在返回的doc类型的响应体中,某个JS链接会请求至少两次由sensor_data为键组成的请求体这里重点关注_abck,通常情况下其末尾出现||0||表示验证通过通过特征分析,确定要解决的问题就是找到请求体中sensor_data的生成逻辑,通过第二次POST请求验证拿到正确的cookie在浏览器中,通过第二次POST请求中的Initiator定位到发出请求的位置,追踪其中有关sensor_data的处理逻辑,
可以发现lCH就是sensor_data的值,wMH为拼接之后的请求体。找到lCH第一次赋值的地方,
发现其由cKH格式化后得到,查看cKH对象的值。可以看到cKH有很多键,需要分析的参数多也正是akamai的难点之一。这时不要替换响应内容,试试重复多次请求,多保存几份cKH。JS链接可能是动态变化的,变量名、调用方式等都可能会发生改变,下面都以cKH这版的JS为例。 多次对比,看看类似 cKH的对象包括其后面的处理流程会不会发生结构性改变或者哪些键的值有明显变化的,这将决定纯算法还原的方式可不可行,稳不稳定。如果对象结构基本一致,里面的值的格式也差不多,JS的整体处理逻辑也差不多,就可以尝试算法还原,否则建议尝试补环境。当使用算法实现时,在用浏览器调试分析时,可以拦截引发动态变化的响应体替换成一份固定的响应体进行分析。针对处理逻辑也动态变化的JS,补环境时可能也要考虑在固定分析之后多尝试不同版本的JS逻辑来确定环境通用。当全部算法还原之后发现还是过不了验证,如果确定不是算法还原出了问题,这时拿一份最新的cKH,和还原的算法生成出来的做一下对比,针对不同的地方再做进一步分析,包括分析后续对cKH的处理流程同一版本的akamai算法中,类cKH的对象中的部分值的算法实现可能每周都会有变动,这里的变动周期相对来说比较长,不是每次请求都会变,所以纯算法实现也是可行的,甚至也可能找到变动的规律,减少我们自己算法实现的迭代频率。接下来就是大致过一遍部分代码的逻辑,然后分析这些键的值是怎么来的,之后落地应用时可以尝试哪些键是不检测的。大致过一部分代码逻辑,可以得到一些结论当前JS算法版本标志,跟踪发现其由OCH得到
OCH的生成逻辑为可以看到其中有很多形如CP()["E"].apply(null, [569, 86, 259, 81])这样的函数调用,其实多次记录发现这些值算出来都是固定的,这里的"E"也是通过某个类似XX(5)这样的函数算出来的,同理也是固定的,还原前面的部分,得到这里就以FK()["qH"](1780, 58)举例说明这样形式的调用的值是怎么来的,定位到FK()["qH"],发现是赋值的形式
这里的setFuncKeyMap('FK', gHH, CQH);为hook的代码,找到这里的cUH和rHH的定义的地方,就是同switch下的case 49里定义的,
T9跟踪得到就是0,V1H就是这个switch case函数的第二个参数
追踪到Ud调用的地方
V1H就等于[n1H()],定义如下也就是说最开始遍历赋值的时候,这些值都是每个JS固定的。回到case 707,它会根据B0(J6(cUH, 6))这个条件来选择赋值哪个函数,以其中一种形式分析,
可以看到FK()["qH"](1780, 58)这样的调用就等价于Xk(1780, 58),接下来看Xk看了什么又回到了Ud,走case 34
V1H这时候就是传过来的arguments,这里也就是[1780, 58],ph也是每个JS的固定值
由于w2是记录执行步骤的,所以RUH的结果主要受V1H影响,P0也是根据V1H去ph中取值,继续往下走
这里cn在刚刚的case 34中初始为"",只在case 281中进行赋值,GY也是一个switch case函数,其case 56如下
就是对cF执行了String.fromCharCode,注意如果走到下面这个条件就是不对的。回到Ud的逻辑来继续分析
可以看到最后cn就是FK()["qH"](1780, 58)的值,其实这里也可以倒推出既然某个位置这样的函数算出来的字符串是固定的,那这里的参数每个JS里也必然都是固定的定位到与ajr相关的地方,可以看到ajr与AJH有关
搜索AJH,定位到AJH生成的地方,可以看到AJH由一个参数化数组经过Yc函数执行后,再由L3H函数生成。
这里可以先不管后面的数据的内容是怎么生成的,直接看L3H干了什么,L3H定义如下前面这段判断条件一定为true,不然也不会生成结果了,所以接下来重点看这个函数干了啥p7H即为Yc(31, [...那段生成的内容,这里可以直接看到那段的作用就是将数组转换为了对象,且整个函数逻辑中只用到了对象的totVel属性,totVel一般也是0。跟踪这里的jS()和Ib的函数逻辑W1H就是将随机数及其相关的base64编码组合起来形成一个数组。最后LlH就是我们要的AJH,也就是最终的ajr的值追踪定位到din是由哪个变量赋值的,发现其对应O4H其中上一步骤的AJH生成过程中的deviceData也和O4H有关其生成逻辑是,O4H先转化为只包含对应键的值的数组,顺序和O4H保持一致,最后使用","join生成结果。追踪到O4H,找到其生成方式L0H中包含排版引擎,ua,随机数,屏幕尺寸等信息的获取及二次处理,分析其内部执行逻辑,定位其中的关键字段生成的地方window.innerHeight每个JS固定,由nj(61, [])生成window.innerWidth对应zzH,其生成逻辑为window.screen.availHeightwindow.screen.availWidth由zIH函数生成, 格式为这块基本可以写死,下面就简单看几个值的生成逻辑cpeni1dm对应skH的生成逻辑window.screen.height形式为do_en,dm_en,t_en对应hJH,形式为定位到生成处进入函数查看细节找到给mst赋值的地方,发现其对应MIH的值
追踪MIH,分析其中各参数的生成逻辑追踪到dd2的值,即对应A2H的生成逻辑由nj(53, [])生成,固定值dvc参数涉及vmp的分析,留到之后的章节再讲由函数EfH生成,形式为0,0,0,0,1,0,0,可写死,分析过程如下可能为以下几个值中的一个也可以为0{
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287819.htm
[原创][JS逆向]Akamai逆向分析.part1
406 浏览
7 回复
有的站点。需要鼠标移动或者点下才能成功.我把mev固定了。还把鼠标事件给删除了。还是需要到网页触发一次鼠标事件 才能成功。求解决办法
最后于 2025-7-31 10:36
被ZX珍惜编辑
,原因:
最后于 2025-7-31 10:36
被ZX珍惜编辑
,原因:
ZX珍惜
有的站点。需要鼠标移动或者点下才能成功.我把mev固定了。还把鼠标事件给删除了。还是需要到网页触发一次鼠标事件 才能成功。求解决办法
能发下是哪个站点吗
有的站点。需要鼠标移动或者点下才能成功.我把mev固定了。还把鼠标事件给删除了。还是需要到网页触发一次鼠标事件 才能成功。求解决办法
能发下是哪个站点吗
御坂大人
www
大佬
有没高手修改个游戏
有没大佬能把星号数据显示出来呀,重谢