目标URL:
aHR0cHM6Ly9wYXNzcG9ydC5rdWFpc2hvdS5jb20vcGMvYWNjb3VudC9sb2dpbi8/c2lkPWt1YWlzaG91LndlYi5jcC5hcGkmY2FsbGJhY2s9aHR0cHMlM0ElMkYlMkZjcC5rdWFpc2hvdS5jb20lMkZyZXN0JTJGaW5mcmElMkZzdHMlM0Zmb2xsb3dVcmwlM0RodHRwcyUyNTNBJTI1MkYlMjUyRmNwLmt1YWlzaG91LmNvbSUyNTJGYXJ0aWNsZSUyNTJGcHVibGlzaCUyNTJGdmlkZW8lMjUzRm9yaWdpbiUyNTNEd3d3Lmt1YWlzaG91LmNvbSUyNnNldFJvb3REb21haW4lM0R0cnVl
此处iframe新开一个窗口,可以减少其他的干扰
失效的话,将上面的重新获取一下,重新复制iframe的URL,进去就可以了
验证不通过
检验URL和参数
https://captcha.zt.kuaishou.com/rest/zt/captcha/sliding/kSecretApiVerify
全局搜一下参数verifyParam
c参数是一个做了加密的长字符串
此处需要注意,当我断在6374的时候,c还是undefined
回到case为0处,有个r对象,其中有个trajectory参数,大概猜测是路径加密后的值,可以先从这里入手
全局搜索一下参数“trajectory”
此处搜到了3个,分别下断点,拖动之后,最后是断在行号 8863 的这个
结果是经过一个参数 c.slice(1)
此处是他的拖动路径数据
此处c的计算在这个位置
此处为指纹hash
到这一步,就可以把路径算法扣下来,路径还原结果如下
const t = { trajectory: [ [0, 22, 1664078425847], [7, 22, 1664078425857], [25, 20, 1664078425864], [50, 18, 1664078425875], [79, 17, 1664078425881], [108, 15, 1664078425891], [141, 13, 1664078425898], [170, 11, 1664078425904], [199, 9, 1664078425911], [228, 8, 1664078425918], [257, 7, 1664078425926], [289, 5, 1664078425934], [315, 4, 1664078425942], [333, 3, 1664078425950], [355, 3, 1664078425958], [369, 3, 1664078425966], [384, 3, 1664078425976], [398, 3, 1664078425985], [413, 3, 1664078425990], [423, 3, 1664078425997], [431, 3, 1664078426007], [438, 3, 1664078426014], [449, 3, 1664078426023], [452, 3, 1664078426030], [456, 3, 1664078426036], [460, 3, 1664078426044], [467, 3, 1664078426052], [471, 3, 1664078426211] ]}let n = {}const f = { uhUaq: function (n, t) { return n - t }, FuwxQ: function (n, t) { return n + t }}let r = t.trajectory[0] ? t.trajectory[0][2] : 0let c = t.trajectory.slice(-100).reduce(function (n, t) { return f.FuwxQ( n, ',' .concat(t[0], '|') .concat(t[1], '|') .concat(f.uhUaq(t[2], r)) )}, '')console.log(c.slice(1))
本地结果和浏览器验证结果匹配,说明算法没有扣错
然后我们再回到之前的这个位置,目前已经把路径的参数给解决了,还剩下 captchaExtraParam,captchaSn,gpuInfo
在这个位置下断点,当 case 为 0 执行完之后,t 参数的 sent 会把最后的计算结果算出来并赋值
这里hook去跟一下
在此处下断点,重新刷新,进到f函数里面
进到这里之后,F8运行,观察 n 形参的变化
n变量的变化是这样的
1、先是UA和指纹信息
2、然后是会传一个超长的数组
3、最后就是运算出结果
当n出现数组的时候,F11进入,会进到这个位置,这里就是最后结果生成的地方
到了断点位置,
先执行完 u = e[i("0x32")],可以看到e的输出是一个大数组
然后执行e[i("0x33")](i("0x34"), ni("0x35")i("0x36"));
最后e里面的参数就计算出来了
所以我们只需要在这个地方注入我们需要的代码就可以,
然后将c.a[i("0x31")],d,e[i("0x33")](i("0x34"), ni("0x35")i("0x36"))导出到全局,然后rpc调用,或者你也可以扣代码,我这里是直接自己写一个WSS去调算法,想扣代码的大佬自己去扣,这里就不多废话了。
最后本地验证一下,成功获得凭证数据
补补补补补补补:
captchaSn参数是来自https://captcha.zt.kuaishou.com/rest/zt/captcha/sliding/config这个接口的返回数据
captchaSession参数又是来自上一个接口https://id.kuaishou.com/pass/kuaishou/sms/requestMobileCode