js逆向--webpack解密逻辑分析

已于 2022-05-20 16:15:07 修改
阅读量2.2k 收藏 12
点赞数 5
文章标签: webpack 爬虫 javascript
于 2022-03-07 15:31:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Harden13_/article/details/123299669
版权
本文介绍了如何通过自吐算法对webpack加密网站进行逆向分析,包括抓包定位加密函数、修改webpack代码实现解密功能。通过解剖webpack的特点,详细讲述了从复制js文件到删除入口函数,再到导出并修改关键函数的过程,最终成功解密加密数据。
摘要由CSDN通过智能技术生成

声明:本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!由于本人水平有限,如有理解或者描述不准确的地方,还望各位大佬指教!!

网站:aHR0cHM6Ly9zdGF0aWMud2FpdHdhaXRwYXkuY29tL3dlYi9zZF9zZS9pbmRleC5odG1sIy8=

引言

webpack对于有研究过的人来说难度并不是很高,但是因为webpack的代码,非常的繁多,一个webpack可能就是几万行代码。在逆向中对于webpack的加解密网站,一般是不建议去扣代码的,大多数解决办法是采用自吐。办法是把这整个js文件copy下来,然后改写一两处地方即可自主调用。这篇文章,我也是用自吐算法来做的。


抓包分析与加密定位

打开目标网站,进行抓包分析。nearby接口请求到的数据是加密之后的密文。

搜索参数名字longitude,可发现只有一个文件,点进去之后再搜索longitude,此时会发现有好多位置,不方便我们定位到加密函数。

最低0.47元/天 解锁文章
「已注销」
关注
JS逆向-常见压缩和混淆之webpack(1)
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
03-26 1265
对于代码混淆,其本质是对于代码标识符和结构的调整,从而达到不可读不可调试的目的,常用的混淆有字符串,变量名混淆。说到webpack,它是当前前端最热门的模块化管理和打包工具,本质上webpack只是一个现代JavaScript应用程序的静态模块打包工具,并不是混淆工具,尽管webpack有一些插件可以把代码混淆化,所以现在很多网站都把webpack和obfuscator混淆工具结合使用,这两者结合起来,会让前端代码变得难以阅读和分析。另外目前市面上比较常见的混淆还有ob混淆,特征是定义数组,数组位移。
web爬虫逆向笔记:js逆向案例二 (AES加解密webpack))
qq_49268524的博客
03-09 401
1、web爬虫逆向案例 2、AES加解密 3、逐步分析还原
webpack解密
qq_40783848的博客
08-17 1231
一、什么是webpack 1. 初识webpack 官网:https://webpack.github.io/ 中文网:https://www.webpackjs.com/ Webpack是模块化管理及打包工具/模块打包机( module bundler)。可以把我们写的项目进行打包。一般开始vue项目,都是通过脚手架创建的,创建如下: 运行项目:npm run serve,然后进行开发,这种环...
漏洞挖掘 | 某系统webpack接口泄露引发的一系列漏洞
最新发布
2301_80127209的博客
08-13 338
这里找到从小穿一条裤子长大的兄弟,要挟他交出来他的统一账号,否则把小时候的照片挂网上,开始某大学的资产搜集,直接hunter搜索此大学域名
JS逆向 webpack解密
lmttlw的博客
11-18 3848
JS webpack解密 ,这个网站很坑,那个验证字段搜不到,XHR断点也断不到,就很奇怪,不过竟然我敢写这篇文章,就代表我是过了的。
前端工具之WebPack解密--背景
weixin_34250709的博客
11-29 515
2019独角兽企业重金招聘Python工程师标准>>> ...
网页爬虫WebPack模块化解密JS逆向
z_ipython的博客
04-26 5422
然后重写 window[“webpackJsonp”] 数组的 push( ) 方法为 webpackJsonpCallback( ),也就是说 window[“webpackJsonp”].push( ) 其实执行的是 webpackJsonpCallback( ),window[“webpackJsonp”].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要。所有的资源都是通过JavaScript渲染出来的。
js逆向webpack
weixin_46468720的博客
10-19 1470
webpack遇到其它站的代码,扣加载器的时候,例如下图,除了function n(t){}这个函数,其它代码都删掉,判断标准是它带call或者apply。然后简化下加载器,对照着上面webpack最简单的样子,简化。案例:例如定位到的方法在一个webpackjs文件中。1、找到加载器(加载模块的方法)扣代码会遇到的基本2种形式。然后把他的模块加载器扣下来。3、构造一个自执行方法。
js逆向案例-猿人学比赛题(中等及以下难度的)
十一姐的博客
11-29 3586
目录心得感受1、js混淆-源码乱码尝试hook window属性3、请求头顺序与请求规律检测4、css样式style偏移干扰5、js混淆-用hook定位7、woff动态字体编码12、入门级js13、入门级cookie15、了解wasm16、了解webpack打包js与window埋坑17、了解http2.0协议19、了解tls指纹 心得感受 这是一个极好的练习js逆向的网站 js逆向是一个极其考验细心与耐心的活:因为马虎常常因为一个小细节导致流程错误 比如js扣的没有考虑到运算符优先级未加括号导致运算错
JS逆向之——天翼云登录
m0_46467017的博客
07-09 1202
此文章仅用于技术交流,欢迎指出相关问题,感兴趣的可以关注我,有相关python逆向问题可以私信交流讨论。
JS逆向Webpack(一)
Wxc的Blog
03-09 6202
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 2619
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
js逆向 freightsmart航运--webpack逆向
专注于php高级知识分享
03-06 1179
声明 本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! freightsmart 登录 webpack 逆向,下面是逆向流程 网页地址:aHR0cHM6Ly9mcmVpZ2h0c21hcnQub29jbC5jb20v 1.进入网页点击右上角登录按钮,触发登录查看登录接口,如果没有账户可以注册一个。 2. 查看post 发送的参数,发现有3个参数,第一个是username 账号名称,password为登录密码,第三个参数为空,先不管,
JS逆向Webpack(三)
web15085599741的博客
03-15 339
JS逆向Webpack(三) 难度: 网址如下 https://pab.yqb.com/bank/product-item-50896319.html 需要逆向的值 找到加密位置 看了一下是40位,并且每次都不一样,应该是带着时间戳的SHA1 随便搜搜 发现有点多,那我们就直接下xhr断点吧 刷新一下发现已经加密了 再往前找找,找到了 我们看一下S在哪里定义的 那我们可以先把S的值拿出来 然后调用了这个方法,sign就有了 S.sign = (0,v.default)(S) 其实这个
JS逆向Webpack(二)
Wxc的Blog
03-10 2320
JS逆向Webpack(二) 难度: ⭐️ 网址如下 https://synconhub.coscoshipping.com/ 需要逆向的值: 登录请求的password 找到加密的位置 看起来想RSA,所以试着搜搜以下关键词 setPublicKey( encrypt( password username 比如搜password,73个,直接放弃~ setPublicKey(,这个少,就这个了 xhr断点也打一个 可以看到已经是加密的 翻翻方法栈,找到个很可疑的,也加个断点 再提交一下
webpack实战:某网站JS逆向分析
热门推荐
吴秋霖的博客
09-04 1万+
webpack实战分析
js逆向——webpack扣法
sin_0119的博客
03-19 4967
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
js逆向Webpack案例1
sin_0119的博客
03-26 662
js逆向案例,webpack逆向
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值