注入eval, Function等系統(tǒng)函數(shù)，截獲動態(tài)代碼

xuexiangjys 發(fā)布于2019-07-31 10:15 / 475人閱讀

摘要：動態(tài)執(zhí)行代碼無非兩種方法，即和。注意，有些網(wǎng)站會檢測和這兩個方法是否原生，因此需要一些小花招來忽悠過去。注入方式另外，還有個問題需要關(guān)注，就是掛鉤代碼的注入方法。

工具和資料

QQ群 - Javascript高級爬蟲 - 作者自建群，歡迎加入！

awesome-java-crawler - 作者收集的爬蟲相關(guān)工具和資料

正文

現(xiàn)在很多網(wǎng)站都上了各種前端反爬手段，無論手段如何，最重要的是要把包含反爬手段的前端javascript代碼加密隱藏起來，然后在運行時實時解密動態(tài)執(zhí)行。
動態(tài)執(zhí)行js代碼無非兩種方法，即eval和Function。那么，不管網(wǎng)站加密代碼寫的多牛，我們只要將這兩個方法hook住，即可獲取到解密后的可執(zhí)行js代碼。
注意，有些網(wǎng)站會檢測eval和Function這兩個方法是否原生，因此需要一些小花招來忽悠過去。

掛鉤代碼

首先是eval的掛鉤代碼：

(function() {
    if (window.__cr_eval) return
    window.__cr_eval = window.eval
    var myeval = function (src) {
        console.log("================ eval begin: length=" + src.length + ",caller=" + (myeval.caller && myeval.caller.name) + " ===============")
        console.log(src);
        console.log("================ eval end ================")
        return window.__cr_eval(src)
    }
    var _myeval = myeval.bind(null)  // 注意：這句和下一句就是小花招本招了！
    _myeval.toString = window.__cr_eval.toString
    Object.defineProperty(window, "eval", { value: _myeval })
    console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();

這段代碼執(zhí)行后，之后所有的eval操作都會在控制臺打印輸出將要執(zhí)行的js源碼。
同理可以寫出Function的掛鉤代碼：

(function() {
    if (window.__cr_fun) return
    window.__cr_fun = window.Function
    var myfun = function () {
        var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.length - 1]
        console.log("================ Function begin: args=" + args + ", length=" + src.length + ",caller=" + (myfun.caller && myfun.caller.name) + " ===============")
        console.log(src);
        console.log("================ Function end ================")
        return window.__cr_fun.apply(this, arguments)
    }
    myfun.toString = function() { return window.__cr_fun + "" } // 小花招
    Object.defineProperty(window, "Function", { value: myfun })
    console.log(">>>>>>>>>>>>>> Function injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();

注意：和eval不同，F(xiàn)unction是個有變長參數(shù)的構(gòu)造方法，需要處理this

另外，有些網(wǎng)站還會用類似的機制加密頁面內(nèi)容，然后通過document.write輸出動態(tài)解密的內(nèi)容，因此同樣可以掛鉤document.write，掛鉤方法類似eval，這里就不重復(fù)了。

注入方式

另外，還有個問題需要關(guān)注，就是掛鉤代碼的注入方法。
最簡單的就是F12調(diào)出控制臺，直接執(zhí)行上面的代碼，但這樣只能hook住執(zhí)行之后的eval調(diào)用，如果希望從頁面剛加載時就注入，那么可以用以下幾種方式：

油猴注入，油猴可以監(jiān)聽文檔加載的幾種不同狀態(tài)，并在特定時刻執(zhí)行js代碼。我沒有太多研究，具體請參見油猴手冊

代理注入，修改應(yīng)答數(shù)據(jù)，在標(biāo)簽內(nèi)的第一個位置插入"); oSession.utilSetResponseBody(b); // Set the response body back }

這樣就會在所有html文檔頭部自動添加js代碼了

2. 如何添加anyproxy代理規(guī)則

編輯一個rule.js保存在anyproxy根目錄下，內(nèi)容如下：

function injectEval() {
    if (window.__cr_eval) return
    ... // 見正文，此處略
    console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
}
module.exports = {
  summary: "a rule to hook all eval",
  *beforeSendResponse(requestDetail, {response}) {
    if (response.header["Content-Type"].indexOf("text/html") >= 0) {
      response.body = (response.body + "").replace(/]*>/i, `$&`)
      return {response}
    }
  },
};

帶規(guī)則啟動anyproxy
anyproxy -r rule.js

可以看到，使用基于js的工具鏈有其天然優(yōu)勢，即注入代碼可以以源碼而不是字符串形式和規(guī)則代碼共存，這樣可以利用到IDE的語法檢查、自動完成等機制，能夠大大提高生產(chǎn)力。