JS中注入eval, Function等系統(tǒng)函數(shù)截獲動(dòng)態(tài)代碼

更新時(shí)間：2019年04月03日 10:49:07 作者：rockswang

這篇文章主要介紹了JS中注入eval, Function等系統(tǒng)函數(shù)截獲動(dòng)態(tài)代碼,非常不錯(cuò)，具有一定的參考借鑒價(jià)值，需要的朋友可以參考下

現(xiàn)在很多網(wǎng)站都上了各種前端反爬手段，無(wú)論手段如何，最重要的是要把包含反爬手段的前端javascript代碼加密隱藏起來(lái)，然后在運(yùn)行時(shí)實(shí)時(shí)解密動(dòng)態(tài)執(zhí)行。

動(dòng)態(tài)執(zhí)行js代碼無(wú)非兩種方法，即eval和Function。那么，不管網(wǎng)站加密代碼寫(xiě)的多牛，我們只要將這兩個(gè)方法hook住，即可獲取到解密后的可執(zhí)行js代碼。

注意，有些網(wǎng)站會(huì)檢測(cè)eval和Function這兩個(gè)方法是否原生，因此需要一些小花招來(lái)忽悠過(guò)去。

掛鉤代碼

首先是eval的掛鉤代碼：

(function() {
  if (window.__cr_eval) return
  window.__cr_eval = window.eval
  var myeval = function (src) {
    console.log("================ eval begin: length=" + src.length + ",caller=" + (myeval.caller && myeval.caller.name) + " ===============")
    console.log(src);
    console.log("================ eval end ================")
    return window.__cr_eval(src)
  }
  var _myeval = myeval.bind(null)
  _myeval.toString = window.__cr_eval.toString
  Object.defineProperty(window, 'eval', { value: _myeval })
  console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();

這段代碼執(zhí)行后，之后所有的eval操作都會(huì)在控制臺(tái)打印輸出將要執(zhí)行的js源碼。

同理可以寫(xiě)出Function的掛鉤代碼：

(function() {
  if (window.__cr_fun) return
  window.__cr_fun = window.Function
  var myfun = function () {
    var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.length - 1]
    console.log("================ Function begin: args=" + args + ", length=" + src.length + ",caller=" + (myfun.caller && myfun.caller.name) + " ===============")
    console.log(src);
    console.log("================ Function end ================")
    return window.__cr_fun.apply(this, arguments)
  }
  myfun.toString = function() { return window.__cr_fun + "" }
  Object.defineProperty(window, 'Function', { value: myfun })
  console.log(">>>>>>>>>>>>>> Function injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();

注意和eval不同，F(xiàn)unction是個(gè)變長(zhǎng)參數(shù)的構(gòu)造方法，需要處理this

另外，有些網(wǎng)站還會(huì)用類(lèi)似的機(jī)制加密頁(yè)面內(nèi)容，然后通過(guò)document.write輸出動(dòng)態(tài)解密的內(nèi)容，因此同樣可以掛鉤document.write，掛鉤方法類(lèi)似eval，這里就不重復(fù)了。

注入方式

另外，還有個(gè)問(wèn)題需要關(guān)注，就是掛鉤代碼的注入方法。

最簡(jiǎn)單的就是F12調(diào)出控制臺(tái)，直接執(zhí)行上面的代碼，但這樣只能hook住之后的調(diào)用，如果希望從頁(yè)面剛加載時(shí)就注入，那么可以用以下幾種方式：

油猴注入，油猴可以監(jiān)聽(tīng)文檔加載的幾種不同狀態(tài)，并在特定時(shí)刻執(zhí)行js代碼。我沒(méi)有太多研究，具體請(qǐng)參見(jiàn)油猴手冊(cè)
代理注入，修改應(yīng)答數(shù)據(jù)，在<head>標(biāo)簽內(nèi)的第一個(gè)位置插入<script>節(jié)點(diǎn)，確保在其它js加載執(zhí)行前注入；Fiddler, anyproxy等都可以編寫(xiě)外部規(guī)則，具體請(qǐng)參見(jiàn)代理工具的手冊(cè)
使用chrome-devtools-protocol, 通過(guò)Page.addScriptToEvaluateOnNewDocument注入外部js代碼

Fiddler代理規(guī)則

不少人沒(méi)用過(guò)代理規(guī)則，這里寫(xiě)一下Fiddler的規(guī)則編寫(xiě)方法：

Fiddler菜單里Rules > Customize Rules 打開(kāi)腳本編輯器

在腳本編輯器里找OnBeforeResponse方法，方法內(nèi)添加下面代碼：

if (oSession.oResponse.headers.ExistsAndContains("Content-Type", "html")){
  oSession.utilDecodeResponse(); // Remove any compression or chunking
  var b = System.Text.Encoding.UTF8.GetString(oSession.responseBodyBytes);
  var r = /<head[^>]*>/i;
  var js = "..."; // 要注入的js源碼
  b = b.replace(r, "$0<script>" + js + "</script>");
  oSession.utilSetResponseBody(b); // Set the response body back
}

這樣就會(huì)在所有html文檔頭部自動(dòng)添加js代碼了

總結(jié)

以上所述是小編給大家介紹的JS中注入eval, Function等系統(tǒng)函數(shù)截獲動(dòng)態(tài)代碼，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

您可能感興趣的文章: