【JS逆向】破解B站登录加密策略

昨天还立flag说今天不摸鱼了，结果又摸了半天，稍微总结一下。GitHub上有一个叫做「哔哩哔哩-API收集整理」 [1] 的仓库，这个仓库是之前破解第三方B站视频下载方式的时候明一gg发给我的，当时没有看的很仔细，今天又找出来看了看里面的文档，解决了很多之前的疑惑。

登录有什么用——获取cookie

上一篇推文里，随口提了一句登录的作用。 登录以后可以获得更多的权限，比如发帖、收藏等功能，此外有些内容只有登录以后才能访问。 对于B站来说，注册成为正式会员以后可以点赞、投币、收藏喜欢的视频，也算对up主小小的鼓励。此外， 不管通过什么途径 （插件、客户端等等），想要下载720P及以上的视频，都需要保持登录状态，如果想要下载的是大会员的专属视频，那么需要的就是大会员的cookie。

关于视频流会员鉴权：

获取720P及以上清晰度视频时需要登录（Cookie） 获取高帧率（1080P60）/高码率（1080P+）视频时需要有大会员的账号登录（Cookie） 获取会员专属视频时需要登录（Cookie） 而那些第三方的下载网站，原理无非是网站的管理员持有多个账号，然后用这些账号登录后的cookie来获取视频的下载链接。而显然，一个个账号手动登录再把cookie保存下来是不现实的，所以才需要用爬虫程序来完成登录。

找齐所需参数

首先按照之前提到的套路，用错误的密码进行登录。

登录B站的Form Data需要的参数如下： captchaType 、 keep 、 goUrl 为固定参数 username ：用户名，这里填的是手机号 password ：加密过后的密码，看到最后的=可以猜测是加密以后再用Base64编码 key 、 challenge 、 validate 、 seccode ：加密参数，来源暂时未知 再次查阅一下「哔哩哔哩-API收集整理」 [1] ，可以知道这里的 key 和 challenge 都是从B站的API获取的，而 validate 和 seccode 是从「极验」获取的。 参数名 类型 内容 必要性 备注 captchaType num 6 必要 必须为 6 username str 用户登录账号 必要 手机号或邮箱地址 password str 加密后的带盐密码 必要 base64格式 keep bool true 必要 必须为 true key str 登录秘钥 必要 从B站API获取 challenge str 极验challenge 必要 从B站API获取 validate str 极验结果 必要 从极验获取 seccode str 极验结果 必要 从极验获取 返回Network请求列表，仔细查找，果然在登录前面找到这样一个请求：

获取key和challenge的API）这次请求的响应包含了 key 和 challenge ，此外还有一个参数 gt 。响应中的key和challenge那么剩下的 validate 和 seccode 是怎么来的呢？在请求列表中继续往下找，可以找到这样一个请求：

获取验证码的POST请求它的响应包含了刚才登录时弹出的验证码：

响应中包含验证码地址将 image_servers 中的任意一个字符串和 pic 字符串拼接后就得到了验证码的图片地址：

验证码图示按照顺序点击“越”、“橘”、“红”后生成一个 w 参数，再次发起请求得到 validate 和 seccode （ seccode 就是 validate 后面拼接一个 |jordan ）:

响应中的validate到这里我们已经知道所有参数的来源了，我画了一张图来表示这个过程：

参数生成流程图

破解加密策略

全局搜索 password 关键字，可以找到11个文件，注意到这个login开头的js文件，相当可疑。

全局搜索password在文件中再次搜索 password ，找到这个地方，不出意外应该就是 password 赋值的地方，打上一个断点：

定位到加密处打上断点以后，重新点击登录，

确认是在这里加密可以看出密码是在 s = this.encryptPassword(this.password) 这行代码中被加密的，加密函数为 this.encryptPassword

进入函数内部

加密函数可以看到这里用到了 JSEncrypt 库，这个库是专门用来做 RSA 加密的， hash 和 key 包含在另一个响应中：

响应中的公钥现在分析一下密码加密的逻辑： 通过GET?https://passport.bilibili测试数据/login?act=getkey&r=随机数这个API来获取 RSA 加密的参数 hash 和 key 将 key 设置为公钥 将字符串 hash 和原始密码拼接，然后进行RSA加密 由于逻辑比较清晰，可以直接用Python把这个加密流程复现出来。

 import?random import?base64 from?Crypto.PublicKey?import?RSA from?Crypto.Cipher?import?PKCS1_v1_5?as?Cipher_pkcs1_v1_5  password?=?'xxxxxx' r?=?requests.get('https://passport.bilibili测试数据/login?act=getkey&r={}'.format(random.random())) key,?_hash?=?r.json()['key'],?r.json()['hash']  rsa_key?=?RSA.importKey(key) cipher?=?Cipher_pkcs1_v1_5.new(rsa_key)?? crypted_password?=?base64.b64encode(cipher.encrypt((_hash?+?password).encode("utf-8"))).decode('utf8')??  

“破解”验证码

之所以加了引号是因为我走了个后门，并没有实际解决验证码的加密流程——如何获取参数 w 。经过一番网上冲浪，我查到有一个叫「2captcha」 [2] 的网站专门处理各种各样的验证码，其中就有「极验」。

2captcha提供的服务收费是每1000次请求2.99美元，用支付宝就可以支付，于是我为了试一试这个服务就付了3美元。

优埃斯刀了

超时——hash是有寿命的

我把刚才的想法实现完以后，得到的响应是这样的：

提交超时这个「提交超时」是咋回事呢？我测试了一下输入错误的密码和错误的验证信息都会得到不同的报错信息。

账号密码错误

验证码参数错误于是只能再次求助「哔哩哔哩-API收集整理」 [1] 了，一番查阅之后查到了如下内容：

hash是有寿命的到这里我终于搞明白我之前失败的原因了——每次验证都需要30秒左右的时间， hash 早就过期了。于是调整一下顺序，先进行验证，再对密码进行加密，然后就成功啦。

成功登录之后整理一下代码，会发在原文链接指向的GitHub仓库中。 旁边的师兄看到我又在不务正业，在写这些确实没什么卵用的代码，教育我说道：“霏霏你这样每天不科研是没法毕业的，你看看人家大师兄顶会一篇接一篇地发，你不惭愧吗？”。我留下了不务正业的眼泪，泪水打湿了板烧鸡腿堡[3]。

查看更多关于【JS逆向】破解B站登录加密策略的详细内容...