注入eval, Function等系統函式,截獲動態程式碼
摘要:
現在很多網站都上了各種前端反爬手段,無論手段如何,最重要的是要把包含反爬手段的前端javascript程式碼加密隱藏起來,然後在執行時實時解密動態執行。
動態執行js程式碼無非兩種方法,即eval和Function。那麼,不管網站加密程式碼寫的多牛,我們只要將這兩個方法hook住...
現在很多網站都上了各種前端反爬手段,無論手段如何,最重要的是要把包含反爬手段的前端javascript程式碼加密隱藏起來,然後在執行時實時解密動態執行。
動態執行js程式碼無非兩種方法,即eval和Function。那麼,不管網站加密程式碼寫的多牛,我們只要將這兩個方法hook住,即可獲取到解密後的可執行js程式碼。
注意,有些網站會檢測eval和Function這兩個方法是否原生,因此需要一些小花招來忽悠過去。
首先是eval的掛鉤程式碼:
(function() {
if (window.__cr_eval) return
window.__cr_eval = window.eval
var myeval = function (src) {
console.log("================ eval begin: length=" + src.length + ",caller=" + (myeval.caller && myeval.caller.name) + " ===============")
console.log(src);
console.log("================ eval end ================")
return window.__cr_eval(src)
}
var _myeval = myeval.bind(null)
_myeval.toString = window.__cr_eval.toString
Object.defineProperty(window, 'eval', { value: _myeval })
console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();
這段程式碼執行後,之後所有的eval操作都會在控制檯列印輸出將要執行的js原始碼。
同理可以寫出Function的掛鉤程式碼:
(function() {
if (window.__cr_fun) return
window.__cr_fun = window.Function
var myfun = function () {
var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.length - 1]
console.log("================ Function begin: args=" + args + ", length=" + src.length + ",caller=" + (myfun.caller && myfun.caller.name) + " ===============")
console.log(src);
console.log("================ Function end ================")
return window.__cr_fun.apply(this, arguments)
}
myfun.toString = function() { return window.__cr_fun + "" }
Object.defineProperty(window, 'Function', { value: myfun })
console.log(">>>>>>>>>>>>>> Function injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();
注意和eval不同,Function是個變長引數的構造方法,需要處理this
另外,有些網站還會用類似的機制加密頁面內容,然後通過document.write輸出動態解密的內容,因此同樣可以掛鉤document.write,掛鉤方法類似eval,這裡就不重複了。
另外,還有個問題需要關注,就是掛鉤程式碼的注入方法。
最簡單的就是F12調出控制檯,直接執行上面的程式碼,但這樣只能hook住之後的呼叫,如果希望從頁面剛載入時就注入,那麼可以用以下幾種方式:
- 油猴注入,油猴可以監聽文件載入的幾種不同狀態,並在特定時刻執行js程式碼。我沒有太多研究,具體請參見油猴手冊
- 代理注入,修改應答資料,在<head>標籤內的第一個位置插入<script>節點,確保在其它js載入執行前注入;Fiddler, anyproxy等都可以編寫外部規則,具體請參見代理工具的手冊
- 使用chrome-devtools-protocol, 通過Page.addScriptToEvaluateOnNewDocument注入外部js程式碼