node模拟登录并管理中国移动光猫

在本系列前两篇文章中,我们分别介绍了如何模拟登录并管理小米路由器和TP-LINK路由器,本文将是本系列的最后一篇文章,主要介绍如何模拟登录中国移动光猫。

1、按照惯例,我们先打开光猫登录页,一般是:http://192.168.1.1/,并打开控制台,切换到network同时勾选Preserve log

2、随便输入一个用户名和密码,看登录的请求包,这里我们发现点击登录后发起了两次请求

2、第一个请求包以GET方式向http://192.168.1.1/cgi-bin/ajax发起请求,并携带了以下参数:

ajaxmethod: get_login_user
_: 0.34852933900740424
token: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.0.0 Safari/537.36

其中ajaxmethod是一个固定值,_是一个随机数,而token一看就能确定是userAgent

接口请求完成后返回了以下结果:

{
	"sessionid": "tLG9rZUn",
	"session_valid": 1,
	"login_user": ""
}

不知道是做啥的,我们先保存备用,后面进一步分析。

3、接着我们看发起的第二个请求,该请求包以POST方式向http://192.168.1.1/cgi-bin/ajax发起了请求,并通过formData携带了如下参数:

username: user
password: MjIzMjMy
page: 1
sessionid: tLG9rZUn
ajaxmethod: do_login
_: 0.8509052386691096

其中username是我们输入的用户名,password是一个加密的字符串,需要进一步寻找加密函数,page是一个固定值,sessionid就是请求1中的结果,ajaxmethod是一个固定值,_是一个随机数。

接口请求完成后返回了以下结果:

{
	"session_valid":	1,
	"login_user":	2,
	"login_result":	2
}

猜测这些参数应该是和登录状态有关,留作后面继续分析。

4、到这里我们可以有一个假定,所欲的ajax请求都是向http://192.168.1.1/cgi-bin/ajax发起的,只不过是ajaxmethod不一样而已。

5、上面提到了我们需要寻找加密函数,那么该如何寻找呢?

利用之前提到的方法我们可以通过请求的initial js调用栈来追踪发起请求的js代码:

最终我们找到密码是通过b.encode方法加密的,现在我们就是需要找到b.encode是在哪里定义的,我们往上一点可以看到b对象是new Base64()产生的,继续使用我们在前几篇文章中提到的全局搜索大法,以encode为关键词进行搜索,经过简单分析就可以找到加密函数和算法定义:

function Base64() {
 
    // private property
    _keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
 
    // public method for encoding
    this.encode = function (input) {
        var output = "";
        var chr1, chr2, chr3, enc1, enc2, enc3, enc4;
        var i = 0;
        input = _utf8_encode(input);
        while (i < input.length) {
            chr1 = input.charCodeAt(i++);
            chr2 = input.charCodeAt(i++);
            chr3 = input.charCodeAt(i++);
            enc1 = chr1 >> 2;
            enc2 = ((chr1 & 3) << 4) | (chr2 >> 4);
            enc3 = ((chr2 & 15) << 2) | (chr3 >> 6);
            enc4 = chr3 & 63;
            if (isNaN(chr2)) {
                enc3 = enc4 = 64;
            } else if (isNaN(chr3)) {
                enc4 = 64;
            }
            output = output +
            _keyStr.charAt(enc1) + _keyStr.charAt(enc2) +
            _keyStr.charAt(enc3) + _keyStr.charAt(enc4);
        }
        return output;
    }
 
    // public method for decoding
    this.decode = function (input) {
        var output = "";
        var chr1, chr2, chr3;
        var enc1, enc2, enc3, enc4;
        var i = 0;
        input = input.replace(/[^A-Za-z0-9\+\/\=]/g, "");
        while (i < input.length) {
            enc1 = _keyStr.indexOf(input.charAt(i++));
            enc2 = _keyStr.indexOf(input.charAt(i++));
            enc3 = _keyStr.indexOf(input.charAt(i++));
            enc4 = _keyStr.indexOf(input.charAt(i++));
            chr1 = (enc1 << 2) | (enc2 >> 4);
            chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);
            chr3 = ((enc3 & 3) << 6) | enc4;
            output = output + String.fromCharCode(chr1);
            if (enc3 != 64) {
                output = output + String.fromCharCode(chr2);
            }
            if (enc4 != 64) {
                output = output + String.fromCharCode(chr3);
            }
        }
        output = _utf8_decode(output);
        return output;
    }
 
    // private method for UTF-8 encoding
    _utf8_encode = function (string) {
        string = string.replace(/\r\n/g,"\n");
        var utftext = "";
        for (var n = 0; n < string.length; n++) {
            var c = string.charCodeAt(n);
            if (c < 128) {
                utftext += String.fromCharCode(c);
            } else if((c > 127) && (c < 2048)) {
                utftext += String.fromCharCode((c >> 6) | 192);
                utftext += String.fromCharCode((c & 63) | 128);
            } else {
                utftext += String.fromCharCode((c >> 12) | 224);
                utftext += String.fromCharCode(((c >> 6) & 63) | 128);
                utftext += String.fromCharCode((c & 63) | 128);
            }
 
        }
        return utftext;
    }
 
    // private method for UTF-8 decoding
    _utf8_decode = function (utftext) {
        var string = "";
        var i = 0;
        var c = c1 = c2 = 0;
        while ( i < utftext.length ) {
            c = utftext.charCodeAt(i);
            if (c < 128) {
                string += String.fromCharCode(c);
                i++;
            } else if((c > 191) && (c < 224)) {
                c2 = utftext.charCodeAt(i+1);
                string += String.fromCharCode(((c & 31) << 6) | (c2 & 63));
                i += 2;
            } else {
                c2 = utftext.charCodeAt(i+1);
                c3 = utftext.charCodeAt(i+2);
                string += String.fromCharCode(((c & 15) << 12) | ((c2 & 63) << 6) | (c3 & 63));
                i += 3;
            }
        }
        return string;
    }
}

6、从步骤5的图2中我们可以看到,在登录请求发起后,请求结果交由parseLoginData这个函数处理,我们看一下这个函数的定义:

function parseLoginData(data)
{
	$("#login_btn").attr("disabled", false);
	if (data)
	{
		if ( data.login_result == 0 )//校验成功
		{
			window.location.href = "main_CM.html";
		}
		
		else if ( data.login_result == 1 )
		{
			alert("当前已有用户在别处登录,请稍后登录");
		}
		else if ( data.login_result == 2 )
		{
			alert("您的连续错误登陆次数已经达到3次,请1分钟后再试");
			if( error > 10 )
			{
				XHR.get("set_ubuss_errror",null, function (data){
				     sessionidstr = data.sessionid;
				});
			//	alert("你连续错误登录次数已经超过10次,已发送告警信息");
			}
		}
		else if ( data.login_result == 3 )
		{
			alert("电信维护帐号已被禁用,请另选帐号登录");
		}
		else if ( data.login_result == 4 )
		{
			alert("用户名或密码错误,请重试");
			$("#username_text, #password_text").val("");
		}
		else if( data.login_result == 6 )
		{
			alert("用户名或密码错误,请重试");
			$("#username_text, #password_text").val("");
		}
		else
		{
			alert("未知错误");
		}
	}
	else
	{
		alert("未知错误");
	}
}

这段代码很简单,通过代码解读,我们可以知道登录状态体验在login_result这个字段中,并有以下状态:

0 校验成功即登录成功
1 当前已有用户在别处登录
2 您的连续错误登陆次数已经达到3次
3 电信维护帐号已被禁用
4/6 用户名或密码错误

7、接下来我们需要输入正确的用户名和密码,正常登陆,看登录状态是怎么传递的,使用的是前文提到的token机制还是session机制,便于后续维持登录状态进行路由管理。

登录成功后,我们发现页面跳转到了main_CM.html,并且在这个3个请求中都没有发现set-cookie相关的响应头,说明登录状态并不是通过cookie传递的,前面的登录接口也并没有返回类似token之类的东西,说明也不是用的token。

通过进一步分析登录后的请求包,我们发现有一个is_logined.cgi的请求,直观理解就是检测是否登录了,并传入了token这个字段,值为当前浏览器的userAgent,到这里我们基本可以确认,登录状态是通过ip+标识来确定的,而标识就是浏览区的userAgent

到这里,其实登录分析已经完成了,我们只需要按照上一篇文章中讲的将请求包copy as fetch,再简单的修改就可以实现模拟登录。

关于在线设备的获取,我们只需要找到相应的功能模块,然后查看对应的请求包就行

这里也验证了我们之前的猜想即所有的功能都是在http://192.168.1.1/cgi-bin/ajax这个接口中实现的,获取设备列表的ajaxmethodget_lan_status

设备的禁用和启用这里就不再多做分析,按照本系列文章中提及的方法做,都非常的简单。

本系列所有关于模拟登录路由器的文章到这里就结束了,文章中提及的方法都是一些通用的技巧,你可以用在任意网站的分析上,如果你分析不出来,那就多看几遍,前端没有秘密可言,时间问题而已,做的更安全一点,无非就是加密(jsobfuscator之类的),反调试之类的,这些并不是不可逆向或者没有解决办法,静下心来仔细分析就一定可以有所收获。

猛戳这里下载本文案例源码包

系列文章导航:

第1节: node模拟登录并管理小米路由器

第2节: node模拟登录并管理tplink路由器

  • 支付宝二维码 支付宝
  • 微信二维码 微信

本文地址: /emcc-auto-login.html

版权声明: 本文为原创文章,版权归 逐梦个人博客 所有,欢迎分享本文,转载请保留出处!

相关文章