# 逆向关卡

**Repository Path**: qiu-gaohua/reverse-level

## Basic Information

- **Project Name**: 逆向关卡
- **Description**: 自己练手的逆向关卡
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: main
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2025-11-04
- **Last Updated**: 2025-11-06

## Categories & Tags

**Categories**: Uncategorized

**Tags**: None

## README

# Reverse Level 逆向训练项目
本仓库包含前端（Vue3 + Vite）与后端（FastAPI）两个子项目，用于演练多步登录流程的逆向分析。
## 模块说明
- frontend：提供关卡选择、关卡一至关卡四的说明页与实验模式页面。
- backend：提供关卡一至关卡四的三步登录 API，涵盖指纹签名、事件校验与多端协同逻辑。

## 关卡说明
- **关卡一 · 基础抓包**
  - 训练能力：熟悉四步登录流程、理解 challenge 与 xtt 参数的生成与对应关系。
  - 使用步骤：在关卡入口输入账号密码触发真实登录流程，或进入实验模式依次提交 Step1~Step4。
  - 解题步骤：抓包记录每个请求/响应，重点分析 transaction_id、challenge_token 与加密参数，推导 Step3 生成的 Session Cookie，并在 Step4 手动校验其正确性。
- **关卡二 · 深入逆向**
  - 训练能力：逆向指纹采集逻辑、构造 HMAC 签名、掌握时间窗校验与多重验证。
  - 使用步骤：在实验模式自动生成指纹与签名，按顺序完成 Step1~Step4，确认 Session Cookie 的生成与验证流程。
  - 解题步骤：分析 Step1 输出的 client_seed，结合 Step2 返回的 server_nonce 推导签名消息格式，在 Step3 满足时间窗要求生成 proof，并于 Step4 手动验证 Session Cookie。
- **关卡三 · Worker 事件防重放**
  - 训练能力：逆向 Worker 签名逻辑、掌握事件序列哈希与防重放签名的生成流程。
  - 使用步骤：通过实验模式自动生成事件序列与签名，依次完成 Step1~Step4，观察 Step3 返回的 session_cookie。
  - 解题步骤：抓包分析 worker_seed 与 event_sequence，推导 proof_signature 与 replay_signature 的消息结构，验证时间窗限制，同时在 Step4 校验手动推导的 Session Cookie。
- **关卡四 · 多端日志协同**
  - 训练能力：整合浏览器与移动端日志，学习多端签名与同步时间窗校验的组合策略。
  - 使用步骤：在实验模式生成合并日志、双端签名与同步因子，按顺序完成 Step1~Step4，完成 Session Cookie 的生成与手动验证。
  - 解题步骤：复现 device_token 生成逻辑，推导 client/mobile 签名消息体，构造 multi_proof 与额外参数通过 Step3 校验，并在 Step4 对 Session Cookie 进行自助验证。

## 快速开始
- 前端：npm install && npm run dev
- 后端：pip install -r requirements.txt && uvicorn app.main:app --reload --port 8000