声明

本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！

本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负责，若有侵权，请在公众号【K哥爬虫】联系作者立即删除！

前言

近期分析了亚马逊、某手相关的验证码，上周又有粉丝提问关于某奇艺相关的验证码，说该站一直过不去，提示异常，实在找不出是哪的问题，那么趁热打铁，我们本篇就对该站进行逆向分析：

逆向目标

• 目标：CDK 兑换详情页滑块验证码全参数

• 地址：aHR0cHM6Ly92aXAuaXFpeWkuY29tL2ppaHVvbWEuaHRtbA==

抓包分析

进入 cdk 兑换页面，频繁点击兑换，弹出验证码，第一个接口为 initToken.action 会返回一个 token，后续接口会用到：

紧接着经过 sbox_init_key 返回了 sid、sr，请求参数有 secure 拼接加密需要解决：

然后是 verifycenter/initpage 获取验证码图片，同样请求参数以及返回值解密需要处理：

最后是验证接口，需要解决 cryptSrcData 以及返回值解密，cryptVersion 同上：

逆向分析

sbox_init_key 分析

首要分析的就是 init_key 接口，需要逆向的参数就是 secure ，从堆栈进入 /verifycenter.js 文件，在 initSDK 处，发现 secure 参数：

其由 r[_0x444a("0x84e")]() 生成，进入后发现其由 getSecure 方法生成，如下：

x、a 生成则是直接返回的变量，说明在初始化的时候就已经完成了：

那么生成位置必然就在上方的不远处，定位到后下断点刷新页面，发现成功断下，都是调用 o.getRandom(64, c) 这个方法生成的，逻辑复现如下：

function generateRandomString(length = 32) {
return crypto.randomBytes(length)
.toString(‘base64’)
.replace(/[+/=]/g, ‘’)
.slice(0, length);
}
function get_initkey(){
e = generateRandomString(64)
i = generateRandomString(32)
return [e, i]
}

接着分析 t 通过调用 t = e[_0x444a("0x7be")](x["hexEncode"]()) 完成生成，x 为上文随机值，那么它必然魔改了 String 方法，通过 x["hexEncode"]() 生成 hex 值，单步跟进，如下：

将这个 String 方法整体扣下即可，接着分析 e[_0x444a("0x7be")] 方法，单步跟进：

其生成逻辑如下：

s_0x444a(“0x85d”);
var o = new e;
o.setPrivateKey®;
var c = {
encrypt: function f(x) {
return function a(x) {
return function i(x) {
for (var a = “”, t = 0; t < x.length; t++) {
var e = x.charCodeAt(t)_0x444a(“0x18”);
a += 1 == e[_0x444a(“0x5”)] ? “0” + e : e
}
return a
}(n_0x444a(“0x858”))
}(function t(x) {
return s_0x444a(“0x7be”)
}(function e(x) {
for (var a = [], t = 0; t < x[_0x444a(“0x5”)]; t += 2)
a[_0x444a(“0xc”)](parseInt(x[_0x444a(“0x652”)](t, 2), 16));
return a
}(x)))
},

将 s 模块扣下，如果部分扣错则会走 catch 逻辑返回 false，扣的时候可以把 catch 放开，这样方便定位报错，整体扣下基本在 3000 行以内，s 模块也可以直接用库，但是要注意接收的是数组，需要在调用 s[_0x444a("0x7be")](x) 时将明文用 fromCharCode 进行处理一下，至此 s 模块就分析完毕了，最终就是调用 f[_0x444a("0x866")](s, n, a, t) 完成验签加密，将最后的这个函数扣下即可。

至此 box_init_key 接口就分析完毕：

initpage 分析

该接口是获取图片的接口，cryptVersion 参数由上文接口返回的 sid 组成，cryptSrcData 为主要分析对象，全局搜索定位到如下：

持续跟进，发现套了 5、6 层：

加密由以下函数生成：

var e = f_0x444a(“0x86f”);
return e[_0x444a(“0x297”)] ? (t[_0x444a(“0x13”)] = f.signForEncrypt(e.data),

再跟：

进入到 _[_0x444a("0x7be")] 后，继续跟进，最终由这部分生成：

但是此时 key 已成生成，说明 key 很有可能在初始化的时候就已经生成了，还是在附近寻找，发现生成位置如下：

generateAESKey: function(x) {
return u.setSR(x),
_ = o.sha256(e)[_0x444a(“0x652”)](0, 4) + o_0x444a(“0x856”)[_0x444a(“0x652”)](0, 8) + o_0x444a(“0x856”).substr(0, 4),
u_0x444a(“0x857”),
_
}

主要是由刚刚我们生成的二轮随机密钥，以及上文接口返回的 sr 参数经过签名运算生成，扣下复现即可。最终加密后再和 sign 签名函数完成组装：

至此，cryptSrcData 分析就结束了。接口响应成功后，返回的是密文的形式，对于这种返回值加密，直接定位 XHR 部分：

找到他的处理方法，解密必然就在这些函数里面，最终分析后它调用 catch 部分完成解密：

最终解密部分依旧嵌套，和加密逻辑基本相似，这里不做分析了，依旧用初始化的随机值以及上文接口返回的参数进行解密：

box_init_key 接口与获取图片接口是相关联的，如果 init 接口的参数不对，那么获取图片的接口返回的密文长度很短，解密也会失败，这里多在浏览器，替换值对比，就可以少走很多弯路。

verify 接口

验证接口和上个接口加密是基本一致的，依旧还是俩个随机数和 sr 参数进行加密，唯一不同的就是需要轨迹 riskData：

轨迹这里校验贝塞尔，经过测试一、三阶贝塞尔是过不去的（也有可能是写的不对）。

轨迹不通过会提示：

• {‘code’: ‘B00008’, ‘msg’: ‘行为校验异常，请重试’, ‘data’: ‘10025840dbe54ef7aa8bfaeecc73961f’}

坐标错误提示：

• {‘code’: ‘B00006’, ‘msg’: ‘校验失败，请重试’, ‘data’: ‘100252724ccc4741be8acf2dfb51bf9d’}

最终用的是变速的方法进行通过的：

后期如果有小伙伴在这里卡住了，星球中会提供相关代码以供参考，最终我们将加密全部整合，即可通过。