unipus iTEST考试助手---写脚本与反脚本的拉锯战

unipus iTEST考试助手---写脚本与反脚本的拉锯战

0x0 前言

脚本已经失效, 此博客只为记录我的开发历程, 方便大家学习油猴脚本开发

学校的英语考试选择在ITEST平台上进行, 并让我们进行了一次模拟考试, 进入考试后发现无法选中切屏等操作, 不如就写个脚本解除这些限制吧, 马上我同学魔改其他人的脚本加入了翻译等功能, 我就想着不如我也写着试一试吧, 随后就开始了我与ITEST的拉锯战

1708874839871

0x1 1.0版本 — 解除限制

我方进攻

解除限制非常简单, 首先注意到所有的 .itest-ques 均被挂上了false, document document.body 也被限制了, 直接解除这些限制即可

1708875106682
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
function hackClass(className) {
    for (const i of document.getElementsByClassName(className)) {
        hackItem(i);
    }
}

/**
* 现在会被检测
*/
function hackItem(item) {
    item.onpaste = () => true;
    item.oncontextmenu = () => true;
    item.onselectstart = () => true;
    item.ondragstart = () => true;
    item.oncopy = () => true;
    item.onbeforecopy = () => true;
    item.style = '';
}
hackClass('itest-ques');
hackClass('itest-direction');
hackItem(document.body);

0x2 2.0版本 - 自动翻译与解析听力

我方进攻

注意到所有的听力材料都是以json的形式写在了dom里, 只需要遍历这些dom, 就可以将听力的地址提取出来 ITEST开发人员太懒了

1708874877517

翻译题目很简单, 只需要遍历每个题目的节点, 在每个题目上加上按钮, 传入百度翻译即可返回结果, 这里贴上部分代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
/**
 * 调用翻译api
 * @param context_list
 * @param from
 * @param to
 * @returns {Promise<unknown>}
 */
async function translateAPI(context_list, from, to) {
    const trans_salt = (new Date).getTime();
    const {appid, key} = getBaiduAPIKey()
    const trans_str = appid + context_list + trans_salt + key;
    const trans_sign = md5(trans_str);

    for (let i=0; i<5; i++) {
        const data = await translateAjaxApi({
            q: context_list,
            from,
            to,
            appid: appid,
            salt: trans_salt,
            sign: trans_sign
        })
        if (data.error_code) {
            const errmsg = {
                "52001": "请求超时",
                "52002": "系统错误",
                "52003": "未授权用户",
                "54003": "访问频率受限",
                "54004": "账户余额不足",
                "58002": "服务当前已关闭",
                "90107": "认证未通过或未生效"
            }
            if (parseInt(data.error_code) !== 54003) {
                alert(`错误代码${data.error_code} 信息:${errmsg[data.error_code.toString()]}`)
                throw new Error(`错误代码${data.error_code} 信息:${errmsg[data.error_code.toString()]}`)
            } else {
                await delay(1000);
            }
        }
        return data.trans_result;
    }
    alert("请求过于频繁")
    throw new Error("请求过于频繁");
}
/**
 * 单选题注入
 */
function singleSelect() {
    $('.row').each(function () {
        if ($(this).find('.option').length !== 0) {
            $(this).prepend(`<button class="sk-tr-s sk-translate-btn sk-btn-primary sk-btn-p">翻译</button>`)
        }
    })
    $('.sk-tr-s').on('click', function () {
        if ($(this).is('.sk-btn-p')) {
            $(this).parent().find('span').each(function () {
                $(this).remove();
            })
            const $this = $(this).parent();
            const selectOption = [];
            $this.children('.option').each(function () {
                selectOption.push($(this).find('label'))
            })
            const p = selectOption.map(value => value.text().replace('\n', '')).join('\n');
            translateAPI(p, 'en', 'zh').then(value => {
                for (let i = 0; i < value.length; i++) {
                    selectOption[i].append(`<span style="color: #5093df"><br/>     ${value[i].dst}</span>`)
                }
                $(this).removeClass('sk-btn-p').addClass('sk-btn-g').html('清空');
            })
        } else {
            $(this).removeClass('sk-btn-g').addClass('sk-btn-p').html('翻译');
            $(this).parent().find('span').each(function () {
                $(this).remove();
            })
        }
    })
}

ITEST方防御

因为不少学校的ITEST平台是定制的, 域名未知, 我不得不匹配所有域名, 为了判断一个平台是否为ITEST, 我才用了判断标题的方法

1
2
3
4
5
6
7
/**
 * 判断是否为Itest平台, 为了防止部分学校定制
 * @returns {boolean}
 */
function isItest() {
    return document.title.indexOf("iTEST") !== -1 && document.getElementById('all-content') !== null;
}

收到失效的报告后, 我进入平台检查, 发现了下面令我瞠目结舌的场面:

1708874924792
1708874934244

他们把ITEST的 TE 替换成了希腊字母 ΕεΤτ , 肉眼看不出任何问题, 但是程序不认了, 要不是有拼写检查, 我还真看不出来 ITESTITΕSΤ 不一样, 你看得出来吗?

0x3 3.0版本 — 解除切屏限制与添加翻译助手

反制防御

因为ITEST被改, 不能判断ITEST, 我将条件删为仅判断节点

1
2
3
function isItest() {
    return document.getElementById('all-content') !== null;
}

我方进攻

在逻辑里发现切屏代码, 是通过 window.onblurwindow.onfocus 检测切屏, 很简单, 我只要把这两个函数置空即可

1708874946371
1
2
3
4
setInterval(function () {
    window.onblur = () => {};
    window.onfocus = () => {};
}, 5 * 1000)

为了方便查单词, 我添加了翻译助手, 大概就是添加了个节点, 点击会直接调用百度翻译进行翻译, 大致源码, 红框内为铺垫

1708874956429

ITEST防御

还记得前面那个翻译助手吗? 就那里出现了大问题, ITEST直接检测了翻译助手的悬浮窗, 如何出现问题直接判定为作弊, 并通过ajax传输出去! 至此, 我不得不修改源码

1708875132004

0x4 4.0版本 - 全随机与ajax拦截

反制防御

为了防止脚本被固定节点检测出, 我决定对脚本进行重构, 对所有的class进行随机化处理, 核心代码如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
/**
 * 生成随机字符串
 * @param len 长度
 * @returns {string}
 */
function getRandomString(len = 10) {
    const str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
    const maxPos = str.length;
    let pwd = '';
    for (let i = 0; i < len; i++) {
        pwd += str.charAt(Math.floor(Math.random() * maxPos));
    }
    return pwd;
}

/**
 * 生成范围随机数
 * @param minNum 最小值
 * @param maxNum 最大值
 * @returns {number}
 */
function getRandomInt(minNum, maxNum) {
    return parseInt(Math.random() * (maxNum - minNum + 1) + minNum, 10);
}

const RANDOM_CLASS = {  // 对所有的随机化处理
    BTN: getRandomString(getRandomInt(3, 10)),
    BTN_P: getRandomString(getRandomInt(3, 10)),
    BTN_G: getRandomString(getRandomInt(3, 10)),
    TRANSLATE_TEXT: getRandomString(getRandomInt(3, 10)),
}

/**
 * 文章翻译
 */
function article() {
    const ART = getRandomString(getRandomInt(5, 10));
    $('.con-left>.article').each(function () {
        $(this).prepend(`<a class="${RANDOM_CLASS.BTN} ${RANDOM_CLASS.BTN_P} ${ART}" >${getRandomString(4)}</a>`)
    })
    $(`.${ART}`).on('click', function () {
        // 翻译被点击内容
    })
}

如此一来, 所有动态插入的内容全随机, 如图

1708874979501
1708874988650

我方进攻

为了防止信息被上报, 我拦截了ajax信息, 对url进行判断, 并选择是否放行, 代码如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
function fuckITEST() {
    // 一袋米要抗几楼
    window.onblur = function () {};
    window.onfocus = function () {};
    setInterval(function () {
        window.onblur = function () {};
        window.onfocus = function () {};
    }, 5 * 1000)

    // 一袋米要抗二楼
    const ajax = $.ajax
    $.ajax = function (obj) {
        const url = obj.url
        if (url.indexOf("log") === -1) {
            return ajax(obj)
        }
        return "欧拉欧拉欧拉欧拉"
    }
    // 一袋米哟给多嘞
    ITEST.util.logNew = function () {
        // 木大木大木大木大木大木大
    };
    // 一袋米哟我洗嘞 !!!!!!
}

ITEST防御

这次防御有点头疼, 首先ITEST去检测了解除限制这一片, 发现如果被置为 true 则判定开了脚本

1708875017530

为了防止ajax被拦截, 他们选择了 fetch , 并提前保存了fetch防止被篡改

1708875028997

最后拦截了ajax, 并采用定时器不断修改ajax, 检测是否访问 api.fanyi.baidu.com

1708875042338

0x5 5.0版本 - 只读属性的胜利

反制防御

iTEST再次更改了节点, 从 all-content 改成了 main-content , 必须得找一个无法被修改的办法, 于是选择检测JS

1
2
3
4
5
6
7
8
function isITEST() {
	try {
		ITEST;
		return true;
	} catch(e) {
		return false;
	}
}

因为检测 oncontextmenu , 只要不返回 false 便可解除屏蔽, 为了万无一失, 我采用了骚操作, 采用定义属性的方式使其返回false, 但是网页却认为不是false, 右键菜单照常, 但是js读一定是false

1
2
3
4
5
6
7
8
9
10
11
12
13
14
function hackItem(item) {
    item.onpaste = () => true;
    item.oncontextmenu = () => true;
    item.onselectstart = () => true;
    item.ondragstart = () => true;
    item.oncopy = () => true;
    item.onbeforecopy = () => true;
    Object.defineProperty(item, 'onpaste', {get: () => (event) => false})
    Object.defineProperty(item, 'oncontextmenu', {get: () => (event) => false})
    Object.defineProperty(item, 'onselectstart', {get: () => (event) => false})
    Object.defineProperty(item, 'ondragstart', {get: () => (event) => false})
    Object.defineProperty(item, 'oncopy', {get: () => (event) => false})
    Object.defineProperty(item, 'onbeforecopy', {get: () => (event) => false})
}
1708875062086

因为对方拦截了ajax, 我要不想被拦截就可以使脚本比他更先运行, 加入注释头 // @run-at document-body 因为此时网页还未载入jQuery, 我得自己加载jQuery // @require https://cdn.bootcdn.net/ajax/libs/jquery/1.11.1/jquery.min.js 随后保存ajax, 使其无法篡改

1708875073167

这样以后调用ajax即可, 对方无法侦测到我使用翻译接口

我方进攻

虽然我承认ajax是我先改的, 但是我现在脚本比你先运行, 那么就可以玩点骚的了, 首先把ajax设为只读, 并采用白名单的形式去检查上报事件是否是我允许的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Object.defineProperty($, 'ajax', {
    get: () => (obj) => {
        const data = JSON.parse(obj.data)
        const allow = data.filter(value => {
            const action = value.action
            return ['pairwork_exam', 'res_download_start', 'next_ques_click', 'pre_ques_click',
                'ans_submit', 'exam_end', 'ans_card_click', 'ans_auto_submit', 'exam_begin', 'res_download_end',
                'down_audio_error'].includes(action);
        })
        if (allow.length === 1 && data.length === 1) {
            console.log("上报信息成功")
            SETTING.AJAX(obj)
        } else {
            console.log("上报信息不在白名单内, 已被阻断!")
            obj.success()
        }
    },
    set: () => {console.log("无事发生")}
})

随后拦截 fetch 事件, 使其返回永远是成功

1
2
window.fetch = () => new Promise((resolve) => {resolve()})
fetch = () => new Promise((resolve) => {resolve()})

0x6 后记

拉锯战到这里就结束了, 因为5.0版本我并没有公开, ITEST无法对我进行反制, 等这篇博客发出来的时候, 我的英语应该已经考完了(滑稽), 不过5.0我也不打算公开了, 通过这次拉锯战巩固了我jQuery框架的知识, 还整会了各种骚操作, 这种东西玩玩就好了, 适时收手, 我可不想收到我的第二封律师函

逆向 > Web
#逆向 #Javascript
unipus iTEST考试助手---写脚本与反脚本的拉锯战
https://simonkimi.githubio.io/2020/07/01/unipus-iTEST考试助手-写脚本与反脚本的拉锯战/
作者
simonkimi
发布于
2020年7月1日
许可协议