Js 逆向:微博登录

最新推荐文章于 2024-08-12 17:03:14 发布
最新推荐文章于 2024-08-12 17:03:14 发布
阅读量857 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_I_H_L/article/details/121027588
版权

javascript 开发语言

1、先分析参数:
在这里插入图片描述
su,sp是必要的。
其中su是加密后的账号,很简单就是个bs64,不再说了。
在这里插入图片描述

2、直接搜参数,这个时候要搜代表性的,特殊的。例如pwencode。
很好只有一个
在这里插入图片描述
两种加密,一个是RSA,一个是sha,这里判断用的是RSA
在这里插入图片描述

3、直接打断点调试
在这里插入图片描述
很明显b是明文密码,经过加密之后又赋值给了b
我们进入f.encrypt
在这里插入图片描述
实际上是bt函数,然后bt又调用bp,反正就是各种调用。那我们直接把这个外层的匿名函数抠出来
直接运行
在这里插入图片描述
sinaSSOEncoder未定义
那就定义为{};

var sinaSSOEncoder = {};

在这里插入图片描述
同样

var navigator = {};

随后把外层调用的代码扣进来

var f = new sinaSSOEncoder.RSAKey;
f.setPublic(me.rsaPubkey, "10001");
b = f.encrypt([me.servertime, me.nonce].join("\t") + "\n" + b)

对于rsaPubkey,肯定是加载页面的时候就给你了
在这里插入图片描述servertime是时间戳给你了,nonce也是给你了,那就直接模拟下。

publickey = "EB2A38568661887FA180BDDB5CABD5F21C7BFD59C090CB2D245A87AC253062882729293E5506350508E7F9AA3BB77F4333231490F915F6D63C55FE2F08A49B353F444AD3993CACC02DB784ABBB8E42A9B1BBFFFB38BE18D78E87A0E41B9B8F73A928EE0CCEE1F6739884B9777E4FE9E88A1BBE495927AC4A799B3181D6442443"
var b = '111111'
var f = new sinaSSOEncoder.RSAKey;
f.setPublic(publickey, "10001");
a= [1635469113, 'QNCUFY'].join("\t") + "\n" + b
b = f.encrypt(a)
console.log(b)

直接运行发现还有问题
在这里插入图片描述
alert 是浏览器弹窗。这里并不需要,直接删了就ok

再次运行,完美得出结果。
在这里插入图片描述
实现完整登录流程还有别的要做,例如验证码啥的,那些都比较简单了,逐步分析需要的参数就行,都在包里。简单说下验证码的解决思路:
先请求他们的验证码,然后第三方或者本地识别下,我这里用的是本地过验证。
得到的验证码code嵌入到post参数就行了。

如有错误敬请指正,欢迎批评。

A_I_H_L
关注
专栏目录
微博完整逆向分析和数据抓取(最详细逆向实战教程,小白也能看懂)
小鸿的博客
05-05 591
逆向是爬虫工程师进阶必备技能,当我们遇到一个问题时可能会有多种解决途径,而如何做出最高效的抉择又需要经验的积累。本期文章将以抓取 微博 某个用户的推文数据为例,用实战的方式,带你详细地逆向分析微博 Cookie 的生成逻辑
js调试微博登录案例
微信号:RunsenLiu
04-09 1207
js调试 五、微博登录案例 1.分析流程 手动操作流程 访问首页https://weibo.com 输入用户名和密码 点击登录 如果有验证码,就输入验证码验证 成功跳转到微博首页面 请求流程分析过程 根据上面的手动操作流程,我们要分析出网站的http请求逻辑。 1.首页面请求分析 首先,打开谷歌浏览器开发者调试工具,查看在请求首页面时,请求回的响应是否包含cookie,也即是看首页面的响应头中...
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释)
五包辣条的博客
07-12 1万+
假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。
JavaScript 逆向技巧总结
最新发布
qq_39217312的博客
08-12 894
本节属于知识总结,只是对思路的梳理,不对具体内容进行展开JS 逆向可以分为三大部分: 寻找入口, 调试分析, 模拟执行: 这是非常关键的一步,逆向在大部分情况下就是找一些加密参数到底是怎么来的,比如请求中的 token ,sign 等参数到底在哪里构造的, 这个关键逻辑可能写在某个关键的方法里面或者隐藏在某个关键的变量里面。一个网站加载了很多 JS 文件,那么怎么从这么多 JS 代码里面找到关键的位置,那就是一个关键的问题,这就是寻找入口。
js逆向
weixin_42584586的博客
12-30 3226
JavaScript 逆向是指对 JavaScript 程序进行反汇编或反编译的过程。它可以帮助你了解 JavaScript 程序的工作原理,并且可以用来修改或扩展程序的功能。 逆向 JavaScript 程序的一种常见方法是使用反汇编工具,这些工具可以将 JavaScript 代码转换成可读的形式,方便人类理解。另一种常见方法是使用反编译工具,这些工具可以将 JavaScript 代码转换成类似...
新浪微博逆向总结4-22.docx
05-06
Android逆向逆向新浪微博的账密登录、短信登录验证,完成对新浪存储数据的获取,同时支持不同设备账密登录验证。
js逆向微博案例
微信号:RunsenLiu
12-19 1819
js逆向 js逆向就是从网页的js找到加密的参数,实现破解加密,拿到cookie 微博登录案例 手动操作流程 访问首页https://weibo.com 输入用户名和密码 点击登录 如果有验证码,就输入验证码验证 成功跳转到微博首页面 1.请求分析 请求回的响应是否包含cookie,也即是看首页面的响应头中是否包含set-cookie。如果包含,那么这个请求是登录过程中必须的。经过查看,发现在...
分享xl微博js加密登陆代码,现可用!
05-30
综上所述,"xl微博js加密登陆代码"涉及了JavaScript加密技术、逆向工程、服务器端JavaScript(Node.js)以及登录安全的多个方面。这些技术在网络安全领域有着广泛的应用,但也需要在合法和合规的范围内使用,以维护...
python微博评论js逆向
08-17
对于爬取JavaScript动态加载的微博评论,你需要使用Selenium库来模拟浏览器行为,以便获取完整的评论内容。以下是一个使用Selenium进行微博评论爬取的示例代码: ```python from selenium import webdriver from ...
微博traceparent
05-12
微博请求头header中的参数traceparent算法,直接运行即可得出结果,不需要环境,在得出的结果前后需要加上 00-
js调试-Weibo登录案例
qq_20033707的博客
08-28 352
js调试 Weibo登录案例 1.分析流程 手动操作流程 访问首页https://weibo.com 输入用户名和密码 点击登录 如果有验证码,就输入验证码验证 成功跳转到微博首页面 请求流程分析过程 根据上面的手动操作流程,我们要分析出网站的http请求逻辑。 1.首页面请求分析 首先,打开谷歌浏览器开发者调试工具,查看在请求首页面时,请求回的响应是否包含cookie,也即是看首页面的响应头...
Python实战案例:这是你见过的最详细的JS加密登录某博
11-13 1872
0x00 抓包分析 简单的搜索之后发现,很多参数都是登陆上面这个请求返回的值,这个请求在输入完账号光标到达密码框时就会生成! 0x01 加密逻辑分析 搜索su=可以很快找到加密的位置,上图看到e.su和e.sp都是由sinaSSOEncoder这个函数生成的,搜索sinaSSOEncoder发现就是这个js,也就是说把当前js全部拷贝下来就可用 这里可以得知su是由账号加密得到 me.rsaPubkeyme.servertimeme.noce这三个值都是由服务器返回的值,不多做解释! 最后这个.
Js逆向分析
GJQI12的专栏
08-20 1628
目录 一、总结 一句话总结: 1、js逆向分析一般过程? 2、Js逆向分析 确定网站的登录接口? 3、Js逆向分析 确定JS的位置? 4、Js逆向分析 观察js的执行过程? 5、Js逆向分析 执行js:观察代码中都需要那些参数? 6、Js逆向分析 的具体实现思路? 二、Js逆向分析 回到顶部 >一、总结(点击显示或隐藏总结内容) 一句话总结: 1、知道如何寻找登录接口 2、知道如何确定Js的位置 3、知道如何观察js的执行过程 4、知...
JS 逆向百例】复杂的登录过程,最新微博逆向
K哥爬虫
08-30 1626
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 逆向目标 本次的逆向目标是WB的登录,虽然登录的加密参数没有太多,但是登录的流程稍微复杂一点,经历了很多次中转,细分下来大约要经过九次处理才能成功登录。 在登录过程中遇到的加密参数只有一个,即密码加密,加密后的密码在获取 token 的时候会用到,获取 token 是一个 POST 请求,其 Form Data 里的 sp 值就是加密.
JS逆向解析
Lucifer__god的博客
10-21 1306
JS逆向解析一、什么是JS逆向?二、密钥加密种类三、逆向解密实战   3.1.1 实战演练:微信登录方式解密 一、什么是JS逆向?   我们经常在浏览网页的时候并且想要通过网页进行复制粘贴某文本的时候会蹦出来一个弹窗显示让你进行账号登录,你可能有时会有疑问,当我们对网页源进行抓包的时候,会发现我们输入的密码是一串由字母或数字等符号组成的,其实这就是一个密码经过加密呈现的一段加密文字,而我们所做的解密工作,通过解密步骤得到密码的过程,称为JS逆向。 二、密钥加密种类   密码加密的方式肯定不止一种,如果所有网
简单的js逆向教程
热门推荐
学习python
02-26 1万+
其实做web端的爬虫,最常见到的就是js逆向方面的问题,既是重点也是难点,所以加强这方面的学习才是提升我们业务技能的重要突破点。接下来讲一下两个小实例,看一下基础的js逆向的破解(浅层篇)。 第一种加密情况: ①分析请求: 先打开目标网站---》打开控制台---》切换至XHR 然后刷新一下就会看到下面的情况 这里要解决的有两个: 返回的密文 请求中的token 接下来定位加密位...
JS逆向 模拟抓取 八比特 网站数据(AES加密问题)
sunpx3的博客
02-17 591
网上看到有人要抓这网站,刚有空所以研究下,写下过程,比较简单。 首先老三样,抓包,看参数,可以看到,header中有验证参数. 看了下就这一下验证参数,拿这个参数和body里的参数到postman中模拟发送下看看,成功,说明就这一个参数,解决这个就能正常抓取。 Authorization 肯定是在发送前在js生成的,F12 筛选js文件, 刷新页面,ctrl+f 搜索 js中搜索下 secretKeyVersion看看,明显是第一个,因为其他的都是请求里的,咱们要找js里的,然后 到对应 JS
JS逆向---令人抓狂的JavaScript混淆技术
m0_52336378的博客
08-16 6974
JavaScript 压缩、混淆和加密技术JavaScript 代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript 代码是公开透明的,也就是说浏览器可以直接获取到正在运行的 JavaScript 的源码。声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
js逆向技巧
09-06 4484
一、总结 搜索:全局搜索、代码内搜索 debug:常规debug、XHR debug、行为debug 查看请求调用的堆栈 执行堆内存中的函数 修改堆栈中的参数值 写js代码 打印windows对象的值 勾子:cookie钩子、请求钩子、header钩子 二、js逆向技巧 博客对应课程的视频位置: 当我们抓取网页端数据时,经常被加密参数、加密数据所困扰,如何快速定位这些加解密函数,尤为重要。本...
微博复杂登录过程解析:JS逆向实战
微博登录为例,这个过程涉及多个URL请求和数据加密,具体步骤如下: 1. **预登录(Pre-Login)**:首先,通过`pre_login_url`获取预登录所需参数,如`servertime`、`nonce`、`pubkey`和`rsakv`。这些参数用于后续...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值