一处JS反调试引发的思考

渗透技巧 2年前 (2021) admin

618 0 0

该文章首发于先知社区：https://xz.aliyun.com/t/10468

起因

白帽子们挖Web漏洞时，JavaScript信息是至关重要的一环

从JS中可以得到隐藏接口等信息，然后尝试挖掘越权，SQL注入和上传等洞

笔者刚入门时候曾用这种办法挖到了一些CNVD，算是收获颇丰

回到主题，审计JS能够获得重要信息，然而并不是所有JS都能直接拿来看

很多情况下白帽子们将会面临混淆后的JS，这时候就需要尝试逆向调试分析了

最近在研究JS逆向相关的事情，遇到了一处比较有趣的代码

也许对于大佬来说很简单，不过我不太懂JS，第一次遇到感觉挺有趣的

起因是发现调试该JS时候会发现卡死，但目标网站在正常使用该JS脚本

分析

做全局JavaScript做了一定的分析后，最终跟踪到代码如下

注意到其中有类似正则的地方，所有第一印象这里可能是业务逻辑代码，分析后发现并不是

var _0x578a10 = _0x2ba9['nKWcry'][_0x101b8f];
if (_0x578a10 === undefined) {
    var _0x4b1809 = function (_0x3b1d14) {
        this['YlKlnG'] = _0x3b1d14;
        this['NsTJKl'] = [0x1, 0x0, 0x0];
        this['HILIkx'] = function () {
            return 'newState';
        };
        this['GGmyeM'] = 'x5cw+x20*x5c(x5c)x20*{x5cw+x20*';
        this['VUtdVO'] = '[x27|x22].+[x27|x22];?x20*}';
    };
    _0x4b1809['prototype']['OsLPar'] = function () {
        var _0x1403ab = new RegExp(this['GGmyeM'] + this['VUtdVO']);
        var _0x3fadf0 = _0x1403ab['test'](this['HILIkx']['toString']()) ? --this['NsTJKl'][0x1] : --this['NsTJKl'][0x0];
        return this['anWLTR'](_0x3fadf0);
    };
    _0x4b1809['prototype']['anWLTR'] = function (_0x26db32) {
        if (!Boolean(~_0x26db32)) {
            return _0x26db32;
        }
        return this['xTDWoN'](this['YlKlnG']);
    };
    _0x4b1809['prototype']['xTDWoN'] = function (_0x597ca7) {
        for (var _0x3e27c4 = 0x0, _0x192434 = this['NsTJKl']['length']; _0x3e27c4 < _0x192434; _0x3e27c4++) {
            this['NsTJKl']['push'](Math['round'](Math['random']()));
            _0x192434 = this['NsTJKl']['length'];
        }
        return _0x597ca7(this['NsTJKl'][0x0]);
    };
    new _0x4b1809(_0x2ba9)['OsLPar']();
    _0x27941a = _0x2ba9['dzoqWA'](_0x27941a);
    _0x2ba9['nKWcry'][_0x101b8f] = _0x27941a;
} else {
    _0x27941a = _0x578a10;
}
return _0x27941a;

在一开始定义了大函数_0x4b1809

最终这样调用：new _0x4b1809(_0x2ba9)['OsLPar']();

跟入OsLPar函数

function () {
        var _0x1403ab = new RegExp(this['GGmyeM'] + this['VUtdVO']);
        var _0x3fadf0 = _0x1403ab['test'](this['HILIkx']['toString']()) ? --this['NsTJKl'][0x1] : --this['NsTJKl'][0x0];
        return this['anWLTR'](_0x3fadf0);
};

_0x1403ab拼出了一个正则：x5cw+x20*x5c(x5c)x20*{x5cw+x20*[x27|x22].+[x27|x22];?x20*}

化简后为其实就可以看懂了：w+ *() *{w+ *['|"].+['|"];? *}

不难猜出，该正则匹配的是：aaa () {aaa'aaa';}这样的字符串，看上去似乎是一个函数调用

照着写一段，验证猜测

var a = new RegExp("x5cw+x20*x5c(x5c)x20*{x5cw+x20*[x27|x22].+[x27|x22];?x20*}");
var b = a.test("function a () {return 'ok';}");
var c = a.test("function a () {return 'ok'; }");
var d = a.test("function a () { return 'ok';}");
console.log(b);// true
console.log(c);// true
console.log(d);// false

得出结论，函数调用的最后分号后可以跟多个空格，但左大括号之后必须跟字符串

这个正则正是导致我卡死的反调试核心代码

回到代码中_0x1403ab['test']等价于上文代码的a.test

var _0x3fadf0 = _0x1403ab['test'](this['HILIkx']['toString']()) ? --this['NsTJKl'][0x1] : --this['NsTJKl'][0x0];
return this['anWLTR'](_0x3fadf0);

函数参数为this['HILIkx']['toString']()

这个参数是正则需要匹配的目标，跟入HILIkx函数发现只是简单的return字符串

this['HILIkx'] = function () {
    return 'newState';
};

注意最后还有一个toString代码，这里的toString不同于Java的方法

这里直接返回的是纯字符串"function () {n return'newState';n};"

显然可以得出结论，无法匹配到正则w+ *() *{w+ *['|"].+['|"];? *}因此返回false

继续看后面的表达式，如果为true会从NsTJKl数组中移除1否则移除0，暂不分析这里的用途

this['NsTJKl'] = [0x1, 0x0, 0x0];

函数的return会跟入anWLTR函数，传入的_0x26db32一定是false

其中的~是非运算，所以代码最终会进入this['xTDWoN'](this['YlKlnG'])

_0x4b1809['prototype']['anWLTR'] = function (_0x26db32) {
    if (!Boolean(~_0x26db32)) {
        return _0x26db32;
    }
    return this['xTDWoN'](this['YlKlnG']);
};

跟入xTDWoN函数，先不考虑传入的参数，因为参数只会影响到返回值

_0x4b1809['prototype']['xTDWoN'] = function (_0x597ca7) {
    for (var _0x3e27c4 = 0x0, _0x192434 = this['NsTJKl']['length']; _0x3e27c4 < _0x192434; _0x3e27c4++) {
        this['NsTJKl']['push'](Math['round'](Math['random']()));
        _0x192434 = this['NsTJKl']['length'];
    }
    return _0x597ca7(this['NsTJKl'][0x0]);
};

重点关注for循环内容，次数数组this['NsTJKl']['length']长度为2大于0，所以成功进入for循环

将for循环化简如下，发现for循环内会往数组NsTJKl中push一个随机数

然后将数组长度赋值给length，本来进入for循环的条件i<length是满足的，继续加入随机数导致for循环永远满足，也就是死循环

for (var i = 0, length = this['NsTJKl']['length']; i < length; i++) {
    this['NsTJKl']['push'](Math['round'](Math['random']()));
    length = this['NsTJKl']['length'];
}

这里找到了卡死的原因，本质是一处的正则没有匹配到

问题来了，为什么目标网站的正则可以匹配到，但我本地无法匹配到

原因不难，目标网站的JS是压缩后的代码

this['HILIkx'] = function () {return 'newState';};

逆向者在本地尝试做破解的时候，会将代码格式化（无论chrome还是vscode里都会很容易地进行格式化）

格式化后的代码不满足条件，所以会进入死循环

绕过方式其实也简单，还原回压缩格式即可

......
var _0x4b1809 = function (_0x3b1d14) {
    this['YlKlnG'] = _0x3b1d14;
    this['NsTJKl'] = [0x1, 0x0, 0x0];
    this['HILIkx'] = function () {return 'newState';};
    this['GGmyeM'] = 'x5cw+x20*x5c(x5c)x20*{x5cw+x20*';
    this['VUtdVO'] = '[x27|x22].+[x27|x22];?x20*}';
};
......

实现

使用node的babel库

npm install @babel/parser

上手写代码

const parser = require("@babel/parser");
const traverse = require("@babel/traverse").default;
const t = require("@babel/types");
const generator = require("@babel/generator").default;
const fs = require("fs");

const jscode = fs.readFileSync("../demo.js", {
    encoding: "utf-8"
});
let ast = parser.parse(jscode);

// 正则初始化
var targetRegex = "x5cw+x20*x5c(x5c)x20*{x5cw+x20*[x27|x22].+[x27|x22];?x20*}";
var initValue = t.newExpression(t.identifier("RegExp"),[
    t.stringLiteral(targetRegex),
]);
var regDec = t.variableDeclaration("var", [t.variableDeclarator(t.identifier("_4ra1n"), initValue)]);

// 用于验证的函数
var tempBlock = t.blockStatement([t.returnStatement(t.stringLiteral("_4ra3n"))]);
var funcExpr = t.functionExpression(t.identifier("_4ra2n"),[],tempBlock);
var funcDec = t.variableDeclaration("var",[t.variableDeclarator(t.identifier("_4ra4n"), funcExpr)]);

// 正则test调用
var tempMem = t.memberExpression(t.identifier("_4ra1n"),t.stringLiteral("test"),true);
var callExpr =  t.callExpression(tempMem,[t.identifier("_4ra4n")]);
var callDec = t.variableDeclaration("var",[t.variableDeclarator(t.identifier("_4ra5n"),callExpr)]);

// 最终if判断和死循环模拟
var tempCallExpr = t.callExpression(t.identifier("Boolean"),[t.identifier("_4ra5n")]);
var tempForBlock = t.blockStatement([t.forStatement(null,null,null,t.blockStatement([]))]);
var unaryExpr = t.unaryExpression("!",tempCallExpr);
var ifState = t.ifStatement(unaryExpr,tempForBlock);

console.log("start");
// 遍历语法树添加
traverse(ast,{
    FunctionDeclaration(path) {
        let blockStatement = path.node.body;
        blockStatement.body.unshift(ifState);
        blockStatement.body.unshift(callDec);
        blockStatement.body.unshift(regDec);
        blockStatement.body.unshift(funcDec);
        path.get("body").replaceWith(blockStatement);
    }
});

let code = generator(ast).code;
fs.writeFile("./demo-new.js", code, (err) => { });

给出一个demo.js文件，简单的一个两数相加函数

function add(a, b) {
    var c = a + b;
    return c;
}

经过笔者自制工具处理后代码如下，给末尾添加调用语句add(1,2);执行该JS文件发现卡死

function add(a, b) {
  var _4ra4n = function _4ra2n() {
    return "_4ra3n";
  };

  var _4ra1n = new RegExp("\w+ *\(\) *{\w+ *['|"].+['|"];? *}");

  var _4ra5n = _4ra1n["test"](_4ra4n);

  if (!Boolean(_4ra5n)) {
    for (;;) {}
  }

  var c = a + b;
  return c;
}

add(1,2);

使用babel库的压缩代码功能

let code = generator(ast, {
    retainLines: false,
    comments: false,
    compact: true
}).code;

得到如下代码，执行代码后发现没问题

function add(a,b){var _4ra4n=function _4ra2n(){return"_4ra3n";};var _4ra1n=new RegExp("\w+ *\(\) *{\w+ *['|"].+['|"];? *}");var _4ra5n=_4ra1n["test"](_4ra4n);if(!Boolean(_4ra5n)){for(;;){}}var c=a+b;return c;}