[云防护] Jother编码 分析笔记

刘一缘

以：http://bbs.125.la/forum.php?mod=viewthread&tid=14366670 为实例，仅为技术研究。

首先国际惯例，流程分析。


清空Cookie后第一次访问，查看/index/login/index此链接详情后发现

响应文本包含了一大堆乱七八糟的符号，那这种符号是什么呢，这里就得普及一下Jother编码。
【jother是一种运用于javascript语言中利用少量字符构造精简的匿名函数方法对于字符串进行的编码方式。其中8个少量字符包括：! + ( ) [ ] { }。只用这些字符就能完成对任意字符串的编码。】
以上只对jother简单介绍，有兴趣的可以百度自行了解详细~~
那接下来接着分析流程啦
首先发现最后要正常访问主页必须包含两个Cookie(☄⊙ω⊙)☄
__*Fuid=db7cb242838317d7c37f0cc69b2be23381557557164; *Fclearance=47fb5573b44bb03c357074766e0fe9d5bd4e3ade-1557557173-1800-150

那我们就先看一下__*Fuid是如何出现或者如何生成的。
再通过使用抓包工具Fiddler发现搜索Cookie名称发现↓

__*Fuid是第一次访问主页的时候生成的。
那接着再查看*Fclearance；

哇哦，两个Cookie都是通过访问后协yi头传回的，那我们还分析个锤子？？
·
·
·
·
·
·
·
好吧，我不信，那接着分析一下~~
首先，已知
__*Fuid是通过第一次访问主页的时候返回的Cookie，主页地址也无任何特殊参数；
那*Fclearance呢？/cdn-cgi/l/chk_jschl?s=c2900*F2407667839541d32e49886be338e5a2a-1557557169-1800-ARfNC%2Bws2%2FA00FsgtOaqvmGUesHUsNflukjYwHwL2LRybfnMQWfvl9%2B98cTN%2B4TJ3XxoqtnliS5oM5ivj9utiX1opCuHWudBue7vwkiGohbGQbQdyAbgYCSrCimHNiGqCIoYoSmbDsr81YvRFYAxXkg%3D&jschl_vc=8e2ff38dc1b1bde91795dac63fe75587&pass=1557557173.127-B20d7i89Od&jschl_answer=-6.0627121631；

是通过访问这条链接返回的，那这条链接有什么特殊之处呢？我们又是否需要对这条链接进行特殊处理？首先对参数进行一个简单的阅读~~

s=c2900*F2407667839541d32e49886be338e5a2a-1557557169-1800-ARfNC+ws2/A00FsgtOaqvmGUesHUsNflukjYwHwL2LRybfnMQWfvl9+98cTN+4TJ3XxoqtnliS5oM5ivj9utiX1opCuHWudBue7vwkiGohbGQbQdyAbgYCSrCimHNiGqCIoYoSmbDsr81YvRFYAxXkg=
jschl_vc=8e2ff38dc1b1bde91795dac63fe75587
pass=1557557173.127-B20d7i89Od
jschl_answer=-6.0627121631
本着国际惯例~我们必须接着挨个参数的值搜索一下是不是他已经是包含在表单了不需要去计算，如果有包含我们直接文本_取出中间()就行~

在一顿操作下，定位到了主页，哇咔，居然都有！！
jschl_answer=-6.0627121631却搜索不到，纳闷了，再搜索一遍！！！

搜索了一遍确实是只出现了一遍，也就是它提交的请求那一次，其他的始终找不到。
那就得确认这个值就是我们要分析的，它，是如何生成的呢？？？
首先我们来主页看一下~~
<input type="hidden" id="jschl-answer" name="jschl_answer"/>

主页定位到这里，他上面的表单都有对应的值，也就是内容，value；
可就唯独它这表单没有，难道，难道他是被网站开发者爸爸抛弃的孩子？
不行，必须拯救他！！！那我们接下来就开始jschl_answer之本源救赎（尽请期待）
·
·
·
·
·
·
·
·
·


===============================================================================================
那接下来就列举一下流程啦！

第一次访问：/index.php/index/login/index，返回含jother编码的js以及一些表单，返回的Cookie含有__*Fuid
第二次访问：/cdn-cgi/l/chk_jschl?s=c2900*F2407.....(链接过长进行省略)返回的Cookie含有*Fclearance其中，链接中参数名为jschl_answer的值目前还未知，等待分析。
第三次访问：带上Cookie __*Fuid=#;*Fclearance=?;   对主页/index.php/index/login/index再次进行访问即可；
===============================================================================================


<input type="hidden" id="jschl-answer" name="jschl_answer"/>

首先查看这段，先以此搜索id，再搜索name(主页搜索)

除去搜索name后在搜索id可以清楚滴看到~
a = document.getElementById('jschl-answer'); //一缘帅气备注~ getElementById() 方法可返回对拥有指定 ID 的第一个对象的引用。

这段代表的粗略意思可以认为 a 继承了 jschl-answer 的表单 PS:不管对不对，不可以喷我！
那也就是要改变jschl-answer的value，也就是内容，就多了一个表达方式，也就是a.value=?;
那这样的话，我们再接着往代码看。


可以看到这里对a(jschl-answer)的内容设置啦~
那就可以说明jschl-answer就是通过这里生成的。至此（jschl_answer之本源救赎）剧终~~



观众A：

观众B：nm**






===============================================================================================



咳咳，继续继续
a.value = (+ODTYPZq.shtQ).toFixed(10); // toFixed() 方法可把 Number 四舍五入为指定小数位数的数字。
可以看到 a.value 的内容等于 +ODTYPZq 对象下的 shtQ 值的四舍五入结果

那可以清楚滴看到，ODTYPZq.shtQ一共经过7次的增加，之外呢，包括第一次的初始设定(&#9732;⊙ω⊙)&#9732;
ODTYPZq={"shtQ":+((!+[]+!![]+!![]+!![]+!![]+!![..............//太多！！
也就是一共8次。
就是一共8次。
是一共8次。
一共8次。
共8次。
8次。
次。
。


主要代码阴影区，改写的话，就看你们了，大屌们




补充内容 (2020-6-13 15:50):
交流群：995472368

补充内容 (2020-6-13 15:50):
交流群：995472368

aib

一缘有意思。哈哈哈， 吊胃口

358794685

snce1ce

我 糙  最最最  主要的东西 ，你没有  弄出来 ，怎么计算 出来的

gaoqing

谢谢分享学习

tangai17

6666666666

调皮的男孩

就不会改写  找都好找到

邪恶的二进制

刘一缘 发表于 2019-5-11 17:46
你！！！c**

这里是电信区你个大**个小**子

刘一缘

邪恶的二进制 发表于 2019-5-11 16:18
你个大**

你！！！c**

邪恶的二进制

你个大**  

全村最帅

高手,这是高手