黑帽联盟

标题: 某站视频真实地址解析详细过程 [打印本页]

---

作者: feihu    时间: 2017-9-16 00:43
标题: 某站视频真实地址解析详细过程
我是搬运工，觉得好的，支持一下

前不久看到一篇关于BibiBili视频地址解析的源码，正好有兴趣，就自己也研究了研究,记录一下。

1.以http://www.bilibili.com/video/av12535537/ 此视频为例用HttpWatch抓包，很容易就能看出视频的地址是从https://interface.bilibili.com/playurl?quality=4&player=1&cid=20627240&ts=1504780011&sign=f37df88434579a4b009a2bee708a2a71&qn=112里获取的
按照常例分析下参数:
cid很容易猜测出是视频的ID号,在网页源码里面也能找到


Quality和qn是视频的清晰度
ts则是时间戳,这个也不用多说
关键就是这个sign，在HttpWatch中是完全搜不到任何相关的信息的，但网页访问了http://static.hdslb.com/play.swf这个文件，那么sign算法很可能就在这个播放器里。

2.下载这个SWF文件后，载入AS3 Sorcerer，代码一大片不是很好找



那就保存到文本里,在文本中查找”视频地址”这个关键字。



很快就能定位到关键的函数LoadPreview和LoadCidVideo那么接着搜索LoadPreview和LoadCidVideo定位到函数部分,可以看到代码如下




那么关键算法就是在getSign和getSign_v2里面了

1. public function getSign(_arg_1:String):String
   
2.     {
   
3.         var _local_2:int;
   
4.         var _local_4 = null;
   
5.         var _local_7:int;
   
6.         var _local_8:int;
   
7.         var _local_6:int;
   
8.         var _local_5:int;
   
9.         var _local_3:int = ESP;
   
10.         _local_2 = _local_3;
    
11.         _local_3 = (_local_3 - 48);
    
12.         _local_5 = 16;
    
13.         _local_6 = (_local_2 - 37);
    
14.         ESP = (_local_3 & -16);
    
15.         _local_7 = CModule.mallocString(_arg_1);
    
16.         _local_8 = _arg_1.length;
    
17.         do
    
18.         {
    
19.             var _local_9:int = (L__2E_str2 - _local_5);
    
20.             _local_9 = li8((_local_9 + 16)) /*FlasCC (Alchemy)*/ ;
    
21.             _local_3 = (_local_3 - 16);
    
22.             si32(_local_9, (_local_3 + 4)); //FlasCC (Alchemy)
    
23.             si32(_local_6, _local_3); //FlasCC (Alchemy)
    
24.             ESP = _local_3;
    
25.             F_sprintf();
    
26.             _local_3 = (_local_3 + 16);
    
27.             _local_5 = (_local_5 + -1);
    
28.             _local_6 = (_local_6 + 2);
    
29.         } while (_local_5 != 0);
    
30.         _local_3 = (_local_3 - 16);
    
31.         _local_9 = (_local_2 - 4);
    
32.         si32(_local_9, (_local_3 + 12)); //FlasCC (Alchemy)
    
33.         _local_9 = (_local_2 - 37);
    
34.         si32(_local_9, (_local_3 + 8)); //FlasCC (Alchemy)
    
35.         si32(_local_8, (_local_3 + 4)); //FlasCC (Alchemy)
    
36.         si32(_local_7, _local_3); //FlasCC (Alchemy)
    
37.         ESP = _local_3;
    
38.         F_get_sign();
    
39.         _local_3 = (_local_3 + 16);
    
40.         _local_5 = eax;
    
41.         _local_9 = li32((_local_2 - 4)) /*FlasCC (Alchemy)*/ ;
    
42.         _local_4 = CModule.readString(_local_5, _local_9);
    
43.         if (_local_7 != 0)
    
44.         {
    
45.             _local_3 = (_local_3 - 16);
    
46.             si32(_local_7, _local_3); //FlasCC (Alchemy)
    
47.             ESP = _local_3;
    
48.             F_idalloc();
    
49.             _local_3 = (_local_3 + 16);
    
50.         };
    
51.         if (_local_5 != 0)
    
52.         {
    
53.             _local_3 = (_local_3 - 16);
    
54.             si32(_local_5, _local_3); //FlasCC (Alchemy)
    
55.             ESP = _local_3;
    
56.             F_idalloc();
    
57.             _local_3 = (_local_3 + 16);
    
58.         };
    
59.         var _local_10 = _local_4;
    
60.         _local_3 = _local_2;
    
61.         ESP = _local_3;
    
62.         return (_local_10);
    
63.     }
    
64. }//package com.bilibili.interfaces

复制代码

1. public function getSign_v2(_arg_1:String, _arg_2:int):String
   
2.     {
   
3.         var _local_12:*;
   
4.         var _local_3:int;
   
5.         var _local_5 = null;
   
6.         var _local_6:int;
   
7.         var _local_11:int;
   
8.         var _local_8:int;
   
9.         var _local_10:int;
   
10.         var _local_9:int;
    
11.         var _local_4:int = ESP;
    
12.         _local_3 = _local_4;
    
13.         _local_4 = (_local_4 - 48);
    
14.         _local_6 = _arg_2;
    
15.         if (_local_6 >= 5)
    
16.         {
    
17.             _local_12 = _arg_1;
    
18.         }
    
19.         else
    
20.         {
    
21.             _local_8 = (L__2E_str2 + (_local_6 << 4));
    
22.             _local_9 = 16;
    
23.             _local_10 = (_local_3 - 37);
    
24.             ESP = (_local_4 & -16);
    
25.             _local_6 = CModule.mallocString(_arg_1);
    
26.             _local_11 = _arg_1.length;
    
27.             do
    
28.             {
    
29.                 var _local_7:int = (_local_8 - _local_9);
    
30.                 _local_7 = li8((_local_7 + 16)) /*FlasCC (Alchemy)*/ ;
    
31.                 _local_4 = (_local_4 - 16);
    
32.                 si32(_local_7, (_local_4 + 4)); //FlasCC (Alchemy)
    
33.                 si32(_local_10, _local_4); //FlasCC (Alchemy)
    
34.                 ESP = _local_4;
    
35.                 F_sprintf();
    
36.                 _local_4 = (_local_4 + 16);
    
37.                 _local_9 = (_local_9 + -1);
    
38.                 _local_10 = (_local_10 + 2);
    
39.             } while (_local_9 != 0);
    
40.             _local_4 = (_local_4 - 16);
    
41.             _local_7 = (_local_3 - 4);
    
42.             si32(_local_7, (_local_4 + 12)); //FlasCC (Alchemy)
    
43.             _local_7 = (_local_3 - 37);
    
44.             si32(_local_7, (_local_4 + 8)); //FlasCC (Alchemy)
    
45.             si32(_local_11, (_local_4 + 4)); //FlasCC (Alchemy)
    
46.             si32(_local_6, _local_4); //FlasCC (Alchemy)
    
47.             ESP = _local_4;
    
48.             F_get_sign();
    
49.             _local_4 = (_local_4 + 16);
    
50.             _local_10 = eax;
    
51.             _local_7 = li32((_local_3 - 4)) /*FlasCC (Alchemy)*/ ;
    
52.             _local_5 = CModule.readString(_local_10, _local_7);
    
53.             if (_local_6 != 0)
    
54.             {
    
55.                 _local_4 = (_local_4 - 16);
    
56.                 si32(_local_6, _local_4); //FlasCC (Alchemy)
    
57.                 ESP = _local_4;
    
58.                 F_idalloc();
    
59.                 _local_4 = (_local_4 + 16);
    
60.             };
    
61.             if (_local_10 != 0)
    
62.             {
    
63.                 _local_4 = (_local_4 - 16);
    
64.                 si32(_local_10, _local_4); //FlasCC (Alchemy)
    
65.                 ESP = _local_4;
    
66.                 F_idalloc();
    
67.                 _local_4 = (_local_4 + 16);
    
68.             };
    
69.             _local_12 = _local_5;
    
70.         };
    
71.         _local_4 = _local_3;
    
72.         ESP = _local_4;
    
73.         return (_local_12);
    
74.     }
    
75. }//package com.bilibili.interfaces

复制代码

可以看到，二者代码非常相似，而且光看代码无法找到有用的信息，那么就得想办法去调试了

3.目前我只知道的办法是：使用JPEXS反编译软件来修改SWF代码(插Log),然后通过Fiddler劫持替换SWF,通过显示Log信息来进行调试undefined
要显示log信息就得安装debug版本的flash
http://www.adobe.com/support/flashplayer/debug_downloads.html


为方便阅读日志信息可以安装Cygwin


具体步骤我也是参考了http://blog.csdn.net/hot_vc/article/details/50600717这篇文章undefined
————————————————————————————————————————————————————————————————————————————
将SWF载入JPEXS

要想修改SWF的源码就得去修改PCODE，第一次接触这种也不是很懂，觉得有点类似于C#的IL代码
通过AS3代码和PCODE代码的一一进行对比，还是能找到一些规律的
为了查看代码中变量值，用到以下代码

1. findpropstrict Qname(PackageNamespace(""),"trace")
   
2. getlocal 5
   
3. callpropvoid Qname(PackageNamespace(""),"trace") 1

复制代码

这个代码就相当于trace(_loc5_);
修改保存后利用Fiddler来劫持替换我们的SWF

这样Cygwin就能输出我们想要看到的结果了。
其中有些变量的值是地址，而不是数据，为了读取地址中的数据，利用到了这句代码CModule.readString(地址,读取长度);
按照原PCODE的格式，写出插LOG时的PCODE

1. pushint 60
   
2. setlocal 8
   
3. getlex Qname(PackageNamespace("com.bilibili.interfaces"),"CModule")
   
4. getlocal 7
   
5. getlocal 8
   
6. callproperty Qname(PackageNamespace(""),"readString") 2
   
7. coerce_s
   
8. setlocal 5
   
9. findpropstrict Qname(PackageNamespace(""),"trace")
   
10. getlocal 5
    
11. callpropvoid Qname(PackageNamespace(""),"trace") 1

复制代码

此代码相当于
_loc8_:int = 60;
_loc5_:* = CModule.readString(_loc7_,_loc8_);
trace(_loc5_);

4.其实关键算法在F_get_sign()中，因为从F_get_sign()函数中出来后，eax中就已经存放带着sign的视频URL的地址了。
F_get_sign()函数过于复杂,总之通过不断地插这两种Log查看变量信息,最终找到了算法



由这个地方可以看出是MD5,还有一个位置能够准确地查看到进行MD5处理的数据(已经忘了.....)
算法如下:

1. 五种清晰度
   
2. qn=16,quality=1
   
3. qn=32,quality=5
   
4. qn=48,quality=2
   
5. qn=64,quality=2
   
6. qn=80,quality=3
   
7. qn=112,quality=4
   
8. 
   
9. 三种类型的视频bili2,bangumi,movie
   
10. 
    
11. bili2:
    
12. time = F_clock_gettime();
    
13. 
    
14. sign ＝ MD5(“cid=” ＋ cid ＋ “&player=1&qn=112&quality=4&ts=” ＋ time ＋ “1c15888dc316e05a15fdd0a02ed6584f”)
    
15. 
    
16. url  =  “https://interface.bilibili.com/playurl?player=1&qn=112&cid=” ＋ cid ＋ “&quality=4&ts=” ＋ time ＋ “&sign=” ＋ sign
    
17. 
    
18. bangumi:
    
19. time = F_clock_gettime();
    
20. 
    
21. sign ＝ MD5(“cid=” ＋ cid ＋ “&module=bangumi” ＋ “&player=1” ＋ “&qn=112” ＋ “&quality=4” ＋ “&ts=” ＋ time ＋ “9b288147e5474dd2aa67085f716c560d”)
    
22. 
    
23. url  =  “https://bangumi.bilibili.com/player/web_api/playurl?cid=” ＋ cid ＋ “&player=1” ＋ “&module=bangumi” ＋ “&qn=112” ＋ “&quality=4&ts=” ＋ time ＋ “&sign=” ＋ sign

复制代码

也就只分析到了这里、

顺便说下，有些tx.acgvideo.com开头的视频无法下载是因为服务器检查了Refer,只要在协议头里面加入Refer:https://static.hdslb.com/play.swf,就能下载了


以上文章转载其它网站的，觉得感觉挺不错的，分享给大家看看

---

作者: tianmingyu    时间: 2017-10-11 11:48
表示完全看不懂

---

作者: 良心收    时间: 2019-11-26 15:21

qp网站的数据能拿么？楼主大佬

---

欢迎光临 黑帽联盟 (https://bbs.cnblackhat.com/)

Powered by Discuz! X2.5