声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!
目标网站:
aHR0cHM6Ly93d3cuc29qc29uLmNvbS9qc29iZnVzY2F0b3IuaHRtbA==
还是那个网站,该次分析建立在上篇文章的基础上,没看过的可以先看下
这次的配置请按如下设置,再点击“JS混淆加密”,获取代码
首先解决Unicode,即类似 ‘\x54\x4d’ 这种的,还原成字符。可以通过 https://tool.lu/js 这个网站,将代码还原并格式化。但这个网站貌似对于长的代码,格式化后会丢失部分代码,同时格式化后,会有些缩进的问题,需要自己再改下,不建议常用,不过对于本次操作还是可以满足的。
还原后,会发现有几处代码飘红,格式不对了,检查下,原来是单双引号的问题,这里我采取的办法是将它还原成原来的Unicode代码,总共就是以下两处。
OK,这下都正常了,开始分析。还是先看第一大段,发现比原来多了一段代码,定义了一个函数,并运行了该函数。
先说下这个函数的运行逻辑,实际上就是先运行了 updateCookie 函数,然后判断运行结果,如果为false,就运行 setCookie 方法,为true就运行 getCookie 方法。updateCookie 函数就是下面这段代码
var _0x244abc = function() {
var _0x108451 = new RegExp('\x5cw+\x20*\x5c(\x5c)\x20*{\x5cw+\x20*[\x27|\x22].+[\x27|\x22];?\x20*}');
return _0x108451['test'](_0x118c79['removeCookie']['toString']());
};
这代码什么意思呢?看着像是在检测 removeCookie 这个属性是否匹配上面的正则表达式,我们用控制台检测一下。
看出来了么?其实它就是在检测 removeCookie 这个属性,有没有被格式化,如果格式化了,则返回 false。由于在浏览器中,所有代码是被压缩成一行的,所以正确应该返回true,运行 getCookie 方法。那我们再看下该方法。
其实它主要做的事情就是,运行 _0x23cdd7(_0x5a8e53, _0x3ad680); 然后返回一个值,但其实这个值无关紧要,因为运行完 getCookie 方法,第一大段就结束了,并没有返回结果,所以主要就是运行上面的函数,这个函数,其实就是在做 _0x5a8e53(++_0x3ad680) 这件事。
所以,说了那么多,其实第一大段还是跟原来一样,定义一个数组,然后按一定顺序进行重新排序而已。我们直接把那些乱七八糟的都删掉,修改代码如下就行了╮(╯▽╰)╭
var _0x5f52 = ['TMO0VA==', 'w4duwqUiHQ==',···,]
(function(_0x5cc50c, _0x3ad680) {
var _0x5a8e53 = function(_0x2e5f02) {
while (--_0x2e5f02) {
_0x5cc50c['push'](_0x5cc50c['shift']());
}
};
_0x5a8e53(++_0x3ad680)
}(_0x5f52, 0x125));
接着看第二大段的解密函数,你会发现,也比原来多了一大段,里面也有一些正则匹配和逻辑判断啥的,红框部分就是多出来的部分,其实逻辑差不多,直接把红框部分全部删掉就行了。这里我不详细说明了,有兴趣的可以自行验证下。
OK,第一和第二大段还原完毕,复制出来,又可以愉快地进行正则替换啦~
到这里其实已经差不多可以了,后面它还有一些禁止调试,禁止控制台输出什么的,其实都是差不多的,正则匹配,逻辑判断,错误就无限循环导致出错。大家可以自己慢慢试验下,我懒得弄了 O(∩_∩)O哈哈~
练手网站可以参考蔡老板之前的文章:
https://mp.weixin.qq.com/s/VdFyOgv_Dp8ffxRhXPol-A
这里面需要多次用到正则替换,大家可以自己练习下哦
欢迎关注我的公众号“逆向新手”,逆向系列将持续更新!
