某团某点评mtgsig1.2 H5guard加密算法剖析

仅供研究学习使用。
今天带来的是某点评headers中mtgsig参数的逆向。
目标站：某点评网m端 --> 传送门
上个月的时候写了一篇商家后台1.1算法的 某团mtgsig1.1 && H5guard加密算法剖析 （感兴趣可以回顾一下 ）其中1.1的算法检测比较少 难度也较低 今天我们就看下最新的 也就是市面上目前c端产品的1.2算法，废话不多说 直接开搞。

我直接直接找了一个会有检测的接口

url = "https://mapi.dianping.com/mapi/fun/shopdetailktvbooktable2.json2?token=null&clienttype=miniprogram&shopuuid=l5IofsXTPiz3xNNE&device_system=&yodaReady=h5&csecplatform=4&csecversion=3.1.0"

如果不带mtgsig这个参数的话 则会返回

直接给403了 而且如果被检测次数过多 还会存在封号风险（一般24小时左右解封）

先来看一下这个mtgsig的各个参数

{
    "a1": "1.2",  # 固定版本号标识
    "a2": 1744098324148,  # 时间戳
    "a3": "z612xyxv732v50vu0...w06y9795811v7y4z1",  # cookie相关的一个参数 dfpId
    "a5": "KhMJaJpaXSyx2t2ovUqoKWvQ0EvT3dlnlDJ/+ER9HyOWMxm2SxVAkiIO1EvavRySYI==",  # 暂时未知 动态加密参数
    "a6": "h1.8WGR6bK+cYO4T1hvy85o24ZIT/U1UIiU9ILm/9nPhCBS0sSs3MIFV6qcdL+Ni0bTlMvTmlO3rbKcmZuz0gzQAucgVwWgfndN6Z/NEgREgJU8dw7pzpHIyLB8Qgmq3AURGsepuCg3JEKDb1//hW9nv9QfdC+7+svagaoDF3O5wt7/D1pwV23H9x/BtXmnV7eWk85f80oPxMdFrQl0DvAGBzcpfYoVk9gVK2QzgL7SOGxub+VlKiMwJPUb6CBcK1iHI1T9q9r8u/54eum+7xAgjGYEAvAoKIjzHoSwKmrqxUBnr0PSW70SW/P7Y3n8WyZx90QyI91kyiGnSbWUiiFAxtXvQThNsLh1PEZkRFIPg6cIg7g7E4amNC9wicruimG7g",   # 暂时未知 动态加密参数 目测是一个aes后输出的base64 这个根据1.1经验推测的
    "a8": "3aa4f8a0d0e02e0f722d53a8f0a0e5bc",   # 暂时未知 动态加密参数 目测md5
    "a9": "3.1.0,7,61",  # 暂时未知 动态加密参数 感觉可以随机
    "a10": "c5",  # 固定即可
    "x0": 4,    # 固定即可
    "d1": "dc742acf2d566fac71a74969f1224560"   # 暂时未知 动态加密参数
}

这里还是先找到入口参数 实际上跟1.1几乎是一模一样的 我们还是复刻操作即可

通过堆栈进入 H5guard.js 文件中，发现有大量的混淆，如下所示：

这里我们可以用ast解混淆一下 让代码可读性变强 把_b(数组下标)的值全部替换成字符串明文

大数组混淆替换以后就是常规的操作了 补环境或者搞纯算法 我们这里还是采用1.1的思路 强行去把环境补全

不过由于1.2的检测点贼多 我们简单补的那些location、navigation、screen 还不足以通过校验

所以这里我们需要找到检测环境的入口

gY = eN(hs, !1, hl)

实际上这里也是a6的生成所在

然后我们根据这个k值去缝缝补补 逆向推导一下环境检测就可以了

这里贴一部分需要检测的环境

window = this;
window.H5guard = undefined

Window = function Window(){}

Window = new Window()
Window.toString = function toString(){
    return 'function Window() { [native code] }'
}
Window.toString.toString = function toString(){
    return 'function toString() { [native code] }'
}

window.setTimeout = function setTimeout() {}
window.onerror = {}
window.localStorage = {
    getItem :function getItem(){
        return null
    }
}

window.sessionStorage = {}
window.indexedDB = {}
window.chrome = {}
window.AudioContext = {}
window.location = {}
window.document ={}
window.location.href = 'https://mapi.dianping.com/?time=1743062044802&ignoreSetRouterProxy=true#/gw/static_resource/product#/listView'
window.location.host = 'mapi.dianping.com'
// window.navigator = {webdriver : false}

Location = function Location(){}
Location.prototype.href = "https://mapi.dianping.com/?time=1743062044802&ignoreSetRouterProxy=true#/gw/static_resource/product#/listView"

location = new Location()


Screen = function Screen(){}
Screen.prototype.availHeight = 1040
Screen.prototype.availLeft = 0
Screen.prototype.availTop = 0
Screen.prototype.availWidth = 1920
Screen.prototype.height = 1080
Screen.prototype.isExtended = false
Screen.prototype.width = 1920
Screen.prototype.height = 1080
Screen.prototype.orientation = {type:"landscape-primary"}
Screen.prototype.pixelDepth = 24
Screen.prototype.colorDepth = 24
screen = new Screen()



XMLHttpRequest = function XMLHttpRequest(){}

Navigator =  function Navigator(){}
Navigator.prototype.userAgent = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36'
Navigator.prototype.platform = 'Win32'
Navigator.prototype.cookieEnabled =true
Navigator.prototype.plugins = {}
Navigator.prototype.permissions = {}
Navigator.prototype.onLine = true
Navigator.prototype.vibrate = function vibrate(){}
navigator = new Navigator()

Navigator = new Navigator()
Navigator.toString = function toString(){
    return 'function Navigator() { [native code] }'
}
Navigator.toString.toString = function toString(){
    return 'function toString() { [native code] }'
}


URL = function URL(){}
URL.prototype.revokeObjectURL = function revokeObjectURL(){}
URL.prototype.createObjectURL = function createObjectURL(){}
URL = new URL()
Blob = function Blob(){}
// Blob = new Blob()

// TextEncoder = function TextEncoder(){}
// TextEncoder.prototype.encode = function encode(){};

// TextDecoder = function TextDecoder(){}

// TextDecoder.prototype.decode = function decode(){};

Document = function Document(){}

实际上这里确实也就是把k1 k2 k3 … kn 的环境变量检测拿去做了aes加密 最终输出base64 我也分析了一下纯算法 就是扣扣扣完事

有一个坑点要注意，它的秘钥 key 是动态的。原因是生成的 66 位大数组是随机的。

至此逆向部分就结束了 我们再用express写一个接口暴露出来供python调用

最后再测试一下某点评的接口是否能跑通

Ending

Github传送门

持续更新ing （欢迎各种star与fork）

如有权益问题可以发私信联系我删除