申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！
公众号现在只对常读和星标的公众号才展示大图推送，
建议大家把 明暗安全
 设为星标，否则可能就看不到啦！

1.漏洞背景

继续接上次，我们已经可以成功调用加密函数获得w的值，虽然已经成功调用，但是传入参数也是有加密的，所以今天我们继续深入分析。

逆向1地址：

实战 ｜ 一文教你如何js逆向（一）

参数e中的pow_msg和pow_sign逆向

发现有两个参数，我们先看第一个参数e

发现有两个参数pow_msg和pow_sign我们不能进行构造，需要继续分析。其余参数中setLeft为滑动的距离，userresponse由计算得到，剩下的参数都可固定。

在i的上一个栈中我们发现了关键字pow_msg，对应文中的编码为"\u0070\u006f\u0077\u005f\u006d\u0073\u0067"

我们进行全局搜索，发现只有三个结果，并且两个都在同一个方法中，在函数入口下断点，然后重新获取验证码进入断点。

该方法中的参数比较多，我们逐个分析。

其中 e 为 'a1f54fb19958473f9688109fe44eb414' ，进行全局搜索这个参数。

在load返回包中发现了该值，为lot_number，并且也发现了pow_detail值，正好为加密函数参数的n，s，r，i值

就剩下t = '24f56dc13c40dc4a02fd0318567caef5'值我们继续搜索。结果一看就明白了，为captcha_id

分析完参数了我们回到加密函数。将方法进行导出。定义名字为window.qingtong_s

成功在本地执行，并且得到这两个参数。    

参数t的构成

在控制台中打印t参数发现有一大坨东西，根据经验来看，肯定不是全都用上的。

我们回到上一篇文章的导出方法中，将该参数传入空值，发现提示options未定义

再查看加密函数中的t的引用，发现只有一个options，所以我们只需要构造该值即可。

在控制台中输出t["options"]，发现箭头指向的值我们已经全部解决了。只需要简单构造即可。    

附上我构造的代码仅供参考。

最后滑块的识别和验证的发包就不过多叙述了，识别直接用开源的即可。

附上我的成功调用截图。

有兴趣的小伙伴可以一起加群交流啊，关注公众号回复加群即可，一起探讨逆向在渗透中的应用。

• 往期精彩推荐
  

❤️爱心三连击

1.本文已收录在明暗官方网站：http://www.php1nf0.top/