JS逆向笔记

最新推荐文章于 2023-08-16 17:00:00 发布
最新推荐文章于 2023-08-16 17:00:00 发布
阅读量1.9w 收藏
点赞数 1
分类专栏: 爬虫 JS逆向 文章标签: javascript 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeTime_9527/article/details/125575235
版权

下断点,按F11可进去函数内部,或者点击右上角的下标点进去函数内部
md5加密长度固定32位;

一、单向散列函数 消息摘要算法
加密后的密文定长
明文不一样,散列后结果一定不一样
不可逆
一般用于签名
MD5 32位
SHA1 40位
SHA256 64位
SHA512 218位
HmacMD5、HmacSHA1、HmacSHA256
(注:Hmac配合其他加密算法,传入两值,一加密参数,二公钥)

二、加密
加密和解密的过程是可逆的
对称加密算法
加密/解密使用相同的密钥
DES 数据加密标准 3DES
AES 高级加密标准
AES 共有ECB,CBC,OFE,CTR五种模式

非对称加密算法
RSA
使用公钥加密,使用私钥解密
公钥是公开的,私钥保密
加密处理安全,但是性能极差,单词加密长度有限制。

三、CryptoJS加密库的使用(注意区分大小写)
注:CryptoJS加密的结果为“对象”类型
alert输出时会自动转换为文本

console控制太输出的时候是对象,可+''变成字符串文本,
或者.toString()转换文本

搜索加密参数关键点:
一、搜索指定参数
二、搜索附近参数
三、搜索部分链接
四、搜索某些加密值

1、过掉定时器无限debugger:
1、鼠标移到debugger所在行断点数字处
2、右键点击“Never pause here”

2、AES加密(不属于哈希加密):
1、首先确定mode类型;
2、padding填充格式(注意Pkcs5格式也是属于Pkcs7格式);
3、Key值和iv值的Enc编码类型(注意key值和iv的值会存在函数附近上下方)
例子:CryptoJS加密库的AES加密方式:
var pwd = CryptoJS.enc.Utf8.parse(‘cjs122374’); // 解析明文
var key = CryptoJS.enc.Utf8.parse(‘asdqwwqwdqddq’); // 解析密钥
var iv = CryptoJS.enc.Utf8.parse(‘asdqwwqwdqddq’); // 解析偏移向量
var ciphertext = CryptoJS.AES.encrypt(pwd, key, {
mode: CryptoJS.mode.CBC // 加密模式
padding: CryptoJS.pad.Pkcs7 // 填充方式
iv: iv // 偏移向量
}).toString(); // 加密后的结果是对象,要转换为文本
console.log(ciphertext);

3、HMAC加密:
一般传入两个值,明文以及key值;

4、RSA加密:
公钥:用于加密;私钥:用于解密的,但是一般找不到
一般代码比较长,最好不去扣代码,使用软件生成js脚本代码即可
RSA加密注意点:一般会加密长度很长,以==双等号结尾,类似于base64,会出现两个数据包,一是带有一些key值的json数据,二是登录错误的密码等加密参数数据包。(套路:输入"10001"(加密字数)、‘’(空字符串为解密字数)以及密钥参与加密)

5、搜索加密关键参数出现众多文件或者无文件,则可以搜索url链接的一些特定后缀

6、出现windows未定义的:但是windows参与计算的,不可以直接设置为空,应该windows = this;出现navigator未定义:可以直接设置为空,var navigator = “”。

7、遇到(function(g){})的包裹类型的函数封装,需要在全局构建window = this,然后在函数末尾添加(window)即可。(注:在调试工具中能运行,在创建的js文件中不能运行,此问题还没解决。)

8、遇到特殊字符(例:字体图标显示的小框框)无法编译加载的情况,一、点击utf-8编码,或者使用发条js调试工具将此js文件copy到上方的搜索框,点击读取js代码,点击编码即可。

9、Base64/btoa/atob
alert(btoa(‘122374’));结果弹出:MTIyMzc0,即btoa是base64加密
alert(atob(‘MTIyMzc0’));结果弹出:122374,即btoa是base64解码

10、大文件加密方式:
var hasher = CryptoJS.algo.SHA256.create();
hasher.update(‘222’); # 分次添加加密内容
hasher.reset(); # 将之前添加加密内容重置为0
hasher.update(‘222’);
hasher.update(‘222’);
hasher.update(‘222’);
var hash = hasher.finaline(‘22’);
console.log(hash.toString());

11、不同加密解析方式(返回的是一个数组,可继续使用算法加密返回对象)
var = wordArray = CryptoJS.enc.Utf8.parse(‘cjs’);
// var = wordArray = CryptoJS.enc.Latin1.parse(latin1String);
// var = wordArray = CryptoJS.enc.Hex.parse(hexString);
// var = wordArray = CryptoJS.enc.Base64.parse(base64String);

var res = CryptoJS.SHA256(wordArray ) // 加密返回一个对象
console.log(res.toString()); // 将对象转换为字符串文本

12、DES加密的ECB模式中可以不要iv偏移向量值,反之CBC需要加粗样式

渔戈
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【重写 CryptoJS】二、WordArray 与位操作
entronad的博客
12-27 3702
源码地址:entronad/crypto-es   【重写 CryptoJS】一、ECMAScript 类与继承 我们常见的各种编码、散列、加密算法,其基础都是位操作。 不管是对哪种数据类型,位操作对象的本质都是一段连续的比特序列。从性能的角度讲,位操作最好是能直接操作连续的内存位。很多语言提供了直接操作连续内存位的操作,比如 C++ 中的数组与指针,ECMAScript 6 中的 A...
JS逆向学习小笔记
xiabocs的博客
05-12 639
1.js加密解析:window.navigator.userAgent 在js中返回值就是浏览器的UserAgent。 window.callPhantom || window._phantom ||window.navigator || window.navigator.webdriver 如果使用了PhantomJS,window就会自动产生callPhantom或_phantom。 2.execjs解析js报错:navigator is not defined/window is not defin
javascript
artemisrj的专栏
03-22 632
基础语法jqery的一些zencode http://docs.emmet.io/abbreviations/syntax/ 数据类型以及控制元素未定义的判断() if(typeof(sentiment)!=”undefined”){}布尔判断 小写的 true 和false强制字符串转数字,int parseInt(stringnum); 对象var obj={}; obj.tex
js字符串(String)转多维数组(Array) - 代码篇
草巾冒小子的博客
05-31 3733
代码: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>js字符串(String)转多维数组(Array)</title> </head> <body> <script type="text/javascript"> // 类数组对象 var obj = { "data": { "sites": [
CryptoJS
weixin_30414155的博客
09-21 978
/** * CryptoJS core components. */ var CryptoJS = CryptoJS || (function (Math, undefined) { /* * Local polyfil of Object.create */ var create =...
crypto-js的使用
Book-bei的博客
03-31 1837
【代码】crypto-js的使用。
CryptoJSWordArray
wangshuai13383347132的博客
02-07 1991
AES加密CryptoJSWordArray
crypto-js中的WordArray避坑(AES加密)
flyhorse1010的专栏
04-03 579
Crypto-JS AES加密结果不对?
JS CryptoJS 编码/解码 Base64 字符串
小问's blog
01-06 5523
js CryptoJS 编码和解码 Base64 字符串
关于js逆向你必须知道的20个知识点
weixin_47964305的博客
05-19 6710
可以检查字符串操作函数如replace、split、slice等,分析字符串加密方式,如字符替换、base64、AES等。可以在Sources面板中设置断点,然后刷新网页或交互执行代码,程序会在断点处暂停,可以查看变量值、调用栈等。可以分析变量的前缀、类型等命名规律,寻找与业务功能相关的变量,如uid、name、password等。可以通过查看函数名称、变量、事件等分析交互逻辑和程序流程,理解其主要业务功能。可以查看对象的属性和方法,判断是否存储了与业务逻辑相关的信息,如用户数据等。
wx.request逆向笔记
12-16
frida虽然确实调试起来相当方便,但是Xposed由于能够安装在用户手机上实现持久化的hook,至今受到很多人的青睐,对于微信小程序的wx.request API,本文将以该API作为用例,介绍如何使用Xposed来对微信小程序的js ...
js 逆向学习笔记之阿里系cookie.docx
03-31
js 逆向学习笔记之阿里系cookie.docx
js 逆向学习笔记之加速乐cookie加密.docx
最新发布
04-03
js 逆向学习笔记之加速乐cookie加密.docx
js 逆向学习笔记之瑞数 4 代 .docx
03-17
js 逆向学习笔记之瑞数 4 代 .docx
NiXiang:关于一些逆向学习,js,android,ios整理的笔记
05-01
关于一些逆向学习,js,android,ios整理的笔记 关于github看不到图片,请改host # GitHub Start 192.30.253.112 Build software better, together 192.30.253.119 gist.github.com 151.101.184.133 assets-cdn....
JS逆向---令人抓狂的JavaScript混淆技术
m0_52336378的博客
08-16 4814
JavaScript 压缩、混淆和加密技术JavaScript 代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript 代码是公开透明的,也就是说浏览器可以直接获取到正在运行的 JavaScript 的源码。声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
逆向基础】JS逆向入门:小白也可以看懂
liaozp88的博客
06-04 7415
出于对数据安全的考虑,现代化的网站/APP通常会对数据接口做加密处理。而分析这些接口的加密算法并实现模拟调用的过程就叫做「逆向」。逆向对于爬虫工程师来说是一个永远绕不开的话题,也逐渐成为各企业招聘时,JD 中的一个必备技能要求。本文就以某在线翻译网站接口加密参数分析为案例,分享一下网页爬虫逆向原理、分析思路和分析过程。本文通过一个案例分享了爬虫逆向的原理和思路,由于案例比较简单,仅通过在网页 JS 资源文件里直接搜索关键词就能找到对应的加密算法。
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释)
五包辣条的博客
07-12 8243
假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。
JS逆向基础知识
山兔的博客
01-09 5702
elements是前端调式页面的,比如页面的每一个元素都是有一个元素标签的,我们修改的不是服务器,是服务器推送给我们的本地的一个文件,没有任何实际的意义。请求头当中的包都是可以自定义的,如果请求头当中包含Accept-Encoding的话,表示浏览器会对我们发送的请求进行ZIP压缩,然后发给服务器,服务器接收到这个之后,会对他进行解压,然后进行处理。在做JS逆向的时候,是要做不同的下断测试,要求大家的是每种断点都要会,JS逆向光会一种是不够的,最起码拿下一个网站要会三种技巧,都要hold住。
js逆向笔记webpack
05-31
以下是一些关于Webpack逆向笔记: 1. Webpack的打包过程是从入口文件开始的,Webpack会递归地遍历所有依赖模块,并将它们打包成一个或多个Bundle文件。因此,逆向工程的第一步就是找到Webpack打包的入口文件。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渔戈

创作不易,如有帮助,请鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值