(JS逆向2022.04.11) 某奇艺模拟登陆(不含滑块

最新推荐文章于 2024-10-13 18:19:53 发布
最新推荐文章于 2024-10-13 18:19:53 发布
阅读量1.8k 收藏 2
点赞数 2
文章标签: 爬虫 javascript 前端 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiaconLi/article/details/123941430
版权

文章目录

目录

文章目录

一、分析参数

二、逆向过程

①dfp

②password

③qd_sc

三、总结

目标网站:aHR0cHM6Ly93d3cuaXFpeWkuY29tLw==

文章不做任何商业用途,仅供学习参考

一、分析参数

1)首先抓包查看登录包携带的参数

其他参数都是固定的,其中只有dfp 、password 、 qd_sc 这三个参数需要关注

二、逆向过程

①dfp参数

养成个好习惯,无痕打开网页

可以发现这一串字符是由dfp_pcw/sign这个包返回的

由于这个dfp参数只生成一次,我试过把内存清空之后再刷新也不会重新请求,所以需要本地替换之后再进行调试。

先尝试直接搜索,发现一搜就搜到了

 最终跟到的加密位置在这里

 这里检测了一点点环境

 标出来的是检测的动态参数,都是比较容易跟的,这里就不带大家跟了,重要代码给出,sig的生成是HmacSHA1加密,可以直接套库。

function getdata() {
    mi = get_mi();
    jg = d();
    t =   //太长了
    var dim =  n(o(t));
    a = "" + dim + "PCWEB" + "1.0";
    var sig = HmacSHA1_Encrypt(a);
    return [dim,sig]
}

 ②password

大概看一眼栈堆可以锁定这一条,点进去果然直接看到加密位置

跟进来看,上面写着是rsa 但是其实扣出来才那么三四百行  吓唬人的吧,反正抠出来能加密成功就行了,管他是什么。

③qd_sc

搜索总共就7处地方,全打了或者看到可疑的直接打断点,总有一个地方会断下来

是个md5加密  看看这个s是什么

 好办  都是已经有的了   这个MD5没经过魔改的  直接套库即可

登录的参数基本都搞定了,直接请求试试

 搞定。

三、总结

iqiyi登录的参数都比较简单,就是本地替换调试js代码比较麻烦,耐心点还是能跟到的。

难搞的是滑块,后期会更新滑块相关的内容。

万物皆可加葱
关注
APP逆向3.滑块教程.avi
08-03
APP破解
Python爱奇艺个人中心数据js逆向
忆阳的博客
07-11 1085
爱奇艺个人中心数据采集 目标网址链接->>> 点击跳转.
爱奇艺的cmd5x签名校验算法及视频下载
协议分析与还原
01-07 1159
点击上方↑↑↑蓝字[协议分析与还原]关注我们“js分析,分析爱奇艺的cmd5x校验值。”最近来了个从web网页自动下载爱奇艺的视频内容的需求,本以为很简单,却发现里面还是有些门道的,需要解决里面的校验的问题,特记录。01—视频下载流程视频下载常规是从打开一个视频的开始,例如一集视频的网页地址如下:https://www.iqiyi.com/v_19rr5me48s.html这里返回的是页面的播放...
iqiyi滑块
qq_41927995的博客
03-24 4719
(技术纯属自己瞎研究,其他啥事与我无关!)* 最近在某论坛看见很多人都在搞iqiyi的滑块就和朋友一起研究了一下,觉得很有意思就想给大家分析一下iqiyi滑块的流程。 1.流程 第一步:请求sign接口获取dfp参数 第二步:请求login.action接口看是否需要弹出滑块,如果需要就要获取token 第三步:请求sbox_init_key接口获取sig,sid,sr三个参数 第四步:请求nit...
(JS逆向专栏六)某奇艺平台网站登入RSA
陌影_my的博客
08-16 454
包含大部分js逆向场景 以及js逆向方式和类型
爱qiyi滑块(2-23,js逆向
weixin_44772112的博客
02-23 1345
网址:aHR0cHM6Ly93d3cuaXFpeWkuY29tLw== 一、整体流程分析 爱qiyi整个登录滑块流程主要分五步: 1、访问dfp_pcw/sign拿到dfp参数 2、访问login.action拿到token参数 3、访问sbox_init_key拿到sig,sid,sr参数 4、访问verifycenter/initpage拿到滑块相关数据(包括图片的地址以及还原图片的数组) 5、访问verifycenter/verify,然后"msg":"成功"即通过滑块 二、根据每个包需要的参数逐
【web逆向】*qiyi视频签名vf逆向分析
chqi987333的博客
09-04 1148
*qiyi视频签名vf逆向分析
js逆向之非对称加密RSA&某奇艺登录密码
金灰的博客
03-29 342
非对称加密: 加密和解密使用两把钥匙 : 公钥(加密) 私钥(解密)一些正常的js代码可以看懂,可是有些网站会给你混淆,这个爱奇艺的登录密码就是经过了RSA加密.让你看的不舒服, --打断点慢慢来.# 对称加密:加密和解密共用一把钥匙。# RSA加密 --非对称加密。自己扣代码练练手吧.
适用于idea2022.3.3版本各类插件
06-26
而本压缩包“适用于idea2022.3.3版本各类插件”则为这个版本的IDEA带来了更多的扩展功能,涵盖了从代码格式化、逆向工程到JSON处理等多个方面。 首先,代码格式化插件是任何开发环境中的基础工具,它能够帮助开发者...
python过阿里X82YX5SEC滑块UA算法例子2022.6.3
06-03
这可能是阿里提供的一个测试环境,用于模拟滑块验证码的显示和交互。 "易语言编写,可能会报毒.txt" 这个文件名表明其中的内容可能与使用易语言(一种中国本土的编程语言)编写的代码有关,而且可能由于易语言的...
易语言过阿里X82YX5SEC滑块UA算法例子2022.6.3
06-03
"虎扑智能验证.e" 和 "X5例子.e" 可能是易语言编写的程序或模块,分别用于模拟滑块验证中的智能识别和X5SEC相关的处理。这些文件可能包含了解析滑块图片、模拟用户拖动行为、处理加密验证响应等功能的源代码。开发者...
Android逆向工具.zip
07-17
在Android开发领域,逆向工程是一项重要的技能,它允许开发者分析和理解已有的应用程序,以进行安全检测、漏洞分析或学习他人的代码实现。本压缩包"Android逆向工具.zip"包含了几个常用的Android逆向工程工具,它们...
【2022-03-23】JS逆向爱奇艺滑块
热门推荐
骑毛驴的猴的博客
03-23 1万+
文章仅供参考,禁止用于非法途径 VX:scorpio_a_j 文章目录前言一、页面分析二、分析1.分裂图片还原2.动态AESKey,HMacKey3.cryptSrcData加密4.返回数据解密总结 前言 目标网站:aHR0cHM6Ly93d3cuaXFpeWkuY29tL2lmcmFtZS9sb2dpbnJlZz92ZXI9MQ== 一、页面分析 切换账密登入,抓包,登入接口有个passsword,rsa加密的 然后多点几次就会出现验证码 二、分析 1.分裂图片还原 下个canvas断点即可知.
知乎搜索信息获取(x-zse-96)参数JS逆向破解
AngrySnack的博客
02-17 2053
网站:aHR0cHM6Ly93d3cuemhpaHUuY29tLw== 1、网页抓包分析,找到返回数据接口与加密参数 可以看到search_v3这个就是返回参数的接口,复制对应的cURL(base)到postman进行重新请求 通过重复测试可以知道只需要三个参数就能获取到数据(x-zse-96、x-zse-93、cookie),其中x-zse-93为固定值、cookie为身份认证信息,只有x-zse-96为动态变化,下滑数据也能得到新的请求信息,验证x-zse-96为动态参数 2、加密参数破解 老一套
python实现爱奇艺登陆的密码RSA加密
weixin_43298663的博客
02-24 1069
  分析爱奇艺登陆post参数中的password   email:12345678911   passwd:028d4c1305a6a9baaed3947bade99d4205337fdcabef59b6f7b073f11a220339768b359fd8c8999b934fbf008ee75b9435f23741d3e9251cab8358de6cfde4ac   agenttype:1   __NEW:1   checkExist:1   piccode:   lang:   ...
模仿爱奇艺账号登录限制人数,SpringBoot 并发登录人数控制,踢人功能
qq_37948985的博客
01-23 737
通常系统都会限制同一个账号的登录人数,多人登录要么限制后者登录,要么踢出前者,Spring Security 提供了这样的功能,本文讲解一下在没有使用Security的时候如何手动实现这个功能 技术选型 SpringBoot JWT Filter Redis + Redisson JWT(token)存储在Redis中,类似 JSessionId-Sess...
【2020-10-10】爱奇艺登入passwd参数解密
骑毛驴的猴的博客
10-10 4237
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 项目场景: 哎,转眼国庆就过去了,大家都玩得开心码,我国庆差不多都在看爱奇艺里的视频,然后去web看了下,竟然登入的时候有加密,那这次就给大家带来爱奇艺登入加密参数的解密~ 解决方案: 1.这里贴一下登入的链接,然后我们访问一下,输入正确格式的账号密码,点击登入。 2.我们可以看到email是输入的手机号,passwd是根据输入的密码加密的,然后老办法ctrl+shift+f 输入passwd,出来两个,我们判
爬虫必看,每日JS逆向爱奇艺密码加密,今天你练了吗?
爬遍所有网站
09-26 908
准备 本期抠爱奇艺passwd加密JS代码,传送门,登录界面如下,我已经尝试了一次: 老老方法(输入错误账号密码)找到提交url和提交的参数(即FormData里的值): FormData提交的参数: 可以看到passwd已经被某种加密算法加密了,那我们接下来的任务就是找到这个加密JS代码,然后使用python代码调用运行出来。 调试 找到passwd 选择刚才的url,查看调用栈: 仔细观察后可以看到有...
使用 Python 爬虫批量下载百度图片的详细教程
最新发布
专注AI大模型,软件混淆,授权
10-13 1069
访问百度图片的搜索结果页面。分析网页结构,找到图片的 URL 地址。解析并提取图片链接。下载并保存图片到本地。
js 逆向eval.call
10-10
`eval.call()` 是 JavaScript 中的一个函数调用方法,它允许你将一个字符串作为代码传递给 `eval` 函数,并通过特定的对象上下文 (context) 来执行这个代码。通常用于改变当前作用域或者模拟其他对象的行为。 `eval.call(target, string[, arguments])` 的工作原理是: 1. `target` 参数是你想要绑定执行环境的对象,比如一个函数对象,这会影响 `this` 关键字在执行时指向的对象。 2. `string` 是包含待执行 JavaScript 代码的字符串。 3. `arguments` 是可选的参数列表,可以提供给执行的代码。 例如,如果你想让一个名为 `myFunction` 的函数执行一段代码,你可以这样做: ```javascript let myFunction = function() { console.log('This is myFunction'); }; let codeString = 'console.log("Hello from eval");'; eval.call(myFunction, codeString); // "Hello from eval" 将会打印出来 ``` 在这个例子中,`eval` 被绑定了到 `myFunction` 对象上,所以 `console.log` 使用了 `myFunction` 的上下文,而不是全局上下文。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值