/+ER9HyOWMxm2SxVAkiIO1EvavRySYI==", # 暂时未知 动态加密参数
"a6": "h1.8WGR6bK+cYO4T1hvy85o24ZIT/U1UIiU9ILm/9nPhCBS0sSs3MIFV6qcdL+Ni0bTlMvTmlO3rbKcmZuz0gzQAucgVwWgfndN6Z/NEgREgJU8dw7pzpHIyLB8Qgmq3AURGsepuCg3JEKDb1//hW9nv9QfdC+7+svagaoDF3O5wt7/D1pwV23H9x/BtXmnV7eWk85f80oPxMdFrQl0DvAGBzcpfYoVk9gVK2QzgL7SOGxub+VlKiMwJPUb6CBcK1iHI1T9q9r8u/54eum+7xAgjGYEAvAoKIjzHoSwKmrqxUBnr0PSW70SW/P7Y3n8WyZx90QyI91kyiGnSbWUiiFAxtXvQThNsLh1PEZkRFIPg6cIg7g7E4amNC9wicruimG7g", # 暂时未知 动态加密参数 目测是一个aes后输出的base64 这个根据1.1经验推测的
"a8": "3aa4f8a0d0e02e0f722d53a8f0a0e5bc", # 暂时未知 动态加密参数 目测md5
"a9": "3.1.0,7,61", # 暂时未知 动态加密参数 感觉可以随机
"a10": "c5", # 固定即可
"x0": 4, # 固定即可
"d1": "dc742acf2d566fac71a74969f1224560" # 暂时未知 动态加密参数
}
这里还是先找到入口参数 实际上跟1.1几乎是一模一样的 我们还是复刻操作即可
通过堆栈进入 H5guard.js 文件中,发现有大量的混淆,如下所示:
这里我们可以用ast解混淆一下 让代码可读性变强 把_b(数组下标)的值全部替换成字符串明文
大数组混淆替换以后就是常规的操作了 补环境或者搞纯算法 我们这里还是采用1.1的思路 强行去把环境补全
不过由于1.2的检测点贼多 我们简单补的那些location、navigation、screen 还不足以通过校验
所以这里我们需要找到检测环境的入口
gY = eN(hs, !1, hl)
实际上这里也是a6的生成所在
然后我们根据这个k值去缝缝补补 逆向推导一下环境检测就可以了
这里贴一部分需要检测的环境
window = this;
window.H5guard = undefined
Window = function Window(){}
Window = new Window()
Window.toString = function toString(){
return 'function Window() { [native code] }'
}
Window.toString.toString = function toString(){
return 'function toString() { [native code] }'
}
window.setTimeout = function setTimeout() {}
window.onerror = {}
window.localStorage = {
getItem :function getItem(){
return null
}
}
window.sessionStorage = {}
window.indexedDB = {}
window.chrome = {}
window.AudioContext = {}
window.location = {}
window.document ={}
window.location.href = 'https://mapi.dianping.com/?time=1743062044802&ignoreSetRouterProxy=true#/gw/static_resource/product#/listView'
window.location.host = 'mapi.dianping.com'
// window.navigator = {webdriver : false}
Location = function Location(){}
Location.prototype.href = "https://mapi.dianping.com/?time=1743062044802&ignoreSetRouterProxy=true#/gw/static_resource/product#/listView"
location = new Location()
Screen = function Screen(){}
Screen.prototype.availHeight = 1040
Screen.prototype.availLeft = 0
Screen.prototype.availTop = 0
Screen.prototype.availWidth = 1920
Screen.prototype.height = 1080
Screen.prototype.isExtended = false
Screen.prototype.width = 1920
Screen.prototype.height = 1080
Screen.prototype.orientation = {type:"landscape-primary"}
Screen.prototype.pixelDepth = 24
Screen.prototype.colorDepth = 24
screen = new Screen()
XMLHttpRequest = function XMLHttpRequest(){}
Navigator = function Navigator(){}
Navigator.prototype.userAgent = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36'
Navigator.prototype.platform = 'Win32'
Navigator.prototype.cookieEnabled =true
Navigator.prototype.plugins = {}
Navigator.prototype.permissions = {}
Navigator.prototype.onLine = true
Navigator.prototype.vibrate = function vibrate(){}
navigator = new Navigator()
Navigator = new Navigator()
Navigator.toString = function toString(){
return 'function Navigator() { [native code] }'
}
Navigator.toString.toString = function toString(){
return 'function toString() { [native code] }'
}
URL = function URL(){}
URL.prototype.revokeObjectURL = function revokeObjectURL(){}
URL.prototype.createObjectURL = function createObjectURL(){}
URL = new URL()
Blob = function Blob(){}
// Blob = new Blob()
// TextEncoder = function TextEncoder(){}
// TextEncoder.prototype.encode = function encode(){};
// TextDecoder = function TextDecoder(){}
// TextDecoder.prototype.decode = function decode(){};
Document = function Document(){}
实际上这里确实也就是把k1 k2 k3 … kn 的环境变量检测拿去做了aes加密 最终输出base64 我也分析了一下纯算法 就是扣扣扣完事
有一个坑点要注意,它的秘钥 key 是动态的。原因是生成的 66 位大数组是随机的。
至此逆向部分就结束了 我们再用express写一个接口暴露出来供python调用