JS逆向——国税总局发票查验平台

国家税务总局全国增值税发票查验平台

https://inv-veri.chinatax.gov.cn/

最近朋友有个新需求，就是做一个发票校验的爬虫，由于这个网站有一些不是很友好的反爬，导致对新手的非常不友好~~~所以周六花了点时间康康了。
难度还行，通过分析是sojson的企业版本，有可能为最新版本的v6，也有可能是v5然后加了个webdriver的检测，因为需要收费才能用v6的加强版反无头浏览器了。所以不管他了，黑猫白猫都是������

2020/7/12更新，

新增测试接口。解析国税总局全类型发票数据，包括最新的增值税电子专用发票

增值税专用发票

增值税专用发票带清单

货物运输业增值税专用发票

机动车销售统一发票

增值税普通发票

增值税电子专用发票

增值税电子普通发票

增值税普通发票（卷票）

通行费xxx增值税电子普通发票

二手车销售统一发票

测试接口：
| 请求地址 | Content-Type | 参数形式 | 请求方法 |
| ——————————— | —————- | ——– | ——– |
| http://106.53.31.110:8080/check?fpdm=3100171320&fphm=79262007&date=20170620&code=184553&channel=yd | url | JSON | GET |

生产接口：
| 请求地址 | Content-Type | 参数形式 | 请求方法 |
| ——————————— | —————- | ——– | ——– |
| http://localhost:8080/check?fpdm=3100171320&fphm=79262007&date=20170620&code=184553&channel=yd | url | JSON | GET |

具体参数：

参数名	必选	类型	说明
fpdm	Yes	String	发票代码
fphm	Yes	String	发票号码
date	Yes	String	发票时间
code	Yes	String	开具金额或者校验六位。不知道就不填，服务器会返回提示之后再根据填写。
channel	Yes	String	你猜，不填就拉闸

返回结果：

参数名	类型	说明
message	String	结果提示
code	String	0为成功处理
time	String	请求所花费的时间（毫秒）
data	String	解析的数据
info	String	原始数据

数据字段中文意思：：：请联系本人QQ1095085167，避免外泄。花了三四天重新解析的东西。。。

Java用例：

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;

/**
 * @Description
 * @auther Gouzai
 * @create 2020-07-12 22:04
 */
public class demo {
    public static void main(String[] args) throws IOException {
        String url = "http://106.53.31.110:8080/check?fpdm=3100171320&fphm=79262007&date=20170620&code=184553&channel=yd";
        HttpURLConnection conn = (HttpURLConnection) new URL(url).openConnection();
        InputStream inputStream = null;
        if (conn.getResponseCode() == HttpURLConnection.HTTP_OK){
            inputStream = conn.getInputStream();
        } else {
            inputStream = conn.getErrorStream();
        }
        InputStreamReader inputStreamReader = new InputStreamReader(inputStream);
        BufferedReader bufferedReader = new BufferedReader(inputStreamReader);
        StringBuffer sb = new StringBuffer();
        String line = null;
        while((line = bufferedReader.readLine())!= null){
            sb.append(line);
        }
        String result = sb.toString();
        System.err.println(result);
        com.alibaba.fastjson.JSONObject json = com.alibaba.fastjson.JSONObject.parseObject(result);
        System.err.println(json);
    }
}

debugger

一开始就给了个见面礼。其实还行，过这个debugger的文章已经多到不能再多了，这里主要是分析流程所以略。。。

过了debugger的检测之后就干干净净舒舒服服，妈妈也在不用担心我调试的时候被无情的打断了。

js 加密版本判断

虽然sojson = ob混淆 + 自己写的代码
一般来说，ob混淆是不带debugger的，看了一下跟sojson贼像，那就是他了。看了没有那个sojson的广告，也就可以确定是定制版本了

这里提供一下sojsonv6反混淆的截图，同一个世界，同一个套路。。。

简单的js处理

四五月份学了点js的AST处理，然后简单那处理一下。

处理字符串被抽取作为方法的调用 && 处理抽取出来的运算符并删除

处理平坦化流程

然后用Charles替换上去即可，charles 的食用方法我之前有写过。。。因为我是扣那些代码我就反混淆那些，处理sojson都已经是轻车熟路了，直接嘀嘀嘀了。。。

然后刷新一下，重复一遍过debuger的方法，然后在网络上下个断点，就能发现整个流程了。

初始化阶段

获取不同的省份查询的地址可能不一样

通用流程

在这里加ajaxSetup，其实这个也是我在反推流程的时候无意发现的，然后就喜提url签名。。。

RSA

JSEncrypt

RSA 在js实现的公共库只有JSEncrypt和基于JSEncrypt二次开发的nodejs版本，暂未找到其他的比较有标准化的RSA。但是他们依赖于浏览器内部crypto或者就是nodejs实现的crypto。暂未找到一个未依赖系统的特定库的RSA实现，在Java的内置js引擎是无法正常运行的。所以走到这一步都是通过拿到这个值让Java实现Rsa加密。

Java 实现RSA算法

package cn.gov.chinatax.utils;

import sun.misc.BASE64Decoder;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import java.io.IOException;
import java.security.InvalidKeyException;
import java.security.KeyFactory;
import java.security.NoSuchAlgorithmException;
import java.security.PublicKey;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.X509EncodedKeySpec;
import java.util.Base64;

/**
 * @Description
 * @auther Gouzai
 * @create 2020-06-05 18:44
 */
public class RSA {

    public static String encryp(String str,String key) {
        try {
            X509EncodedKeySpec bobPubKeySpec = new X509EncodedKeySpec(new BASE64Decoder().decodeBuffer(key));
            // RSA对称加密算法
            KeyFactory keyFactory = KeyFactory.getInstance("RSA");
            // 取公钥匙对象
            PublicKey publicKey = keyFactory.generatePublic(bobPubKeySpec);

            Cipher cipher = Cipher.getInstance("RSA");
            cipher.init(Cipher.ENCRYPT_MODE, publicKey);
            byte[] bytes = cipher.doFinal(str.getBytes());
            return Base64.getEncoder().encodeToString(bytes);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (NoSuchPaddingException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (IllegalBlockSizeException e) {
            e.printStackTrace();
        } catch (BadPaddingException e) {
            e.printStackTrace();
        } catch (InvalidKeyException e) {
            e.printStackTrace();
        } catch (InvalidKeySpecException e) {
            e.printStackTrace();
        }
        return null;
    }
}

RSA KEY

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCXY6ndiMJE7wF0qg9emVQik7FnCBidCr8V+yG/++iN/CwV0Rfe81wnjg2I23nbLJVuT63Y1T4x2etNr58BTHuzrCRy8gj3HPaS0GSGuiN7EWI1s0Bg6N78nvStPxeinyD8Qh3Bqa+5Z014nbOqn20kW4d3efLAeI7A6yc2uMPvfwIDAQAB

获取验证码

他的获取验证码是绑定发票代码跟发票号码的

解密验证码

解密之后拿到base64的图片，查验时间，输入验证码的类型

验证码识别

验证码这里采用的是鱼导的定制识别方法，下面有测试接口。不过为了方便测试，所有每天会有上限为500次的识别机会，已经足够测试了。一张发票一天就只能查询五次。。。
由于验证码识别率超过98%，基本没有见到因为由于验证码错误导致的查询失败。

• 验证码识别实现方案
  

获取发票信息

这里有个是fplx(发票类型)，在全局搜索一下即可，跟获取服务器配置的js一样，在同一个文件中
先签名

在组织拼接代码然后传进去

临时存放起来

动态生成拼接处理的js代码

拿到初始化数据

解析数据

设置到文本中

显示，完事了

到这里就整个流程是已经走完了。简称一条龙服务。。。

效果

测试的两个分票类型：第一个是没有详情清单的（喜鹊楼茶餐厅）。第二个有详情清单（沃尔玛）

彩蛋

这个网站主要是检测

sojson的套路，直接过了。。。

魔改了一些库，比如Base64，里面有几个base64，千万不能混淆了，混淆了就GG

检测window.navigator.webdriver

屏幕的可用宽高的乘积跟一个临界值做判断

扣代码技巧

逆着扣，哪里调用扣哪里，妈妈再也不用担心我了…..

坑

java的String split跟js有差异化的。。。

政府的程序员都那么无聊吗？？？全用数组，不打算更新了吗？。。。更新一个字段得全部流程都要改。。。
参数名称的命名方式竟然是中文拼音的第一个，比如pflx（发票类型），fpdm（发票代码），fphm（发票号码）。。。

Thanks

• Walden
• 陈可牛

QQ Group