JS逆向 2021-8-16 网易云音乐 params、encSecKey参数

已于 2022-03-07 14:51:09 修改
阅读量741 收藏
点赞数
分类专栏: JS逆向 文章标签: python 爬虫
于 2021-08-16 23:05:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BraveMrJ/article/details/119741733
版权

声明:文章仅供学习,禁止非法用途,侵权请告知删除

文章目录

前言

地址:aHR0cHM6Ly9tdXNpYy4xNjMuY29tLyMvc29uZz9pZD0yNTcwNjI4Mg==

一、网页分析

选择xhr面板,多翻几页,多抓几次包,下面是评论参数的接口,记住这个部分:weapi/comment/resource/comments/get
在这里插入图片描述
POST请求,表单数据需要提交 params 和 encSecKey 都是动态的
在这里插入图片描述

二、参数获取

1.参数定位

快捷键 Ctrl+Shift+F 全局搜索 encSecKey 参数,因为搜索 params 的参数搜出来的比较多
可疑的地方打上断点进行翻页操作,用来定位参数加密位置,可以取消断点,去xhr面板里面验证加密参数是否与这边加密的一致
在这里插入图片描述

2.参数解密

上面可以看到 params 和 encSecKey 使用了 bUG7z 对象里面属性值,而bUG7z是由下面的代码生成的,window.asrsea是一个函数

var bUG7z = window.asrsea(JSON.stringify(i9b), bsB3x(["流泪", "强"]), bsB3x(WU8M.md), bsB3x(["爱心", "女孩", "惊恐", "大笑"]));

调试多次发现,可以确定,这三个传入的参数都是常量
在这里插入图片描述
所以翻页是跟 JSON.stringify(i9b) 这个有关
这边有一个需要注意的地方,在调试的时候,window.asrsea会执行多次
需要时刻注意右边Scope面板中的Y9P的值是否是评论的接口
在这里插入图片描述
进入window.asrsea 这个函数,可以看到下面的这段关键的代码
在这里插入图片描述
可以看到是 AES 和 RSA 加密,可以自行判断一下是否是标准库加密的,可以去在线的网站测试一下,这边帮大家试过了,是标准库加密,所以有两种方法解决:1是用python的加密库重写加密的逻辑、2是直接抠js代码

博主采用的是第二种方式,缺啥补啥
在这里插入图片描述

三、部分代码

在这里插入图片描述

结尾

在这里插入图片描述

Jinhk~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Js逆向案例—网易云音乐
m0_46639364的博客
02-17 1770
首先找到所需响应所在位置,点开Initiator。点开第一个js文件。 url未登录状态csrf_token为空,不影响操作 点开第一个js文件之后,在弹出的页面所选行打上断点,刷新页面,第一个url并不是我们所要的url,这里我们按F8往下走 出现如上图url即为我们要分析的请求,此处data中有两个参数,此处参数既然已经加密完成,那么我们就需要往下走,继续按上图箭头方向往下查找相关加密位置 找到window.asrsea函数即可,此为加密入口 取消掉原来的断点,在新的位置打上断点再次刷新 进入asr.
网易云音乐JS逆向
热门推荐
zly717216的博客
02-01 3万+
网易云音乐JS逆向 1. 文章目录 2. 页面分析 当我们用chrome浏览器 (推荐用谷歌) 进入网易云官网,找到一首你喜欢的歌。 打开 f12 功能, 点击 XHR 过滤, 这个时候,我们点击播放, 在右侧就会重新捕获到新的网络请求,其中就包括我们需要的歌曲文件链接。就像这样。 v1?csrf … 这个网址就是刚刷的, 在响应中可以看到,有个url,你复制打开,就可以直接播放, 我们点击一下headers看看怎么发送的。 请求了request url , 用post发送, 下面有2个参数表单 p
网易云音乐评论——part 4 AES和RSA加密逆向
最新发布
weixin_44122457的博客
05-02 1380
参数a和参数i都是随机的16位数,可以自由设定。参数b和参数e即是AES加密的key,两者一致。参数c和参数f一致,是RSA加密的密钥,全部是固定的值,不随歌曲id和页数变化。参数g没有变化过,一直是 g:‘0CoJUm6Qyw8W8jud’
教你学会网易云JS逆向,爬来的歌打包发给女友邮箱可好?
winkexin的博客
05-18 1105
们加密的参数是不一样的,都有各自的播放渠道, 如果你熟悉 html 你都可以发现他有二个播放渠道, 分别对应一般和特殊,所以后面我直接就开了黑胶会员, 我就想知道参数到底有什么不同, 不幸的是,当我在网页端登入账号的时候, 我发现在我打断点之后,我就不能启动调试功能了,相反的是。这篇文章有点长,因为有点难懂, 我只是想讲清楚一点,给她看,或者 给一些基础不是很好的人看一下, 大佬可以亲喷点,代码用到了很多库,但是我再后面也会一个个提到,不影响各位阅读, 只要耐心的看,你就一定有收获。都行, 实现就可以了。
网易云js逆向
m0_62945506的博客
07-28 1000
正好他这个有name和id,那么现在直接看有没有加密就好啦,如果没有直接发包就行,结果总是不能令人满意的,发现他携带了一个params=xxx的东西,这个是什么呢?初步估计就是搜索的东西了,因为他也没有在其他的地方传递参数,那么就只有这个地方了,那咱们进去看看他的来源。在调用js的时候发现与直接运行js输出的加密结果就可以获取到数据,而通过python的。首先通过点进去几个歌的详情页,发现单歌曲仅有id又区别,那么直接找歌id的来源就好了。抠js的过程据说用了哪里直接放在哪里就可以了,我这里就不演示了。
2021.03.27_网易云登录paramsencSecKey参数详解
tiebanggg的博客
03-27 2841
文章目录前言一、抓包分析二、参数解析1.加密定位2.参数分析总结 前言 最近半个月项目问题,比较忙了,没有及时更新。今天JaJa弟来水一波某音乐的加密参数paramsencSecKey,望各位海涵。本文章仅供学习研究,如若侵犯到贵公司权益请联系229456906@qq.com第一时间进行删除;各位朋友切忌用于一切非法途径,否则后果自行承担! 地址:https://music.163.com/ 一、抓包分析 老规矩,打开登录框输入138****8888,1234567点击登录按钮进行抓包。 当点击登录
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
2021-2022收藏资料逆向工程复习题目附有答案.doc
09-26
2021年09月16
2021-2022收藏资料逆向工程技术及其发展现状.doc
09-26
2021年09月16
2021-2022收藏资料基于逆向工程的鼠标曲面设计.doc
09-25
2021年09月16
anti-content参数解密,拼XX,temX,JS逆向
08-24
令人头疼的anti_content参数解密,JS逆向,拼XX和temX经典的两个站,自己编写,可运行,能直接拿到数据,有问题留言,也涉及JS补环境,加油!
网易云音乐js代码
11-20
网易云音乐js代码
网易某歌曲参数JS逆向分析,多图预警
weixin_50847719的博客
03-27 372
之前写过一篇网易云的文章,但是一直不过审,这几天搞QQ音乐的爬虫,JS逆向不是很顺利,有点忘了怎么搞了,所以今天打断点重搞一把网易云音乐,毕竟是之前搞过的 找加密函数 最下面有个url就是歌曲mp3文件的url,也就是目标url 接下来看这个请求url携带的俩个参数(post类型) 记住他们俩的名字,开始整活 康康发起程序里面是什么,点第三个进去,这个界面 点这个 然后是这个界面 这是我已经打了断点的结果,现在解释为什么要在这打断点 打断点 还记得第二个参数吧,ctrl+f搜索 第一个就是加密函数
网易云音乐歌曲评论爬虫(附源码)
Python中文社区
10-15 5776
数据科学俱乐部中国数据科学家社区♚作者:志颖 ,一个狂热的python爬虫热爱者GitHub:github.com/zyingzhou用过网易云音乐听歌的朋友都知道,网易...
网易云评论 爬虫 java_网易云歌曲评论爬虫如何实现翻页?
weixin_29663861的博客
02-26 363
你是想用js实现翻页,然后用dom操作 来拿到评论吗?我实现了,但是发现你如果翻到500页差不多之后,返回的数据都是一样的了。。。虽然就页码在变。// 因为是有个 iframe 的东西,然后就不能在 最外面的documnet中获取这个a标签。var iframe = document.getElementById('g_iframe');var innerDoc = iframe.contentD...
python爬虫js逆向 js逆向参数定位方法 逆向参数定位超详细 第一期
m0_46631208的博客
09-06 2030
前言:有一些小伙伴私我,问在js逆向中如何快速定位参数。今天在这儿把基本上常用的罗列出来。参数定位第一期。点点赞! 一:罗列 全局搜索, xhr断点, dom断点, 堆栈调试, Hook, 内存漫游 二:介绍 1.全局搜索:这个很简单,也是首选,F12打开调试器(sources)→按Ctrl+Shift+f 直接搜索。简单,不做过多介绍。 2.xhr断点:像...
网易云音乐paramsencSecKey参数生成代码
CrazyManhhh的博客
06-23 849
网易云音乐paramsencSecKey参数生成代码
爬虫寻找Javascript动态数据获取(网易云案例)
志在远方
04-10 1197
首先找到目标地址 https://music.163.com/#/search/m/?s=林俊杰&type=1 查看网络请求 刷新页面 找到指定接口 点击Headers 查看请求方式 向下方滚动找到 加密方式 并复制选中的Key的一部分 点击关闭当前功能 鼠标触碰js 加载请求的地方 (core_aca9967….js?aca9967…:21) 点击第一项 看到此时的页面...
网易云paramsencSecKey
李玺
02-27 1100
想定时记录一下网易云的听歌排行,发现接口有两个加密参数paramsencSecKey,作以分析记录。
小红书逆向js 拿到x-s x-t这两个加密参数
11-01
小红书是一个社交电商平台,为了保护用户的数据安全和防止恶意攻击,平台采用了加密算法对一些敏感参数进行加密处理,比如x-s和x-t。逆向工程是指通过对应用程序或代码的逆向分析和解析,以获取其内部的机制、算法或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值