​在线阅读epub解密简单分析

1. 前言

    复制代码 隐藏代码
      测试的网址都比较简单，适合新手练手，我也刚学

   本文仅仅针对标准的epub格式，有兴趣可以去了解下，这里放一张图对比。仅仅涉及解密过程，不涉及下载。

    温馨提示，本文内容仅做学习交流，禁止用于批量或非法爬取。如有侵犯你的权益请联系我，将于24h内删除。

某东专业版pc+h5_1

目标网站：dG9iLW0uamQuY29t，aHR0cHM6Ly9neC5qZC5jb20vZ3gvZ3hfaW5kZXguYWN0aW9u；

打开网站，随便打开一本书，按下F12，先别刷新，直接点下一章，因为这样方便定位请求的地址

很明显请求的就是这个地址，但k后面的内容以及响应的内容貌似是加密的，先分析请求中的k值，注意前面的关键词read_chapter.action，直接搜索，很容易定位到这里，下个断点，刷新，在控制台执行一下代码

很好就是这个，跟下去，格式化一下，点左下角{}

 复制代码 隐藏代码
var _0xodF='jsjiami.com.v6',
*********
_0x49ac=_0xodF='jsjiami.com.v6';

jsjiami.com.v6加密的，有兴趣的看一下上面提到的ast系列文章，尝试还原一下,在附件里面我上传了混淆和还原后的js

因为很短就直接分析了懒得替换，搜索关键词readType，定位到关键代码，下个断点，在控制台中执行关键的代码，很容易发现原始和加密后的数据

然后又是一个混淆了的，和上面一样，不多讲了，很短没必要还原，直接看就行了

 复制代码 隐藏代码
var pc1 = new PC1();
function encryption(_0x30c8da) {
    var _0x138c44 = {
        'ovOTw': _0x1ad9('5d', 'ch8w')
    };
    return pc1[_0x1ad9('5e', 'DJHM')](pc1[_0x1ad9('5f', 'N!8d')](pc1['utf16ToBytes'](_0x30c8da), pc1['stringToBytes'](_0x138c44['ovOTw']), ![]));
}
function decryption(_0x547fb5) {
    var _0x156c4 = {
        'EapRO': _0x1ad9('60', 'tlv1')
    };
    return pc1['bytesToUtf16'](pc1[_0x1ad9('61', 'qelS')](pc1['hexToBytes'](_0x547fb5), pc1[_0x1ad9('62', 'n(Db')](_0x156c4['EapRO']), !![]));
}

很明显了下面是写了一个调用上面的函数，看不懂，没关系，只需要知道，加密是函数 encryption同时传入了参数_0x30c8da（从上面可知是{"encrypt":1,"bookId":"30734545","chapterId":"90594508"}），然后干了啥，不需要知道，直接保存下来，用python调用，因为很短，逻辑很清晰可以这样，执行py，网页返回的信息，完全一样，没有问题。

然后就是解密响应内容了，根据上面的分析，很容易发现，在加密的下面，就是解密，同样的调用js，解密内容。

 复制代码 隐藏代码
decryption = context.call("decryption", content)
原始数据 {"encrypt":1,"bookId":"30734545","chapterId":"90594508"}
加密后的内容 c32bc*******c9493
返回的数据 3d7bddef9dad847e1bb12aae18 ****省略***456b9af5
解密后的内容 {"contentList":[{"content":"<?xml version="1.0" encoding="utf-8" standalone="no"?><!DOCTYPE html PUBLIC ****省略***/html>"}]}

很明显content里面的内容就是我们所需要的，具体怎么处理转换成epub就不讲了，我也不会，可以自己了解一下epub格式。

还剩最后一个问题，chapterId，是从哪里来的，直接搜什么内容也没有，那么很明显了就是加密的，直接搜关键词chapterId，发现有很多。

但我们前面，讲了一个加密解密的方法，那么很明显，按照摸鱼三大法则，大胆猜测肯定也在这里附近，直接在加密和解密这下个断点，刷新，果然发现了和之前的不一样，原始数据没有chapterId，再继续执行，看返回后的数据解密后，果然

chapterId就在这里面，虽然名字不叫chapterId，但看长度一搜明显就是，到此关键的部分结束了。

这里分析的是H5-1，pc网页和这个是完全一样的只是名字稍微改了一下，就不多讲了。

某东专业版H5-2

测试网站：aHR0cHM6Ly9tLXRvYi5qZC5jb20vcmVhZGVydG9iL3JlYWRlcj9lYm9va0lkPTMwNjc0MDQ3

重复上面的第一步，然后定位到关键的位置

是个webpack，有兴趣可以了解一下，同样搜索关键词，定位到关键函数

 复制代码 隐藏代码
            enData: function(e) {
                var t = this.getKey(this.time)
                  , n = this.encrypt(e.split("?")[1], t, this.time);
                return e = e.split("?")[0] + "?enc=1&app=" + this.app + "&tm=" + this.time + "¶ms=" + encodeURIComponent(n)
            }

控制台执行，发现多了很多未知的参数

先不管，后面再来解决，继续跟进

 复制代码 隐藏代码
return n % 2 == 0 ? this.AESEncrypt(e, t) : this.DESEncrypt(e, t)

那么很明显了，根据上面n是时间戳，根据时间戳为奇数或者偶数分为了，AES和DES，为了方便我把时间戳写死了，写成偶数，因为不太熟悉DES。

继续执行，发现就是一个AES/ECB/Pkcs7,然后e为待加密的内容，t取md5值作为key

 复制代码 隐藏代码
            AESEncrypt: function(e, t) {
                var n = U.a.enc.Utf8.parse(e)
                  , o = U.a.MD5(U.a.enc.Utf8.parse(t));#取
                return U.a.AES.encrypt(n, o, {
                    mode: U.a.mode.ECB,
                    padding: U.a.pad.Pkcs7
                }).toString()
            }

防止魔改，用其他软件实现对比一下，没有问题

然后查看返回数据发现仍然是加密的，同样的根据摸鱼三大定律，解密部分就在加密下面，根据时间戳来判断解密方式，e为加密内容，t取md5值作为key

 复制代码 隐藏代码
            AESDecrypt: function(e, t) {
                var n = U.a.MD5(U.a.enc.Utf8.parse(t))
                  , o = U.a.AES.decrypt(e, n, {
                    mode: U.a.mode.ECB,
                    padding: U.a.pad.Pkcs7
                });
                return U.a.enc.Utf8.stringify(o).toString()
            }

那么就只剩下上面提到的一些参数了，随便搜一下，team_id是学校的编号固定的，cookie里面有，就不分析了

 复制代码 隐藏代码
/jdread/api/download/chapter/30470981?app=tob-web&tm=1651292175581&team_id=*****&uuid=****&client=pc&os=web&sign=*****

搜索关键词uuid，定位到关键代码，下断点

 复制代码 隐藏代码
            getUuid: function(e) {
                var t = ""
                  , n = Q.a.get("u") || "";
                return e.uuid ? t = e.uuid : (n ? localStorage.setItem("_u", n) : (n = localStorage.getItem("_u")) || (n = "h5" + this.guid(),
                localStorage.setItem("_u", n)),
                t = n),
                _e.uid || t
            }

结果发现信息在这之前就有了，无论怎么调试，一直都找不到关键位置

凭借我初中水平（因为小学没学英语）的英语注意到localStorage（本地**），说明在这之前就存入了

那么我们先清空，控制台输localStorage.clear()，刷新发现回到了登录界面，很明显了，多半就是登录的时候写入了，搜索关键词，下断点，刷新，进入关键函数

这里需要自己扣代码,或者一步步调试进入js，详情可以看看上面的webpack,关键就差不多这样，结果意外发现sign也在这里，先记住，在这里明显看出，uuid：h5+guid()，那么进入关键函数

 复制代码 隐藏代码
import Cookies from 'js-cookie'
import md5 from 'blueimp-md5'
import { HOST, APP } from './global'
import { getQuery, guid, getOS } from './common'
*******
  if (url.indexOf('uuid=') === -1) {
    if (u) {
      localStorage.setItem('_u', u)
    } else {
      u = localStorage.getItem('_u')
      if (!u) {
        u = 'h5' + guid()##########
        localStorage.setItem('_u', u)
      }
*********
// 加密内容*********
  const salt = md5(app + time + uuid)
  return salt
  *********
// 加密签名
*********
  const sign = md5(salt + URI + queryString)
  *********

// WEBPACK FOOTER //
// ./src/utils/encrypt.js

发现就是最常用生成的uuid的方法，那就没什么好讲的了，自行百度吧。

 复制代码 隐藏代码
import { mediaWidth } from '../config'
**********

// 生成唯一id
const guid = () => {
  function S4 () {
    return (((1 + Math.random()) * 0x10000) | 0).toString(16).substring(1)
  }
  return (S4() + S4() + S4() + S4() + S4() + S4() + S4() + S4())
}
**********

// WEBPACK FOOTER //
// ./src/utils/common.js

然后只剩下sign了，上面已经提到了sign加密函数，就简单看一下，首先是对取（app + time + uuid）的MD5值得到salt，app对应类型tob-web是固定的，time是时间戳，uuid就是上面提到的，为了方便同样把时间写死，然后再对salt + URI + queryString取MD5值，url和queryString自己看图，和前面的进行对比完全一样，到此所有加密参数都基本搞定了

某学堂

aHR0cHM6Ly93cWJvb2sud3F4dWV0YW5nLmNvbS9kZWVwL3JlYWQvZXB1Yj9iaWQ9MTAzNzQx

学堂有两个部分需要解密，第一个就是，请求内容时候的k值，这里面python下载文泉学堂求助说的很清楚了，自己去看看吧。

然后呢对于pdf来说，返回的就是图片，不用解密，但对于epub来说返回的数据还是加密的，还需要继续解密，直接开搞

快速定位到相关位置，点进去。

一个ob混淆，而且很大，试了下一键还原的插件不行，那么自己想办法还原，整个五一加一周学了下ast。

然后准备先还原js,还原之前，先大致了解js内容，看图吧。

先分析下第一个整体结构，大致就这样。

再分析内部的基本结构与逻辑。

删除第一个，继续分析下一个，就简单分析一下

后面没啥好讲的了，基本就是平坦流，花指令啊之类的，基本可以用插件一键还原。

然后花了，整个五一假期门都没出加一周学ast，还原js，结果

没什么好说的了，就是CryptoJS，改了下，重新分析网页

既然返回的数据是加密的，对于js来说，肯定要解析内容，转化成数组，直接搜Uint8Array，定位到解密后的函数

运气很好，很快注意到，response以及，Uint8Array(t);,这里面创建了很多数组，注意我标注的位置，后面都有用到，唯一有一个，dpbt函数是自己写的，反混淆后长这样。

 复制代码 隐藏代码
dpbt = function(t) {
                for (var r = new Uint8Array(4), e = r.length - 1, i = t.length - 1; e >= 0; e--,
                i--)
                    r[e] = i >= 0 ? t[i] : 0;
                var n = (255 & r[0]) << 24
                  , o = (255 & r[1]) << 16
                  , a = (255 & r[2]) << 8
                  , s = 255 & r[3];
                return n + o + a + s
            }

其实，对于解密epub来说，可以看出来，o始终是定值，那么a也始终是定值48,很容易想到16+32，大胆猜测，算了继续看下去吧。

继续跟进，来到了今天的正题。

首先传进来了几个值，t就是上面的l,n是上面的f，i是CryptoJS，其余两个没啥用。然后就开始了两次AES/ECB解密，第一次就用到了前面提到的16+32，第二次就用第一次解密后的内容作为key解密epub内容，但要注意解密的并不是全部返回数据，而是去掉了前十位后的数据再解密，至此解密完成了。

再用软件还原对比一下，防止魔改。

很好，没有问题，到此全部结束了，原本还打算继续加一个圣才（很简单）和可知（很麻烦）的，是在没时间了，看后续有时间再继续写。

大部分内容能给的都上传到附件了，就别问我了，没写下载软件也不会。

该内容转载自网络，更多内容请点击“阅读原文”

原文始发于微信公众号（web安全工具库）：​在线阅读epub解密简单分析