标签:#WebAssembly #ReverseEngineering #Security #Wasm #GameHacking #CTF
🕵️♂️ 前言:Wasm 不是加密,只是二进制
WebAssembly 是一种基于堆栈虚拟机的二进制指令格式。它类似于汇编语言,但比 x86 汇编更抽象。
浏览器加载.wasm文件,编译为机器码运行。
逆向 Wasm 的两种核心思路:
- 静态分析:将
.wasm反汇编为.wat(WebAssembly Text) 或伪 C 代码,分析逻辑。 - 动态调试:利用浏览器开发者工具挂载断点,或直接修改
WebAssembly.Memory(线性内存)。
Wasm 加载与逆向流程 (Mermaid):
🛠️ 一、 兵器库:逆向工具准备
在开始之前,你需要准备以下工具:
- Chrome 浏览器:最强大的 Wasm 调试器。
- WABT (The WebAssembly Binary Toolkit):
wasm2wat: 将二进制转为人类可读的文本格式(S-表达式)。wat2wasm: 将修改后的文本重新编译为二进制。
- Ghidra(可选):安装 Wasm 插件后,可以生成伪 C 代码。
🔬 二、 实战第一步:捕获与反编译
假设我们正在玩一个网页小游戏,每次点击按钮,金币 +1。我们要把它改成 +1000。
1. 获取 Wasm 文件
打开 Chrome DevTools ->Network面板,刷新页面,过滤.wasm。找到game.wasm并下载。
2. 转化为可读代码 (WAT)
使用wasm2wat工具:
wasm2wat game.wasm -o game.wat打开game.wat,你会看到类似这样的代码:
(module(import"env""memory"(memory$01))(func$add_gold(param$p0 i32)(resulti32)(local$l0 i32)local.get $p0;; 获取参数(当前金币)i32.const1;; 加载常量 1i32.add;; 执行加法local.set $l0;; 存入局部变量local.get $l0;; 返回结果)(export"add_gold"(func$add_gold)))注:真实环境中的函数名通常被 stripped 掉了,只显示func $f12,你需要根据上下文推断。
💉 三、 实战第二步:内存篡改 (Memory Hacking)
Wasm 的内存模型非常简单:它就是一个巨大的、线性的JavaScript ArrayBuffer。
这意味着,JS 可以随意读写 Wasm 的内存!这是最简单的破解方式。
1. 定位内存对象
在 Chrome Console 中,寻找 Wasm 的实例对象。通常在全局变量或者imports对象中。
// 假设游戏把实例挂载到了 window.gameInstanceconstmemBuffer=window.gameInstance.exports.memory.buffer;constmemView=newInt32Array(memBuffer);2. 搜索数值 (CE 搜内存法)
就像使用 Cheat Engine 一样:
- 当前金币是 100。
- 在 Console 输入:
memView.forEach((v, i) => { if(v===100) console.log(i) })-> 得到索引1024。 - 玩游戏,金币变成 101。
- 检查索引
1024的值:memView[1024]-> 确实是 101。 - 找到地址了!
3. 修改数值
// 直接把金币改成 999999memView[1024]=999999;页面上的金币瞬间暴涨。
🔨 四、 实战第三步:二进制补丁 (Binary Patching)
如果金币逻辑没有暴露在全局内存中,或者是纯栈操作,我们就需要修改代码本身(Patch)。
1. 修改 WAT 代码
回到刚才反编译的game.wat文件。
找到加法逻辑:
local.get $p0 i32.const1;; <--- 这里是增加的数量i32.add我们将1修改为1000:
local.get $p0 i32.const1000;; <--- 修改为 1000i32.add2. 重编译为 Wasm
wat2wasm game.wat -o game_hacked.wasm3. 替换运行 (浏览器端 Hook)
我们不能直接替换服务器文件,但我们可以通过 Chrome 的Local Overrides功能,或者写一个 TamperMonkey 脚本来拦截网络请求。
TamperMonkey 脚本思路:
constoriginalFetch=window.fetch;window.fetch=asyncfunction(url,options){if(url.includes('game.wasm')){// 拦截请求,返回我们修改过的二进制数据constresponse=awaitoriginalFetch('http://localhost:8000/game_hacked.wasm');returnresponse;}returnoriginalFetch(url,options);};刷新网页,点击按钮,金币直接 +1000!
🛡️ 五、 防御:开发者如何保护 Wasm?
看到这里,你可能会觉得 Wasm 在裸奔。作为开发者,如何防御?
- Strip Symbols:发布时务必去除调试符号(函数名、变量名),让逆向者面对
$func1,$func2抓狂。 - 控制流平坦化 (Control Flow Flattening):使用 LLVM 的混淆插件(如 Obfuscator-LLVM),把清晰的
if-else变成复杂的switch跳转,破坏代码结构。 - 服务器校验:永远不要相信客户端。像金币这种关键数据,Wasm 只能做展示,计算和存储必须在服务器端完成。
🎯 总结
Wasm 逆向正处于一个蓝海阶段。
它既不像 x86 汇编那样指令繁杂,也不像 JS 那样容易被混淆成乱码。
掌握了wasm2wat和线性内存的原理,你就能看穿网页中那些“高性能黑盒”背后的秘密。
Next Step:
找一个简单的在线 CTF 题目(WebAssembly 类),尝试不看 Writeup,使用 Chrome DevTools 的断点功能,追踪一个加密函数的输入输出,逆向出它的 Flag。
