当前位置: 首页 > news >正文

某团某点评mtgsig1.2 H5guard加密算法剖析

仅供研究学习使用。
今天带来的是某点评headers中mtgsig参数的逆向。
目标站:某点评网m端 --> 传送门
上个月的时候写了一篇商家后台1.1算法的 某团mtgsig1.1 && H5guard加密算法剖析 (感兴趣可以回顾一下 )其中1.1的算法检测比较少 难度也较低 今天我们就看下最新的 也就是市面上目前c端产品的1.2算法,废话不多说 直接开搞。


我直接直接找了一个会有检测的接口

url = "https://mapi.dianping.com/mapi/fun/shopdetailktvbooktable2.json2?token=null&clienttype=miniprogram&shopuuid=l5IofsXTPiz3xNNE&device_system=&yodaReady=h5&csecplatform=4&csecversion=3.1.0"

如果不带mtgsig这个参数的话 则会返回

在这里插入图片描述
直接给403了 而且如果被检测次数过多 还会存在封号风险(一般24小时左右解封)


先来看一下这个mtgsig的各个参数

{
    "a1": "1.2",  # 固定版本号标识
    "a2": 1744098324148,  # 时间戳
    "a3": "z612xyxv732v50vu0...w06y9795811v7y4z1",  # cookie相关的一个参数 dfpId
    "a5": "KhMJaJpaXSyx2t2ovUqoKWvQ0EvT3dlnlDJ/+ER9HyOWMxm2SxVAkiIO1EvavRySYI==",  # 暂时未知 动态加密参数
    "a6": "h1.8WGR6bK+cYO4T1hvy85o24ZIT/U1UIiU9ILm/9nPhCBS0sSs3MIFV6qcdL+Ni0bTlMvTmlO3rbKcmZuz0gzQAucgVwWgfndN6Z/NEgREgJU8dw7pzpHIyLB8Qgmq3AURGsepuCg3JEKDb1//hW9nv9QfdC+7+svagaoDF3O5wt7/D1pwV23H9x/BtXmnV7eWk85f80oPxMdFrQl0DvAGBzcpfYoVk9gVK2QzgL7SOGxub+VlKiMwJPUb6CBcK1iHI1T9q9r8u/54eum+7xAgjGYEAvAoKIjzHoSwKmrqxUBnr0PSW70SW/P7Y3n8WyZx90QyI91kyiGnSbWUiiFAxtXvQThNsLh1PEZkRFIPg6cIg7g7E4amNC9wicruimG7g",   # 暂时未知 动态加密参数 目测是一个aes后输出的base64 这个根据1.1经验推测的
    "a8": "3aa4f8a0d0e02e0f722d53a8f0a0e5bc",   # 暂时未知 动态加密参数 目测md5
    "a9": "3.1.0,7,61",  # 暂时未知 动态加密参数 感觉可以随机
    "a10": "c5",  # 固定即可
    "x0": 4,    # 固定即可
    "d1": "dc742acf2d566fac71a74969f1224560"   # 暂时未知 动态加密参数
}

在这里插入图片描述

这里还是先找到入口参数 实际上跟1.1几乎是一模一样的 我们还是复刻操作即可

通过堆栈进入 H5guard.js 文件中,发现有大量的混淆,如下所示:

在这里插入图片描述

这里我们可以用ast解混淆一下 让代码可读性变强 把_b(数组下标)的值全部替换成字符串明文

在这里插入图片描述
在这里插入图片描述

大数组混淆替换以后就是常规的操作了 补环境或者搞纯算法 我们这里还是采用1.1的思路 强行去把环境补全

不过由于1.2的检测点贼多 我们简单补的那些location、navigation、screen 还不足以通过校验

所以这里我们需要找到检测环境的入口

gY = eN(hs, !1, hl)

在这里插入图片描述

实际上这里也是a6的生成所在

在这里插入图片描述

然后我们根据这个k值去缝缝补补 逆向推导一下环境检测就可以了

这里贴一部分需要检测的环境

window = this;
window.H5guard = undefined

Window = function Window(){}

Window = new Window()
Window.toString = function toString(){
    return 'function Window() { [native code] }'
}
Window.toString.toString = function toString(){
    return 'function toString() { [native code] }'
}

window.setTimeout = function setTimeout() {}
window.onerror = {}
window.localStorage = {
    getItem :function getItem(){
        return null
    }
}

window.sessionStorage = {}
window.indexedDB = {}
window.chrome = {}
window.AudioContext = {}
window.location = {}
window.document ={}
window.location.href = 'https://mapi.dianping.com/?time=1743062044802&ignoreSetRouterProxy=true#/gw/static_resource/product#/listView'
window.location.host = 'mapi.dianping.com'
// window.navigator = {webdriver : false}

Location = function Location(){}
Location.prototype.href = "https://mapi.dianping.com/?time=1743062044802&ignoreSetRouterProxy=true#/gw/static_resource/product#/listView"

location = new Location()


Screen = function Screen(){}
Screen.prototype.availHeight = 1040
Screen.prototype.availLeft = 0
Screen.prototype.availTop = 0
Screen.prototype.availWidth = 1920
Screen.prototype.height = 1080
Screen.prototype.isExtended = false
Screen.prototype.width = 1920
Screen.prototype.height = 1080
Screen.prototype.orientation = {type:"landscape-primary"}
Screen.prototype.pixelDepth = 24
Screen.prototype.colorDepth = 24
screen = new Screen()



XMLHttpRequest = function XMLHttpRequest(){}

Navigator =  function Navigator(){}
Navigator.prototype.userAgent = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36'
Navigator.prototype.platform = 'Win32'
Navigator.prototype.cookieEnabled =true
Navigator.prototype.plugins = {}
Navigator.prototype.permissions = {}
Navigator.prototype.onLine = true
Navigator.prototype.vibrate = function vibrate(){}
navigator = new Navigator()

Navigator = new Navigator()
Navigator.toString = function toString(){
    return 'function Navigator() { [native code] }'
}
Navigator.toString.toString = function toString(){
    return 'function toString() { [native code] }'
}


URL = function URL(){}
URL.prototype.revokeObjectURL = function revokeObjectURL(){}
URL.prototype.createObjectURL = function createObjectURL(){}
URL = new URL()
Blob = function Blob(){}
// Blob = new Blob()

// TextEncoder = function TextEncoder(){}
// TextEncoder.prototype.encode = function encode(){};

// TextDecoder = function TextDecoder(){}

// TextDecoder.prototype.decode = function decode(){};

Document = function Document(){}

实际上这里确实也就是把k1 k2 k3 … kn 的环境变量检测拿去做了aes加密 最终输出base64 我也分析了一下纯算法 就是扣扣扣完事

在这里插入图片描述

有一个坑点要注意,它的秘钥 key 是动态的。原因是生成的 66 位大数组是随机的。

至此逆向部分就结束了 我们再用express写一个接口暴露出来供python调用

在这里插入图片描述
在这里插入图片描述

最后再测试一下某点评的接口是否能跑通

在这里插入图片描述

Ending

Github传送门

持续更新ing (欢迎各种star与fork)

如有权益问题可以发私信联系我删除

http://www.dtcms.com/a/121770.html

相关文章:

  • 深入解析Java中的栈:从JVM原理到开发实践
  • 基于IDEA+SpringBoot+Mave+Thymeleaf的系统实现
  • 量子计算入门:开启未来计算的次元之门
  • 华为数字芯片机考2025合集4已校正
  • 【安卓】APP生成器v1.0,生成属于你的专属应用
  • FRP练手:hello,world实现
  • JavaScript的可选链操作符 ?.
  • 【WPF】IOC控制反转的应用:弹窗但不互相调用ViewModel
  • 构建实时、融合的湖仓一体数据分析平台:基于 Delta Lake 与 Apache Iceberg
  • 基于机器视觉的多孔零件边缘缺陷检测(源码C++、opencv、凸包、凸缺陷检测)
  • eplan许可证的用户权限管理
  • 4.实战篇-延迟约束
  • 基于MCP协议调用的大模型agent开发02
  • 11. 盛最多水的容器
  • Linux系统之rm命令的基本使用
  • leetcode每日一题:子数组异或查询
  • 主键索引和唯一索引的区别
  • linux安装mysql常出现的问题
  • 【Linux】进程信号(下)
  • 显示背光发烫异常解析
  • SQL语法进阶篇(一),数据库复杂查询——子查询
  • Redis过期key处理、内存淘汰策略与缓存一致性策略实践方案
  • PG:数据库表年龄大和表大的解决方案
  • Vue 框架组件间通信方式
  • Matplotlib图表坐标轴中文标签显示问题
  • 打印大X | 第六届蓝桥杯省赛C++C组
  • TDengine 数据模型设计:多列模式与单列模式对比(二)
  • PowerBI之DAX 2:聚合、统计、关系、表操作函数
  • 力扣题解:142. 环形链表 II
  • 柳宗元经典的10首唐诗