本文章中所有内容仅供学习交流使用，不用于其他任何目的。否则由此产生的一切后果均与作者无关！

雷池waf概念

雷池 WAF（SafeLine）是长亭科技开源的一款 Web 应用防火墙，部署在网站前面，把所有进来的 HTTP/HTTPS 流量先过一遍“安检”，再决定是否放行。

作用：

雷池通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来保护 Web 服务。可以保护 Web 服务免受 SQL 注入、XSS、 代码注入、命令注入、CRLF 注入、ldap 注入、xpath 注入、RCE、XXE、SSRF、路径遍历、后门、暴力破解、CC、爬虫 等攻击。

一句话总结：雷池 WAF = 免费 + 一键安装 + 企业级 Web 安全防护，适合个人站、中小企业以及需要私有化部署的场景。免费使用。

这是官方文档：雷池 WAF | 下一代 Web 应用防火墙 | 免费使用

逆向目标：aHR0cHM6Ly93d3cuZ2RzZ2ouY29tL25vdGljZS8=

浏览器DevTool控制台检测

当清除cookies后，重新抓包会被检测到

并且控制台会被无限清除

自动化工具检测：

playwright测试

需要点击，模拟点击试一次

直接报当前环境被调试

selenium测试

同上

drissionpage测试

可以绕过检测

如何绕过控制台检测

打开脚本断点进行调试

到challenge.js到这里有判断是不是机器人的检测，分数越高，越像机器人，越容易被检测到。

从v函数进去，里面有多个检测点

一共有四十四个检测点，检测环境、控制台、自动化的。

像以下这些点就是检测自动化的

被检测到直接满分毕业，测试一下打开自动化，分数是多少

220分，太像机器人了。

逆向思路

那如何绕过反调试，并获取正常cookies，利用协议去请求呢？

这个值是我们要得出的

第一步：

直接源头注释替换文件，方便调试

第二步，第一次请求，请求首页获取issue_id值和sl-session

第一次报468

第三步：第二次请求，请求 issue接口

issue_id值是第一次请求页面得内容

请求获取这两个重要的值

第四步，第三次请求，求verify接口

需要分析三个参数

issue_id参数由 issue接口返回

visitorId 设备指纹

result 由issue返回参数在经过一系列加工返回

跟栈

这个文件是临时生成得文件blob

重新刷新进入断点会消失

发现用来wasm模块加密

如何调用wasm模块，请看这一篇文章JS逆向之Wasm逆向过程-CSDN博客,有兴趣可以借助可以借助ai去分析成python代码或者js代码。以下是JS代码调用，python借助subprocess库去获取值

const fs = require('fs');
const wasmCode = fs.readFileSync('7cfa74f2.wasm');// const deasync = require('deasync');function aa(e) {e =JSON.parse(e)WebAssembly.instantiate(wasmCode, {"env": {},"wasi_snapshot_preview1": {}}).then(result => {const instance = result.instance;const reset = instance.exports.resetconst arg = instance.exports.argconst calc = instance.exports.calcconst ret = instance.exports.retaaaa = function() {return reset(),e.map(function(e) {return arg(e)}),Array(calc()).fill(-1).map(function() {return ret()})}()console.log(JSON.stringify(aaaa))})}
// aa([1,2,3,4,5,6,7,8,9])aa(process.argv[2])

python核心代码，记住，传入的字符串列表，在调用JS时强转为数组

result = subprocess.run(["node", "123.js",str(response.json()['data']['data'])], capture_output=True, text=True).stdout.strip()

顺利出值

接下来就算最后一个参数visitorId值

直接搜索参数

进入i.load()

发现就是个指纹库创建得，直接生成设备指纹

const Fingerprint2 = require('fingerprintjs2');
Fingerprint2.get(components => {
const values = components.map(component => component.value);
const murmur = Fingerprint2.x64hash128(values.join(''), 31);
console.log(murmur);
});

稍微整理，核心代码

const fs = require('fs');
const wasmCode = fs.readFileSync('7cfa74f2.wasm');// const deasync = require('deasync');const Fingerprint2 = require('fingerprintjs2');
Fingerprint2.get(components => {
const values = components.map(component => component.value);
const murmur = Fingerprint2.x64hash128(values.join(''), 31);
console.log(murmur);
});
function aa(e) {e =JSON.parse(e)WebAssembly.instantiate(wasmCode, {"env": {},"wasi_snapshot_preview1": {}}).then(result => {const instance = result.instance;const reset = instance.exports.resetconst arg = instance.exports.argconst calc = instance.exports.calcconst ret = instance.exports.retaaaa = function() {return reset(),e.map(function(e) {return arg(e)}),Array(calc()).fill(-1).map(function() {return ret()})}()console.log(JSON.stringify(aaaa))})}
// aa([1,2,3,4,5,6,7,8,9])aa(process.argv[2])

subprocess获取的值是字符串，强转类型

result = subprocess.run(["node", "123.js",str(response.json()['data']['data'])], capture_output=True, text=True).stdout.strip()
visitorId = result.split('\n')[0]
result = json.loads(result.split('\n')[1])
data = {"issue_id": response.json()['data']['issue_id'],"result":result,"serials": [],"client": {"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36","platform": "Win32","language": "zh-CN,zh","vendor": "Google Inc.","screen": [1920,1080],"visitorId": visitorId,"score": 100,"target": ["27"]}
}

顺利得出

第四次请求携带cookies顺利获取数据

cookies={"sl-challenge-jwt": response.json()['data']['jwt']}

 

总结：

绕过雷池到获取数据一共需要四次请求

第一次请求首页。状态码468，获取issue_id

第二次请求issue接口，data携带issue_id ，获取issue_id和列表

第三次请求issue接口，data携带issue_id，JS逆向跟栈调用wasm传入列表作为参数获取result，visitorId为设备指纹，通过fingerprintjs2获取即可。获取jwt参数也就是cookie键sl_jwt_session的值

第四次携带cookie成功获取数据