JS逆向-Sekiro框架的簡單使用

    本文只作學習研究，禁止用於非法用途，否則後果自負，如有侵權，請告知刪除，謝謝！

     aHR0cHM6Ly93d3cuaWVzZG91eWluLmNvbS9zaGFyZS91c2VyLzgxNDE0MTYyODc2P3NlY191aWQ9TVM0d0xqQUJBQUFBa01DSU11enlDVkxjOXBOZFRLN2tYa05SbDZhT281U0l0NndqeGI2Z2tLOA==    開發者模式抓就行了，喜歡用charles的也可以使用charles

通過抓包可知，該請求為xhr請求，現在sources面板進行xhr斷點，看下請求調用棧

下好斷點，F5刷新頁面，發現已經成功斷點並獲取到詳細調用棧

將該文件內的js代碼全部copy下來，放到webstorm中供後續sekiro調用，這裡我將複製出來的代碼保存的文件命名為sekiro_test.js，首先將sekiro框架的js文件配置文件配好：github地址：https://github.com/virjar/sekiro

瀏覽器打開紅框中的js文件，並將返回的js代碼及藍框中的js代碼內容複製到剛才的sekiro_test.js文件中，如下所示：

配置代碼塊完成之後，打開chrome的reres插件（reres插件可自行搜索下載），進行js文件替換：

配置完成後，取消xhr斷點並刷新頁面，控制臺輸出如下：

打開該連結，其中group即為上輸藍框中wss連結裡的group參數，cation即為registerAction中的action接口clientTime，發現可以正常輸出當前時間，接下來則開始調試sekiro_test.js文件

根據剛才請求的調用棧，發現整個接口的發送邏輯是通過init(config)調用renderMain(config)，然後再在renderMain中調用getWorkList(type)，而後又通過getWorkList發送ajax請求實現的：

其中init方法參數config在控制臺顯示為一個object對象：

在sekiro_test.js文件中直接使用registerAction註冊一個getaData接口，傳遞resolve和reject參數調用init方法，做如下配置：

提示代碼錯誤，init方法未找到，因為該方法是在自執行函數中定義的，作用域不同，因此無法調用，此處可通過騷操作來調用，先在外部定義一個init_sekiro對象，然後在自執行函數內部定義init_sekiro = init即可在外部實現調用：

記得將resolve和reject也作為參數傳遞給renderMain和getWorkList

renderMain(config, resolve, reject){...}

getWorkList(type, resolve, reject){...}

在getWorkList中返回數據的位置使用resolve接受數據：

配置完成後，啟動reres插件替換js服務，關閉xhr斷點，刷新頁面：

在getWorkList中添加兩行，看下傳遞的參數：

輸出結果：

因為我們還沒有調用client服務，因此resolve為undefined，未避免這種情況，加一個判斷即可：

再次刷新頁面，發現沒有再報錯

使用postman遠程調用試下：

可以正常請求到數據，此時console控制臺輸出：

到這裡就已經實現xhr接口的遠程調用了，但是現在看config參數好像不太美觀，優化一下，將get請求的參數調整為sec_uid和uid：

python腳本也能正常返回數據：

當然，操作過程可能返回的數據是這樣的：

    有可能是接口後臺沒返回數據，多刷新幾次就可以了，畢竟現在的web端手動查看有時候都不返回數據了。

    至此則已實現sekiro框架的遠程調用服務，關鍵點在於找到數據接受和發送的位置，同時修改代碼時儘量不影響原網頁的運行，如有報錯則查看報錯位置的傳參和返回值，缺啥補啥即可，然後在那個地方實現遠程調用，獲取數據。

其中文中的group、client、clientId等都可到github上查看具體含義，在我的理解中，sekiro框架在js中的應用在某方面有點類似frida在安卓hook中的應用，都可以在不影響原網頁或app運行的過程中，將結果hook下來並實現遠程調用，期待後續在安卓群控場景中的應用。github地址：https://github.com/virjar/sekiro僅為測試學習，請勿批量採集，如有商業需求可到github上聯繫原作者virjar。