微信小程序的加密与验签早前大多数情况,要么就是逆向获取源码而后拿到加密秘钥,要么就是逆向拿到源码后使用腾讯自带的小程序开发者功能进行动态调试模拟,今天介绍一款志远大佬的开源工具—WeChatOpenDevTool
工具下载地址:
https://github.com/JaveleyQAQ/WeChatOpenDevTools-Python
正文:
首先运行脚本,而后打开微信小程序,注意先后顺序,打开小程序后,打开调试器
本次使用的依然是PC端微信进行小程序抓包,抓包使用的工具就是fiddler+burpsuite ,具体使用方式上文有过介绍,此处不再进行赘述
大家可以看到,首先请求参数是加密的,并且请求头包含nonce、timestamp、signature信息,若是看过笔者的第一篇加密解密文章就知道,这里是一个签名校验,绝大多数的签名校验都是利用以上信息结合body进行加密,少数的还会带上uri或者是一些其他参数,那么我们今天要做的就是获取他请求包包体加密的方式以及签名校验的生成方法
老规矩,直接在开发者调试里面全局搜索requestData参数,这是最快定位的方法,当然了也可以利用网络信息进行断点调试
我们很快就找到了关键信息requestData: n.encrypt(o, r),一眼丁真
通过单步步过,我们可以获知n = require(t(219))为加密函数,所以需要进去看一下加密方法,,F9步入后发现其实是sm4国密算法,sm4大家可以理解为改良版的aes加密
继续进行步过(F10),结果如下:
经过测试,这里面的sm4秘钥是写死的,直接用就行
在获取了加密算法与秘钥的情况下,我们继续调试,幸运的是在进行下断点的时候,看到了这个签名校验的函数
疑似signature
跟进函数l(u, i, n, v)
F9进入到l()函数内,此时函数变为l(e, t, n, r),这里面的e,t,n,r 就相当于u, i, n, v ,这里面就是一个形参,而传入进去的u, i, n, v才是真正的实参
我们可以看到,函数最后一行s(p + e + c + u) ,这里其实才是最终输出的值,所以我们需要关注p/e/c/u这四个参数是怎么来的,s()这个函数做了什么
首先,p这个参数其实是一个三元运算结果,我们传入的r参数此时是-1,他会做一个比较,大于等于0和小于0的时候去输出不同的p值
r >= 0 ? p = [(o = a)(345), o(230), o(211), “RhYqRedo=K7JvcuyjpbyppnZr7qQGs21JQsTNSp5TJm”, o(269), “Tyrcs”][o(343)](1, 5)[o(215)](“”) : p = d();
由于此时是-1,所以p=d(),大家可以步入d()函数,但是其实无论是大于还是小于,结果都是写死的哈
r >=0 的时候,
p=NBMExPe9iO{WXsAxZMRhYqRedo=K7JvcuyjpbyppnZr7qQGs21JQsTNSp5TJmczO
r <0 的时候,
p=EvAucyQXqhNrXB23hw8wPw73xHzAHNqipmBFKJTHGzBXTsHpNxR9PGyMhErNEvAu
e的值其实就是个uuid,我们一会进行介绍;
c = e[i(202)](5) ,我们可以看一下[i(202)](5) 做了什么
我们通过控制台调试,不难发现,其实i(202)是一个substring字符串截取工具,而e[i(202)](5)其实就是对e下标为5的位置开始截取字符串
下面就是u了,u = s(JSON[i(286)](n))
我们看JSON[i(286)](n) ,就能大概知道咋回事了,实际上就是把传进来的明文参数进行了json转换
但是s()这个函数是干什么呢,实际上笔者一开始也是一脸懵,笔者进入函数调试的时候,发现首先会将json转换后的参数进行ascii编码,然后计算length长度后进行一系列复杂的运算最后生成一个32长度的字符串,最后再进行取值,这里笔者完全是懵逼的,大概精简的代码如下
function l(r) {var n = 8 * r.length, t = n % 512;t = t >= 448 ? 512 - t % 448 - 1 : 448 - t - 1;for (var e = new Array((t - 7) / 8), o = 0, a = e.length; o < a; o++)e[o] = 0;var c = [];n = n.toString(2);for (var u = 7; u >= 0; u--)if (n.length > 8) {var l = n.length - 8;c[u] = parseInt(n.substr(l), 2),n = n.substr(0, l)} elsen.length > 0 ? (c[u] = parseInt(n, 2),n = "") : c[u] = 0;for (var i = [].concat(r, [128], e, c), s = i.length / 64, v = [115, 128, 22, 111, 73, 20, 178, 185, 23, 36, 66, 215, 218, 138, 6, 0, 169, 111, 48, 188, 22, 49, 56, 170, 227, 141, 238, 77, 176, 251, 14, 78], h = 0; h < s; h++) {var g = 64 * h;v = f(v, i.slice(g, g + 64))}return v}
其实在这里笔者就卡主了,不会了,完全看不出来是什么,这也不是sha1-256,因为笔者去试过了,但是柳暗花明的就是,笔者在第二天清晨看到了这个
山重水复疑无路,柳暗花明又一村,原来是SM3
所以此时问题迎刃而解
s(p + e + c + u) 这个函数就是把p + e + c + u四个参数串起来,然后进行SM3编码
上次说到,e的值其实就是个uuid,所以我们回到上面,看一下e是怎么来的
进入c()函数
function c() {for (var e = a, t = [], n = e(306), r = 0; r < 36; r++)t[r] = n[e(234)](Math.floor(16 * Math[e(346)]()), 1);return t[14] = "4",t[19] = n[e(234)](3 & t[19] | 8, 1),t[8] = t[13] = t[18] = t[23] = "-",t[e(215)]("")[e(268)]("-", "")}
大家不需要完全看得懂,我们只需要知道,他是由啥组成的,在什么位置有横杠就行
这个 JavaScript 函数的作用是生成一个符合 UUID(Universally Unique Identifier)规范的字符串。UUID 是一种用于标识信息或对象的唯一标识符。
现在让我们分解这个 JavaScript 函数的工作原理:
使用一个名为 a 的函数作为参数传入(在这里被省略了)。
创建一个空数组 t,用于存储生成的 UUID。
通过调用函数 e(306) 获取一个随机数生成器。
循环执行 36 次以下操作:
生成一个 0 到 15 之间的随机整数,然后转换为十六进制字符。
将生成的字符存储到数组 t 中。
修改数组中的特定索引位置,使得生成的 UUID 符合 UUID 版本 4 的规范:
将第 15 个字符设置为 “4”(UUID 版本号)。
将第 20 个字符的高 4 位设置为 “8”, “9”, “a” 或 “b”(UUID 变体)。
将数组中的特定索引位置设置为连字符 “-“。
使用 join() 方法将数组中的元素连接成一个字符串,并移除其中的连字符 “-“,最终得到 UUID。
下面是相应的 Python 代码:
python
import randomdef generate_uuid():characters = '0123456789abcdef'uuid_list = [random.choice(characters) for _ in range(36)]uuid_list[14] = '4'uuid_list[19] = random.choice('89ab')uuid_list[8] = uuid_list[13] = uuid_list[18] = uuid_list[23] = '-'return ''.join(uuid_list)
测试生成的 UUID
print(generate_uuid())
这个 Python 函数与 JavaScript 函数的实现类似,使用了 random.choice() 函数来从指定的字符集中随机选择字符,并通过字符串操作和列表操作生成 UUID。
最后总结一下,这个如果写脚本的话,一个接口就需要一个脚本,有点不值了,建议能力强的写个ipython写进burp里,只是难度有点……
最后来张表情包
原文始发于微信公众号(我不懂安全):小程序动态调试-解密加密数据与签名校验
