Hook 技术原理
Hook 是一种钩子技术,在系统没有调用函数之前,钩子程序就先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,也可以强制结束消息的传递。 简单来说,修改原有的 JS 代码就是 Hook。
Hook 技术之所以能够实现有两个条件:
- 客户端拥有 JS 的最高解释权,可以决定在任何时候注入 JS,而服务器无法阻止或干预。服务端只能通过检测和混淆的手段,另 Hook 难度加大,但是无法直接阻止。
- 除了上面的必要条件之外,还有一个条件。就是 JS 是一种弱类型语言,同一个变量可以多次定义、根据需要进行不同的赋值,而这种情况如果在其他强类型语言中则可能会报错,导致代码无法执行。js 的这种特性,为我们 Hook 代码提供了便利。
JS 作用域问题 1:自执行函数的 Hook 问题
JS 变量是有作用域的,只有当被 hook 函数和 debugger 断点在同一个作用域的时候,才能 hook 成功。 对于下面的自执行函数,在执行完之后我们实际上是无法 hook test 函数的。因为 test 是在自执行函数的作用域,而不是在全局作用域。而此时,自执行函数已经执行完了,test 函数已经被内存清空无法 hook。
!(function(){
var arg = 1;
var test = function(){
console.log(arg);
}
})()
debugger;
在此处 hook test();
争取的写法应该是下面这样,这样当程序被断下来以后才能 hook test 函数。
!(function(){
var arg = 1;
var test = function(){
console.log(arg);
}
debugger;
})()
JS 作用域问题 2:局部变量污染全局变量
在 Hook 的时候要注意一个 JS 代码的特性,就是 JS 在函数赋值的时候,会遵循一个原则:
当前作用域有变量则赋值该变量,当前作用域没有该变量则赋值在全局作用域定义该变量并赋值。
比如:
var arg1 = null;
function test1(){
arg1 = 1; // 注意这里没有 var
};
function test2(){
console.log(arg1)
};
test1();
test2();
上述代码的执行结果 test2(); 打印出 1,而不是 null。只有当 test1 函数中得赋值语句是 var arg1 = 1; 的时候,才会 返回 null 而不是 1。
JS 作用域问题 3:this 的指向问题
在不同的作用域中,同样的变量指向是不一样的。每个函数在定义被解析器解析时,都会创建两个特殊变量: this 和 arguments 。 每个函数都有属于自己的 this 对象, 这个 this 对象是在运行时基于函数的执行环境绑定的。
在 Hook 的时候,this 的指向遵循下面的原则:
全局作用域中,
this = window; 方法作用域中,this = 调用者; 在浅滩函数中,this = 调用外部函数或内部函数的执行环境对象; 在类方法里面,this = 类自己;
总结来说就是:谁调用这个函数对象,this就指向谁(this指向的是调用执行函数的那个对象)。
在 JS 中,如果需要改变 this 的指向,可以通过使用 call() 和 apply() 改变函数执行环境的情况,以改变this 指向。
具体可以参考文章《 call/apply以及this指向的理解》,问占中有详细的解释。
Hook 的实现
Hook 实现有两种方式,一种是直接替换函数,另一种是 Object.defineProperty 通过为对象的属性赋值的方式进行 Hook。
两种方式的区别:
- 函数 hook,一般不会 hook 失败,除非 proto 模拟的不好会被检测到。
- 属性 hook,当网站所有的逻辑都采用
Object.defineProperty绑定时,属性 hook 就会失效。同时,Object.defineProperty无法进行二次 Hook。
从日常的实际应用层面来说,上面的问题并不需要过度关注。需要注意的是,第一种方式简单、但是太粗暴,容易影响原有代码的正常执行,也容易被检测到,而第二种方式会更优雅一些,具体需要结合具体需求选择合适的 Hook 方式。
- 方法一:直接替换原有函数。
old_func = 被 hook 函数
被 hook 函数 = function(arguments){
if 判断条件:
my_task;
return old_func.apply(arguments)
}
func.prototype.xxx = xxxx
- 方法二:Object.defineProperty 为对象的属性赋值。
odl_attr = obj.attr
Object.defineProperty(obj, 'attr', {
get: function(){
debugger;
if 判断条件:
my_task;
return old_attr
},
set: function(val){
debugger;
if 判断条件:
my_task;
return 自定义内容
}
})
Hook 的应用
Hook http请求
http请求包括 ajax、src、href、表单等。
// 代码来源:https://www.cnblogs.com/amiezhang/p/9984690.html
function hookAJAX() {
XMLHttpRequest.prototype.nativeOpen = XMLHttpRequest.prototype.open;
var customizeOpen = function (method, url, async, user, password) {
// do something
this.nativeOpen(method, url, async, user, password);
};
XMLHttpRequest.prototype.open = customizeOpen;
}
/**
*全局拦截Image的图片请求添加token
*
*/
function hookImg() {
const property = Object.getOwnPropertyDescriptor(Image.prototype, 'src');
const nativeSet = property.set;
function customiseSrcSet(url) {
// do something
nativeSet.call(this, url);
}
Object.defineProperty(Image.prototype, 'src', {
set: customiseSrcSet,
});
}
/**
* 拦截全局open的url添加token
*
*/
function hookOpen() {
const nativeOpen = window.open;
window.open = function (url) {
// do something
nativeOpen.call(this, url);
};
}
function hookFetch() {
var fet = Object.getOwnPropertyDescriptor(window, 'fetch')
Object.defineProperty(window, 'fetch', {
value: function (a, b, c) {
// do something
return fet.value.apply(this, args)
}
})
}
// 代码来源:https://www.cnblogs.com/amiezhang/p/9984690.html
修改返回的 response,干扰 JS 原有代码的运行。
在处理无限反 debugger 的时候,常用的一种方法就是 Fiddler + AutoResponse,然后删除 js 代码中的 debugger,或者直接修改成本地代码,都是在浏览器接收服务器返回的资源的时候,基于 Hook 思想完成的。 详细参见:《Fiddler + AutoResponder 篡改 js 破解企查查无限 debugger 问题》。
修改常用变量、函数,方便进行加密函数定位。
比如,如果推测加密过程中用到了 md5 加密,那么通过 Hook md5 函数,在其中打 debugger 断点的方式,就可以很快定位加密函数的位置。
导出加密函数的参数、结果值。
通过定义全局变量、window属性等方式,导出加密函数中的参数或者结果值。
cookie钩子:查找 cookie 生成入口
打 script 断点,在 js 刚运行时就把网页断住。
在 console 中输入下面的代码。
document.cookie_bak = document.cookie
Object.defineProperty(document, 'doockie',{
get: function(){
debugger;
return document.cookie_bak;
},
set: function(val){
debugger;
return;
}
})
cookie钩子:用于定位cookie中关键参数生成位置
当cookie中匹配到了 目标cookie字符串, 则插入断点。
(function () {
'use strict';
var cookieTemp = '';
Object.defineProperty(document, 'cookie', {
set: function (val) {
if (val.indexOf('目标cookie字符串') != -1) {
debugger;
}
console.log('Hook捕获到cookie设置->', val);
cookieTemp = val;
return val;
},
get: function () {
return cookieTemp;
},
});
})();
请求钩子
用于定位请求中关键参数生成位置。
(function () {
'use strict';
var cookieTemp = '';
Object.defineProperty(document, 'cookie', {
set: function (val) {
if (val.indexOf('关键参数') != -1) {
debugger;
}
console.log('Hook捕获到关键参数设置->', val);
cookieTemp = val;
return val;
},
get: function () {
return cookieTemp;
},
});
})();
header钩子:用于定位header中关键参数生成位置
TODO
自己写插件
插件 js 文件,inject.js
// hook 代码
// 略
插件的配置文件:manifest.json
{
"name": "Injection",
"version": "2.0",
"description": "RequestHeader钩子",
"manifest_version": 2,
"content_scripts": [
{
"matches": [
"<all_urls>"
],
"js": [
"inject.js"
],
"all_frames": true,
"permissions": [
"tabs"
],
"run_at": "document_start"
}
]
}
将无限 debugger 方法直接置空
debugger函数 = function(){};
Hook eval 绕过无限 debugger
eval_bak = eval
eval = function(val){
debugger;
return eval_bak(val);
}
eval.toString = function(){
return "function eval() { [native code] }"
}
干掉定时器类触发的无限 debugger
for (var i = 1; i < 99999; i++)window.clearInterval(i);
利用 Hook 将 eval 函数替换成 console.log
当 js 代码中有 eval 函数执行了某种操作,逆向过程中需要分析操作的具体内容时,可以通过 Hook eval 替换成 console.log 的方式,将 eval 执行的代码打印出来。
eval_bak = eval;
eval = console.log;
风控如何检测 Hook
toString 检测识别 Hook
toString 检测,指的是风控通过检测被 Hook 的函数 toString() 结果是否变化,来判断该函数是否被 Hook 的一种检测方法。当风控监测到 Hook 以后,可以返回假数据误导逆向工程师,也可以配合内存爆破进行反 debugger。
比如我们 Hook 了 eval 函数,这时风控就可以通过检测 eval.toString() 的返回值是否是 "function eval() { [native code] }" 来识别该函数是否被 Hook 了。
如何解决 toString 检测
如何解决 toString 检测呢?其实方法很简单,仍然需要使用 Hook 技术。我们只需要修改目标函数的 toString 方法。
eval.toString = function(){
return "function eval() { [native code] }"
}
检测原型链
TODO
