上一主题 下一主题
ScriptCat,新一代的脚本管理器脚本站,与全世界分享你的用户脚本油猴脚本开发指南教程目录
返回列表 发新帖

【文艺复兴】JS混淆分析实战某大学Mooc

[复制链接]
  • TA的每日心情
    慵懒
    2024-10-28 07:07
  • 签到天数: 193 天

    [LV.7]常住居民III

    712

    主题

    5999

    回帖

    6784

    积分

    管理员

    非物质文化遗产社会摇传承人

    积分
    6784

    荣誉开发者喜迎中秋油中2周年生态建设者

    发表于 2022-10-20 12:52:22 | 显示全部楼层 | 阅读模式

    首先打开f12发现直接无限debugger
    跳转到栈顶,发现代码在html里
    图片.png
    直接把html复制粘贴到本地
    然后把该加密js复制贴到外部一个js文件,改成script src引入方式
    我的叫mooc_origin.js
    图片.png
    在顶部打一个debugger断点
    断下来之后格式化一下
    跟一下解密
    图片.png
    发现这里疑似有判断格式化的东西
    图片.png
    如果发现格式化了就进行内存爆破
    我们格式化一下试试
    不出意料的死了
    我们看到他是声明了一个正则然后调用test
    我们直接在顶部来个test劫持试试看
    该劫持不太推荐,我个人尝试写了一个小函数在下方

    let test=RegExp.prototype.test
    RegExp.prototype.test=function(...args){
        if(this.toString().indexOf(`\\w+ *['|"].+['|"];?`)!==-1){
            return true;
        }
        return test.call(this,...args)
    }

    发现没啥问题了
    正常打开
    那就在劫持的return true之前打个debugger
    然后谁触发了看下是否符合正则就删掉谁改成true
    比如
    图片.png
    直接改成true就可以了
    这种正则拦截可能会有遗漏,所以最好打个debugger每次触发追一下
    没几处
    内存爆破的函数删干净了
    那我们就开始分析解密字符串了
    留下次

    结语

    撒花~

    函数补充

    每次调用test会卡在debugger上,如果结果不等会输出,或者如果你单步卡死在
    let origin_result = test.call(this, args);
    证明也是内存爆破正则

    let test = RegExp.prototype.test;
    RegExp.prototype.test = function (args) {
      args = args + "";
      debugger;
      let origin_result = test.call(this, args);
      args = args + "";
      args = args.replaceAll(`\r\n`, "")
      args =args.replaceAll(" ","")
      let fuck_result = test.call(this, args);
      if (fuck_result !== origin_result) {
        console.log('this',this)
        debugger;
      }
      return origin_result;
    };
    混的人。
    ------------------------------------------
    進撃!永遠の帝国の破壊虎---李恒道

    入驻了爱发电https://afdian.net/a/lihengdao666
    个人宣言:この世界で私に胜てる人とコードはまだ生まれていません。死ぬのが怖くなければ来てください。
  • TA的每日心情
    开心
    3 天前
  • 签到天数: 672 天

    [LV.9]以坛为家II

    13

    主题

    144

    回帖

    401

    积分

    高级工程师

    积分
    401

    油中2周年

    发表于 2022-10-20 14:12:50 | 显示全部楼层
    我看不懂但是ggnb
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2024-10-28 07:07
  • 签到天数: 193 天

    [LV.7]常住居民III

    712

    主题

    5999

    回帖

    6784

    积分

    管理员

    非物质文化遗产社会摇传承人

    积分
    6784

    荣誉开发者喜迎中秋油中2周年生态建设者

    发表于 2022-10-20 14:29:59 | 显示全部楼层
    XXXMlin 发表于 2022-10-20 14:12
    我看不懂但是ggnb

    谢谢哥哥
    混的人。
    ------------------------------------------
    進撃!永遠の帝国の破壊虎---李恒道

    入驻了爱发电https://afdian.net/a/lihengdao666
    个人宣言:この世界で私に胜てる人とコードはまだ生まれていません。死ぬのが怖くなければ来てください。
    回复

    使用道具 举报

  • TA的每日心情

    2022-11-20 10:13
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    1

    主题

    23

    回帖

    45

    积分

    初级工程师

    积分
    45

    新人报道油中2周年

    发表于 2022-10-20 17:57:40 | 显示全部楼层
    ggnb!!!
    回复

    使用道具 举报

    发表回复

    本版积分规则

    快速回复 返回顶部 返回列表