本系列文章所討論的 JavaScript 資安與逆向工程技術，旨在分享知識、探討防禦之道，並促進技術交流。
所有內容僅供學術研究與學習，請勿用於任何非法或不道德的行為。
讀者應對自己的行為負完全責任。尊重法律與道德規範是所有技術人員應共同遵守的準則。

本文同步發佈：https://nicklabs.cc/javascript-reverse-engineering-header-response-easy

挑戰網址

aHR0cHM6Ly93d3cubWFzaGFuZ3BhLmNvbS9wcm9ibGVtLWRldGFpbC82Lw==

解題過程

觀察 Network 請求

在 Chrome DevTools 打開 「 Network 」 分頁，並篩選 「 XHR / Fetch 」 請求。

可以看到 Method 為 GET 且 URL 沒有任何驗證餐數。

查看 Request Headers

查看 Request Headers 可以看到兩個關鍵欄位。

s：驗證參數。

tt：時間戳。

查看 Request Response

伺服器回傳一段加密字串 t 需要解密後才能得到真實資料。

搜尋參數位置

按下 ESC 打開底部工具欄透過 Search 搜尋 s:。

搜尋結果顯示 pagination6.js 檔案裡有 s: window.token 的程式碼。

這代表 s 的值，實際上是 window.token。

找到加密位置

發現 token 是透過 xxoo 函式運算後產生並與時間戳組合存入 window.hhh。

設置斷點

在第 92 行 (window.token = window.xxoo(...)) 打斷點。

切換分頁時程式會停在這邊，滑鼠移到 xxoo 上方會顯示該函式資訊。

點擊後即可跳轉到 xxoo 函式所在的行數。

進入 xxoo 函式

在第 76 行打斷點後按下「Resume script execution」後進入函式並且馬上斷著。

可在 Scope → Local 看到傳入參數。

n：sssssbbbbb1756951474291

r：undefined

t：undefined

逐步執行觀察輸出

使用「Step into next function call」逐步追蹤可以發現實際會執行 h(l(n)) 函式。

按下 ESC 打開底部工具欄在 Console 中輸入 n 可以查看參數初始值再次輸入 h(l(n)) 可以得到加密過後的值為 "9e93f4ebddf3803e2ec4f248d34e1378"。

此數值長度為32位非常類似MD5 我們可以實際測試將 "sssssbbbbb1756951474291" 使用NodeJS進行MD5，實際運算後發現結果與 h(l(n)) 的結果相同證實 h(l(n)) 確實為MD5。

const CryptoJS = require('crypto-js');

const message = "sssssbbbbb1756951474291";
const md5Hash = CryptoJS.MD5(message).toString();

console.log(`MD5 雜湊值: ${md5Hash}`);

Response 解密流程

在第 124 行 (JSON.parse(xxxoooo(data.t))) 打斷點。

切換分頁時程式會停在這邊，點擊後即可跳轉到 xxxoooo 函式所在的行數。

分析 AES 解密函式

在 xxxoooo 函式內看到使用 AES 解密。

kkkk 與 iiii 作為 key 與 iv 透過 AES.decrypt 解密伺服器回傳的 t 即可得到真實資料。

完整程式碼

const CryptoJS = require('crypto-js')

function generatorHeaderS(time) {
    const data = "sssssbbbbb" + time

    return CryptoJS.MD5(data).toString()
}

const decrypt = (encryptedHex) => {
    let key = CryptoJS.enc.Utf8.parse("xxxxxxxxoooooooo");
    let iv = CryptoJS.enc.Utf8.parse("0123456789ABCDEF");

    let parseEncryptedHex = CryptoJS.enc.Hex.parse(encryptedHex);
    let decryptBuffer = CryptoJS.AES.decrypt({
            ciphertext: parseEncryptedHex
        },
        key,
        {
            mode: CryptoJS.mode.CBC,
            padding: CryptoJS.pad.Pkcs7,
            iv: iv,
        });
    return decryptBuffer.toString(CryptoJS.enc.Utf8);
}

const getPage = async(page) => {
    const time = new Date().getTime();

    const response = await fetch("https://xxxxxxxxxx/api/problem-detail/6/data/?page=" + page, {
        "headers": {
            "accept": "*/*",
            "accept-language": "zh-TW,zh;q=0.9,en;q=0.8,en-US;q=0.7",
            "cache-control": "no-cache",
            "pragma": "no-cache",
            "priority": "u=1, i",
            "sec-ch-ua": "\"Not;A=Brand\";v=\"99\", \"Google Chrome\";v=\"139\", \"Chromium\";v=\"139\"",
            "sec-ch-ua-mobile": "?0",
            "sec-ch-ua-platform": "\"macOS\"",
            "sec-fetch-dest": "empty",
            "sec-fetch-mode": "cors",
            "sec-fetch-site": "same-origin",
            "cookie": "sessionid=xxxxxxxxxx",
            "Referer": "https://xxxxxxxxxx/problem-detail/6/",
            "user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36",
            "s": generatorHeaderS(time),
            "tt": time
        },
        "body": null,
        "method": "GET"
    });

    let json = await response.json()

    json = JSON.parse(decrypt(json.t))

    return json.current_array.reduce((a, b) => a + b, 0);
}

const run = async() => {
    let total = 0;
    for(let i = 1; i <= 20; i++){
        total += (await getPage(i))
    }

    console.log(`total: ${total}`)
}

run()

Github 原始碼

https://github.com/mrnick6886/ScrapingChallenges/blob/main/mashangpa/6.js