- 博客(13)
- 收藏
- 关注
RSS订阅原创 一文搞懂webpack逆向+实战网站js逆向
本文分析了Webpack打包机制的核心原理,包括文件编号、依赖关系记录和代码混淆三个关键步骤。针对某网站的加密响应数据,作者通过识别Webpack打包结构,定位到解密函数u.b的位置。通过导出Webpack加载器对象并补全运行环境,成功实现了对加密数据的解密。文章提供了详细的逆向思路和实操步骤,展示了如何利用Webpack打包特征快速定位关键函数,最终输出解密结果。该方法避免了传统逆向中繁琐的代码追踪过程。
2025-12-10 09:55:28
1909
原创 一文学会js逆向中的补环境+某验实战
摘要:补环境是在非浏览器环境(如Node.js)中模拟浏览器特有对象(如window、document)的技术,主要用于解决JS逆向中的代码运行依赖和环境检测问题。通过Proxy代理监控属性访问,逐步补充缺失的环境对象(BOM/DOM、函数原型链等),并处理高阶指纹检测(如toString保护、原型链模拟)。补环境的核心流程包括:代码剥离→搭建监控系统→循环修补→高阶伪装,最终目标是通过环境检测,使加密逻辑在Node.js中产生与浏览器一致的结果。
2025-12-07 14:50:11
1825
1
原创 js逆向实战-某当验证码滑块登录
参数: "t", "ct","permanent_id","requestId","situation",verifyToken(接口三返回结果),slide_cost_time(滑动时间),need_new_verifydata,point_json,"sign"参数:"t":时间戳,"ct": (固定),"permanent_id", "requestId": 第一个接口返回, "sign"返回结果:slideImg,y,bgImg,heightRatio,encryptKey,token。
2025-11-20 17:26:09
801
1
原创 js逆向实战-有赞登录逆向(图片验证码+登录接口)
本文详细记录了调试有赞商家登录流程的全过程。首先通过抓包分析验证码接口,获取token和滑块图片数据;然后逆向分析userBehaviorData加密过程,发现其采用AES/CBC+Iso10126加密,包含滑动轨迹数组处理;接着识别了密码加密使用的固定密钥/向量。最终通过模拟滑动轨迹和引入ddddocr识别实现完整流程调试。整个过程涵盖了前端抓包、加密分析、滑块验证码破解等关键技术点,为类似登录流程的逆向分析提供了参考范例。
2025-11-11 16:13:34
1177
原创 js逆向实战-13x邮箱逆向
特征SHA-1SHA-256SHA-384SHA-512输出长度(十六进制)40 字符64 字符96 字符128 字符输出长度(字节)20 字节32 字节48 字节64 字节字符集0-9a-f(小写)同左同左同左是否可逆不可逆不可逆不可逆不可逆常见编码十六进制(hex)十六进制(hex)十六进制(hex)十六进制(hex)如果你觉得有用,请点个免费的关注吧!!!!我们一起讨论playwright自动化,js逆向,安卓逆向,爬虫相关的领域源码私信!
2025-11-09 10:23:26
1083
原创 Playwright 中最真实的模拟方式-用浏览器环境发请求
在使用 Playwright 进行自动化操作时,很多人会遇到这样的问题:浏览器页面中接口请求一切正常,但通过 page.request.get() 发相同的请求却报错 —— 域名无法解析或被拒绝访问。本文从原理出发,深入分析了 Playwright 的请求机制与浏览器环境的本质差异。page.request 属于 Node 层的独立请求上下文,不具备浏览器的 DNS 环境、Cookies、Headers、代理配置与登录态,因此常常无法访问受限接口。
2025-11-08 10:50:30
1032
1
原创 Playwright + FastAPI 异步实战笔记
本文分享了Playwright与FastAPI集成的实践过程。初始使用同步API时遇到线程绑定问题,跨线程操作会报错。经过探索发现异步API是更好的解决方案:1) 导入async_playwright替代同步API;2) 使用asyncio.Lock替代线程锁;3) 将方法改为async/await形式。异步API绑定事件循环而非线程,避免了同步API的线程安全问题,在单线程中通过协程切换实现高效并发操作。最终实现了在FastAPI中1个浏览器实例、4个独立Context和8个Page的稳定初始化。
2025-11-01 10:00:26
888
原创 一文搞懂sqlalchemy
使用sqlalchemy可以解耦:(隔离 Python 代码与 SQL 语法,无需关注底层数据库类型)高效(连接池管理、自动事务处理,减少重复工作)
2025-10-27 16:37:28
728
原创 playwright的等待机制
摘要:在使用Playwright进行自动化测试时,发现其自动等待机制在查询操作完成前就返回了初始列表状态。Playwright的等待机制包括:1)自动等待,需满足元素可见、稳定等条件;2)非阻塞式显式等待;3)阻塞式time.sleep。为解决该问题,项目采用了双重等待策略:在自动等待后额外等待目标订单号出现,确保查询操作完成后再执行后续步骤,有效提高了测试的可靠性(150字)。
2025-06-26 22:31:35
463
原创 最全爬虫面试题
核心组件:Engine(引擎)、Scheduler(调度器)、Downloader(下载器)、Spiders(爬虫)、Item Pipeline(管道)以及 Downloader/Spider 中间件。引擎负责协调各部分的数据流,调度器负责管理请求队列,下载器负责获取网页内容,爬虫负责解析页面和生成数据,管道负责后续的数据处理(如清洗、保存),中间件则可以在请求与响应的路径中插入自定义逻辑。文本验证码、图像验证码、旋转验证码、行为验证码、滑动验证码。Scrapy 的异步模型是如何工作的?
2025-05-21 01:24:43
2723
原创 云xx视频m3u8格式分析
直接右键点击查看源代码搜索m3u8。我们发现他是以加密的方式直接放到html中的。所以,只需分析index.m3u8接口即可。那他是怎样构建的呢?格式的视频文件,一段一段的网站上播放。目的是观看更加流畅。在把这个值复制到url解码中就得到想要的东西了。一:点击播放一部影片发现是m3u8格式传输。,将一段视频切成若干个小段,这几个小段就是。m3u8:现在的大部分视频网站的是。这里只展示py解m的函数。
2025-04-15 19:41:41
2973
1
原创 最新分析G国税务发票查验参数(附成品展示)
找到: 'key9': _0x21185e['nnyd']["\u0063\u0079"](_0x2a4b25, _0xcfa3de, _0xb58562)二:找到fpcy.guangdong.chinatax.gov.cn/NWebQuery/yzmQuery验证码查询信息接口。提供key9参数生成,flwq39参数生成,验证码识别。一:打开f12发现无限debug。鼠标右键点击“一律不再此处执行”。时间:25年4月11日。版本:2.0.21_070。三:分析key9和flwq39加密参数。
2025-04-11 11:46:10
584
1
原创 从零开始实现K音乐获取:分析与加密参数
encode_album_audio_id为歌曲的id(一般在首页就返回id列表)signature则为加密参数。打完断点刷新发现断在了 l.signature = d(s.join(""))位置。通过浏览器控制台打印s和s.join("")发现s是个列表,s.join("")把列表变为字符串。调用d函数返回是一个0-9,a-z的32字符串。本文将以K音乐平台为例,详细讲解如何通过抓包分析与加密参数实现音乐资源的批量获取,整个过程涉及前端调试、加密算法等关键技术点。调用d函数,返回加密参数。
2025-04-01 11:07:20
419
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人