js逆向 wowowowowowo安居客动态cookie

• 郑重声明：本项目的所有代码和相关文章， 仅用于经验技术交流分享，禁止将相关技术应用到不正当途径，因为滥用技术产生的风险与本人无关。

今天我们逆向它的动态c o o，k i e，安排。

1、首先抓包分析

• url：aHR0cHM6Ly9iZWlqaW5nLmFuanVrZS5jb20vc2FsZS9wMy8/ZnJvbT1lc2ZfbGlzdA==
  

经过多次抓包，可以确定 fzq_js_anjuke_ershoufang_pc、xxzl_cid、xxzl_deviceid 这三个cookie是动态的，(也许你自己抓包尝试过后会觉得xxzl_cid 和 xxzl_deviceid是静态的，这是一个坑，一会儿讲)

fzq_js_anjuke_ershoufang_pc的生成方式很简单，我就不讲了，主要讲另外两个cookie。

2、定位cookie生成位置

我们一般定位cookie可以使用hook document.cookie的方式快速定位

let hookCookie = function (key) {'use strict';var cookie_str = document.cookie;Object.defineProperty(Document.prototype, 'cookie', {get: function () {return cookie_str;},set: function (val) {console.log('捕获到cookie设置-->', val);debugger//if (val.indexOf(key) !== -1) debugger;let addCookie = val.split('; ')[0]addCookie = addCookie.split('=')let cookie_object = {}cookie_str.split('; ').map(function (v) {v = v.split('=')cookie_object[v[0]] = v[1]})cookie_object[addCookie[0]] = addCookie[1]let cookie_arr = []for (let k in cookie_object) {k = k + "=" + cookie_object[k] + '; 'cookie_arr.push(k)}cookie_str = cookie_arr.join('')return cookie_str}});
}

3、去缓存

断点断住后，调试跟栈

可以发现它在取之前缓存的cookie。

如果它取不到，就会去浏览器中的数据库中取，像localStorage、sessionStorage、indexedDB、openDatabase。

如果还是取不到，它会去window.name中取(页面刷新后window.name的值不会消失)。

也就是说，如果你不清空这些，网页是不会重新加载这两个cookie的(造成了xxzl_cid 和 xxzl_deviceid是静态的错觉)，

解决方案：

• 1、可以开无痕浏览器调试，缺点是无痕模式没有插件辅助。
• 2、自己写一个油猴插件自动清理这些缓存。

我采用的是第二种方式

(function() {'use strict';!function (config) {window.name = ''localStorage.clear()sessionStorage.clear()for (let dbname of config['indexedDB']) {try {window.indexedDB.deleteDatabase(dbname);} catch (e) {console.error(e)}}for (let database of config['openDatabase']) {try {let db = window.openDatabase(database['dbName'], database['version'], database['tableName'], 1048576);db.transaction((tr) => tr.executeSql("drop table " + database['tableName'], []))} catch (e) {console.error(e)}}!function () {var keys = document.cookie.match(/[^ =;]+(?=\=)/g);if (keys) {for (let k of keys) {if (config['cookieFilter'].indexOf(keys) !== -1) continue;document.cookie = k + '=0;path=/;expires=' + new Date(0).toUTCString();document.cookie = k + '=0;path=/;domain=' + document.domain + ';expires=' + new Date(0).toUTCString();}}}()}({'indexedDB': ['dbname'],  'openDatabase': [{'dbName': 'dbname','version': '','tableName': 'tableName'}],'cookieFilter': []  // 指定哪些cookie不用被清除}  )
})();

4、分析cookie加载流程

去掉缓存后，继续调试跟栈，你也跟不到cookie的生成位置(o.O) 手动滑稽

因为cookie是异步生成的，不断套娃回调，跟到崩溃你也很难跟到。

最简单最有效的方法是直接在文件中搜索xxzl_cid （意不意外，惊不惊喜 O.o）

第一步是得到一个加密字符串，类似这样：d3019140953d13c51......，它是异步生成的跟栈跟不到

第二步是用加密字符串拼接出了一个url

第三步是用url发起请求

第四步是解密第三步请求返回的响应数据

第五步是对解密数据进行分割处理，得到cookie

第六步是设置cookie

5、扣算法

以上cookie加载的六步，最重要的就是加密函数和解密函数了，其中加密的位置跟不到，那就只有跟解密的位置了。

断点断住解密位置后，单步调试进入

这不是AES和sha256吗，接下来该做什么，就不用我说了吧！