Skip to content

标题: WEB前端逆向拦截页面跳转

创建: 2024-12-05 10:07 更新: 2024-12-11 09:46 链接: https://scz.617.cn/web/202412051007.txt https://mp.weixin.qq.com/s/3N71L8Bqh3drc3IkF59Wgw


目录:

☆ 背景介绍
☆ js跳转页面
☆ Object.defineProperty (失败)
☆ 渣浪求助
☆ beforeunload事件
    1) 方案1 (较重)
    2) 方案2
☆ navigate事件 (推荐)
☆ AI回答
☆ 其他「js跳转页面」方案
    1) window.open
    2) window.location.assign/replace
    3) window.history.pushState/replaceState/go
        3.1) history栈
☆ 其他讨论
    1) Tampermonkey要求Developer mode
    2) debug(func)
☆ 满足原始需求
☆ 扯淡

☆ 背景介绍

云海碰上个URL,没开F12的情况下,访问中途会自动跳转到「aboub:blank」。起初 因为其他原因,他没往js反调试上想,出于对浏览器二进制漏洞的敏感,想别的方向 去了。

我看了一下目标URL,用「Script First Statement」断点一个个看过去


Event Listener Breakpoints Script Script First Statement


确认跳转发生时流程位于一个混淆过的js中,obfuscation那种风格的。应该就是反 调试代码干的,不知为何误判在F12调试,从而跳转。Babel反混淆js,再Overrides, 应该能看出误判原因。这个站有其他选择,不必面对自动跳转,我们也是正常访问, 又不是要搞它,所以不考虑反混淆js细究。

我想快速断在目标js中,找到触发跳转的js代码,确认是它导致的,仅此而已。问题 演变成一个通用技术问题,知道某页面中途发生跳转,如何快速定位跳转代码所在。

本文记录了提出问题、解决问题的学习过程。吾非WEB前端程序员,本文意义更多是 方法论层面的。

☆ js跳转页面

向AI(选自己喜欢的吧)提问,AI回答如下


Q:

js将当前页面跳转到「aboub:blank」,大概怎么写?

A:

window.location.href = "about:blank"; window.open( "about:blank", "_self" );

Q:

_self怎么理解,可以是什么值?

A:

_blank 在新窗口或标签页中打开 _self 在当前窗口或标签页中打开 (默认行为) _parent 在当前窗口父级框架中打开,若页面没有父级,则表现为_self _top 在最顶层框架中打开,即使嵌套了多个iframe,也会在整个窗口中打开

window.open( "https://www.example.com/", "_blank" ); window.open( "https://www.example.com/", "_self" ); window.open( "https://www.example.com/", "_parent" ); window.open( "https://www.example.com/", "_top" );


AI回答,不背书,未查官方文档,可在F12 Console中实测。或有其他方案,但猜测 目标js大概率使用前述两种方案之一,更可能是href那种。

☆ Object.defineProperty (失败)

先看一段油猴脚本


// ==UserScript== // @name Debug Helper // @namespace http://tampermonkey.net/ // @version 2024-03-28 // @description Some helper function // @author Me // @match https:/// // @grant none // @run-at document-start // ==/UserScript==

(function() { 'use strict';

function HookObjectProperty ( object, attr ) {
    let prop    = object[attr];

    let getter  = function () {
        console.log( 'Hooking get', object, attr, prop );
        debugger;
        return prop;
    };

    let setter  = function ( value ) {
        console.log( 'Hooking set', object, attr, value );
        debugger;
        prop    = value;
    };

    Object.defineProperty( object, attr, {
        get: getter,
        set: setter,
        enumerable: true,
        configurable: true
    });
}

HookObjectProperty( document, 'cookie' );

})();

油猴脚本的好处就是尽早Hook,防止目标js先下手为强。关于先下手的事,参看:

《WEB前端逆向反反调试一例》 https://scz.617.cn/web/202406281614.txt

不用Tampermonkey,直接在F12 Console中输入HookObjectProperty()的代码也成, 只是对付不了先下手的情况。

在Console中测试

document.cookie = 'key:value';

设置cookie时会断下来,可查看调用栈回溯。

在Console中测试

HookObjectProperty( window.document, 'location' ); HookObjectProperty( window, 'location' ); HookObjectProperty( window.location, 'href' );

报错

Uncaught TypeError: Cannot redefine property: location Uncaught TypeError: Cannot redefine property: href

AI忽悠,window.location是一个特殊对象,该对象的属性如href、protocol、host 等,由浏览器严格控制,许多属性被设计为只读或受限可写,以保证安全性。虽然可 通过直接赋值「window.location.href = ...」改变页面地址,但这实际上调用了浏 览器实现的底层逻辑,而不是直接对href属性赋值。

在浏览器中,window.location.href的descriptor(属性描述符)是不可配置的,这意 味着你无法使用Object.defineProperty来重新定义它。

在Console中执行

Object.getOwnPropertyDescriptor( window.document, 'location' ) Object.getOwnPropertyDescriptor( window, 'location' ) Object.getOwnPropertyDescriptor( window.location, 'href' );

均返回

{ configurable: false, enumerable: true, get: f, set: f }

configurable为false,此时不能使用Object.defineProperty重新定义它。get和set 是由浏览器内置实现的,无法覆盖这些内置的getter和setter。

这都AI忽悠的,谨慎对之。

如下几条代码最终效果一样

window.document.location = "https://www.example.com/" window.location = "https://www.example.com/" window.location.href = "https://www.example.com/";

☆ 渣浪求助

前一小节失败后,不想放狗,偷懒直接在渣浪求助。向人提问,向AI提问,本身就是 个技术活,我是这么问的:


请教个WEB前端调试的问题

想Hook如下操作

window.location.href = "something";

已经尝试过Object.defineProperty,提示

Cannot redefine property: href

原始需求是,有js在设这个,但不知道在哪儿设的,想拦截这个操作,断下来,查看 调用栈回溯。


目标js可能并非用此法,但这是个通用问题,即便解决不了目标js,有答案也是好的。

☆ beforeunload事件

网友UID(3110320275)提供了两组解决方案,第二组是他参考另一网友解答后对第一组 的改进,从学习角度全部展示于此,因为我觉得过程与结果同样重要。需要特别感谢 的是,他提供了理论说明,同时提供了具有可操作性的测试步骤。与之对比,这么多 年在网上见识过太多「每个字都认识」系列,老虎吃天、无处下爪的那种。虽说谁都 没有义务掰碎了喂到谁嘴里,但能提供有效帮助时,我个人是不吝多写几句的。

1) 方案1 (较重)

a. 写一个beforeunload事件监听方法,在Console中输入进去 b. 在F12 Sources面板启用「Event Listener Breakpoints->Load->beforeunload」 c. 触发页面跳转行为,查看调用栈回溯

步骤a代码如下


window.addEventListener( 'beforeunload', function ( event ) { / * 这些console.log无所谓 / console.log( window.location.href ); console.log( event ); / * 若有这句,F8继续时Chrome弹框提示Leave或Cancel。若无这句,F8继续 * 时不弹框提示,直接跳转。若只为查看调用栈回溯,并不打算阻止跳转, * 不需要这句。 * * 上面是一般情况。云海那个目标URL似乎存在某种对抗措施,即使有这句, * Chrome也不弹框提示Leave或Cancel,而直接跳转,暂不清楚原因。 / event.preventDefault(); } );


步骤c可在Console中输入

window.location.href = "about:blank";

步骤b所设断点命中,停在function(event)的入口代码处,上例就是第一条log()处。 此时调用栈的上一层就是「window.location.href = ...」。

离开function(event)后,Chrome弹框提示Leave或Cancel,前者完成跳转,后者放弃 跳转。若放弃跳转,可重复步骤c,再次测试整个流程。

2) 方案2

a. 写一个beforeunload事件监听方法,在Console中输入进去 b. 触发页面跳转行为,查看调用栈回溯

步骤a代码如下


window.addEventListener( 'beforeunload', function ( event ) { event.preventDefault(); debugger; } );


步骤b可在Console中输入

window.location.href = "about:blank";

相比方案1,略去原步骤b,用debugger语句断下来,操作更简洁。

☆ navigate事件 (推荐)

网友UID(6161718960)在github提供基于navigate事件的解决方案,参看

https://github.com/LingYanSi/blog/issues/167


/ * 通过js触发的页面跳转 / navigation.addEventListener( 'navigate', ( event ) => { console.log( event ); / * 若有这句,F8继续时不跳转。若无这句,F8继续时发生跳转。若只为查 * 看调用栈回溯,并不打算阻止跳转,不需要这句。 * * 对href而言,navigate事件在beforeunload事件之前,若有这句,后续 * 触发beforeunload事件,若无这句,后续不会触发beforeunload事件。 / event.preventDefault(); debugger; } );


/ * 通过a/form标签触发的页面跳转 / window.addEventListener( 'click', ( event ) => { const findParent = ( d, check ) => { while ( d ) { if ( check( d ) ) { return d; } d = d.parentElement; } return null; } const dom = findParent( event.target, (d) => /^(a|form)$/i.test(d.tagName) ); dom && console.log( 'dom element', dom ); }, { capture: true } )


在Console中测试

window.location.href = "about:blank";

测了第一段代码,满足原始需求。第二段代码未碰上测试场景,备忘。

若不用debugger语句,可仿照beforeunload方案1

a. 写一个navigate事件监听方法,在Console中输入进去 b. 在F12 Sources面板启用「Event Listener Breakpoints->Load->navigate」


navigation.addEventListener( 'navigate', ( event ) => { console.log( event ); event.preventDefault(); } );


Event Listener Breakpoints Load navigate


window.location.href = "about:blank";

看明白了,这些「Event Listener Breakpoints」有相应事件监听方法时才会生效, 否则只在GUI中勾选这类断点,没用。

基于这种思路,对href额外测了hashchange、popstate事件,未断下来。

下面是navigate事件先于beforeunload事件的验证方案


navigation.addEventListener( 'navigate', ( event ) => { debugger; } );

window.addEventListener( 'beforeunload', function ( event ) { event.preventDefault(); debugger; } );

window.location.href = "about:blank";

☆ AI回答

在渣浪求助前,我问AI,在F12调试中想拦截这种跳转操作,但不知具体位置,如何 做?它建议用Object.defineProperty。我说这扯呢,它转而建议用ES6 JS Proxy, 同样给了理论上就不可行的代码。

渣浪求助后,我新开会话问AI,用了Markdown的三个反引号

Event Listener Breakpoints
  Load
    beforeunload

这个断点什么时候命中?

这次GPT-4o的回答明显靠谱些


a. 什么是beforeunload事件

beforeunload是一个浏览器事件,在即将离开当前页面(例如刷新/关闭标签页、导航 到另一个页面)时触发。其主要用途是允许开发者在用户离开页面之前执行某些操作, 或者提示用户确认是否真地要离开页面。


b. 什么时候会触发beforeunload断点

当页面中的代码中监听了beforeunload事件时,浏览器会在以下情况下命中断点

b.0 用户操作触发页面卸载

刷新页面 关闭当前标签页或浏览器窗口 通过链接或输入新URL导航到另一个页面

b.1 代码主动触发页面卸载

在js中修改window.location.href或调用window.location.replace() 调用window.history.back()或window.history.forward() 使用window.close(),在某些浏览器中可能受限制


c. 如何设置beforeunload事件监听

window.addEventListener( 'beforeunload', function ( event ) { / * 阻止页面卸载 / event.preventDefault(); });

window.onbeforeunload = function ( event ) { event.preventDefault(); / * 显示提示,某些浏览器可能不支持,Chrome就不支持 / return 'Are you sure you want to leave'; };


☆ 其他「js跳转页面」方案

1) window.open

F12 Console测试


function HookObjectMethod ( object, attr ) { let func = object[attr]; object[attr] = function () { console.log( 'Hooking', object, attr ); debugger; let ret = func.apply( object, arguments ); console.log( object, attr, ret ); return ret; } }

HookObjectMethod( window, 'open' );

window.open( "about:blank", "_self" );

window.open比href简单,可Hook函数拦截,也可用beforeunload、navigate事件拦 截,事件拦截更通用。

2) window.location.assign/replace

window.location.assign( "about:blank" ) window.location.replace( "about:blank" )

assign时,原页面进history,GUI中back跳回原页面。replace时,原页面被替换, GUI中back无法跳回原页面。

尝试Hook函数拦截,未报错,亦未生效:

HookObjectMethod( window.location, 'assign' ); HookObjectMethod( window.location, 'replace' );

但上述跳转方案均可用beforeunload、navigate事件拦截。

3) window.history.pushState/replaceState/go


/ * 假设当前URL是"https://scz.617.cn/" * * 会修改当前地址栏中的URL,但不发生实际跳转 * * 受同源策略限制 * * pushState向history压栈,window.history.length递增 / window.history.pushState( null, "", "https://scz.617.cn/web" ); / * 发生实际跳转 * * 无参数时相当于go(0),等价于window.location.reload(),即刷新当前页面; * go(-1)相当于back(),go(1)相当于forward()。无论什么参数,均不影响history * 栈,window.history.length不变。 / window.history.go() / * 跳回原页面 / window.history.back() window.history.forward()


/ * 会修改当前地址栏中的URL,但不发生实际跳转 * * 受同源策略限制 * * replaceState直接修改history栈顶,window.history.length不变 / window.history.replaceState( null, "", "https://scz.617.cn/web" ); window.history.go() / * 无法跳回原页面 / window.history.back() window.history.forward()


/ * 同时监听beforeunload、navigate事件,不要preventDefault() / window.addEventListener( 'beforeunload', function ( event ) { / * 只有go会命中此处 / debugger; } );

navigation.addEventListener( 'navigate', ( event ) => { / * pushState、replaceState、go均会命中此处 * * pushState、replaceState命中此处时,后续不会触发beforeunload事件 / debugger; } );


目前测试下来,推荐navigate事件拦截,最广谱。

3.1) history栈

window.history[]相当于栈数据结构,pushState会压栈,replaceState直接修改栈 顶数据,window.history.length对应history[]的元素个数。出于安全和隐私限制, js无法访问history[]的元素。但GUI中右键点击back、forward按钮,可查看当前标 签页对应的history[],js看不到,GUI看得到。若js自己维护PrivateHistory[],与 内置window.history[]无关。

history.length为9时,有[0]至[8]共9个元素。history[]内部有绝对下标i、相对偏 移j,它们互相配合,用于索引数组元素。绝对下标i从0计,history[i]即当前元素。 j是相对于i的偏移,故j=0始终对应当前元素,向左对应j=-1,向右对应j=1,依次类 推。go()的参数是相对偏移j,go(j)实际跳至history[i+j]。go()不带参数时相当于 go(0),刷新当前页面。go(-1)等价于back(),go(1)等价于forward()。go、back、 forward会移动绝对下标i,但不增、删、改history[]元素。js看不到绝对下标i,这 是内部实现。

假设history.length为9,有[0]至[8]共9个元素,绝对下标i=8。go(-7)之后i=1,页 面跳至[1]。再在GUI地址栏输入新URL并回车,之后history[]只剩3个元素,原来的 [0]、[1]以及位于[2]的新URL,history.length变成3,绝对下标i=2,原来的[2]至 [8]被清空。这可能是对history[]弹栈清空的唯一法子,没有想像中的popState函数。

做实验:


/ * 新建标签页,再地址栏访问"https://scz.617.cn/",F12,依次执行下列代码 / window.history.pushState( null, "", "https://scz.617.cn/body" ); window.history.pushState( null, "", "https://scz.617.cn/misc" ); window.history.pushState( null, "", "https://scz.617.cn/unix" ); window.history.pushState( null, "", "https://scz.617.cn/windows" ); window.history.pushState( null, "", "https://scz.617.cn/network" ); window.history.pushState( null, "", "https://scz.617.cn/python" ); window.history.pushState( null, "", "https://scz.617.cn/web" ); / * 应该为9 / console.log( window.history.length ) / * 跳至"https://scz.617.cn/web" / window.history.go(7) / * 跳至"https://scz.617.cn/" / window.history.go(-7) / * 地址栏访问"https://www.example.com/" * * 应该为3 / console.log( window.history.length ) / * 跳至"https://scz.617.cn/" / window.history.back() / * 跳至"https://www.example.com/" / window.history.forward()


☆ 其他讨论

1) Tampermonkey要求Developer mode

参看

https://www.tampermonkey.net/faq.php#Q209

基于Chrome的浏览器,现在想用Tampermonkey,需要手动打开浏览器的「开发人员模 式」,过去没这要求。

chrome://extensions/ edge://extensions/ opera://extensions/

2) debug(func)

网友UID(7383557079)提及debug(func),执行func()时会断下来。在Console中测试

debug( console.log ); console.log( 'scz is here' );

无需其他动作,就会断在console.log行。这是个有用的调试手段,别处用得上。

若能取到href的setter,或可用此法拦载,但怎么取href的setter呢?

☆ 满足原始需求

云海那个目标URL,用这组测试方案


Event Listener Breakpoints Script Script First Statement


navigation.addEventListener( 'navigate', ( event ) => { event.preventDefault(); debugger; } );


确认在那个混淆js中执行

window.document.location = "about:blank";

原始代码是是混淆过的,这是F12中查看变量的值再手工拼接得到的可读代码。由于 preventDefault(),不会跳转。后续会触发无限debugger,关掉F12之后,页面功能 符合预期。

本文原始需求的解决方案可能存在各种对抗措施,未碰上非解决不可的场景,打住。

☆ 扯淡

无论在自己擅长还是不擅长的技术领域,不会就问。别给自己立个莫名其妙的人设, 觉得请教别人跌份啥的,尤其在这行干得久点的。我从不在乎自曝其短,人的精力有 限,计算机科学技术领域细分得厉害,我会的只是非常狭窄的一支,不会的是大多数 分支。某些不相识的网友不理解这么浅显直白的道理,碰上我问个啥时,说,哎哟, 你不会这个啊。心说,少见多怪,我特么还不会那个呢。

如何提问,属于老生常谈。提问前想一下,怎么不招人骂。就说这次的问题吧,好歹 说已经试过啥,不浪费双方感情。要是你的问题经常性不靠谱,浪费别人感情,次数 多了,没人搭理你。

从网上求助学来的知识,都会写清楚原作者,前文的UID是渣浪UID,可唯一定位,除 非注销。当你没有扮演全知全能的需求时,就会自然而然不贪天功为己有。

AI我用得很低级,只当成学习助手,高阶用法一概不会,这是衰老的表现。即便如此, 也受益颇多。从本例看,笼统提问时它的回答充满幻觉,越是具体的问题,回答越靠 谱。Poe的GPT-4o、4o-mini还可以,Claude、Kimi我也用,经常一问多提。但我总觉 得,这些AI靠谱与否拼运气,小心无大错。再就是,成瘾之后,美帝掐得狠点,咋办? 没有安全感。

多分享、多与人交流,至少有一个好处,遇上事儿了,会有一些愿意搭把手的。这次 提供帮助的网友,全部素不相识,再次谢过。把他们的知识整理后二次分享出来,算 是扩大助人圈,几个人知道没意思,更多人知道更有意思。对我来说,写文档本身也 是学习的一部分,写着写着,会发现需要补充、澄清若干细节,不就增长了一点么。

这些都是扯淡,当我没说。