某某88逆向总结

已于 2024-04-18 10:29:38 修改
阅读量270 收藏 1
点赞数 6
文章标签: 前端
于 2024-04-17 11:08:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Steven_yang_1/article/details/137864870
版权

代码块

 1,在线curl命令转代码

通过BIBILI教程学习BASHURL转REQUESTS

发现SIGN绑定data里面的URL(T,SIGN)要保持一致否则报错

2,误区

当调试接口的时候发现,可能请求格式有错误导致没有发现以上问题.其实我的sign和t是一致的,主要是格式问题导致我一直是COOKIE中有加密参数。实际上COOKIE中的加密参数并没有问题,

但是当我看到tsftk和ISG是动态的时候我以为COOKIE是动态加密的。破解完了以后发现TSFTK其实只需要传入url.有动态加密的嫌疑,ISG是动态自动生成的没有嫌疑。

3,SIGN中的TOKEN 参数是 cookie中的_m_h5_tk ,_m_h5_tk  后面的时间是COOKIE过期时间

_m_h5_tk_enc 是COOKIE的令牌,基本需要逆向所有数据。一下仅发布ISG,SIGN,TFSTK加密参数

仅供参考学习,请勿用于非法采集使用,免责声明 

霸王龙不吃芹菜
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android逆向-实战sign分析-某某合伙人_v4.0.9
哔_哩哩!的博客
06-13 4099
1.基础分析 1.1.基础分析 工作中经常会对一些app进行安全审计,一般在拿到应用后可以使用APK Helper工具对应用做个简单分析,了解目标的包名,版本号,名称等基础信息,之后再安装到手机上熟悉下应用的业务,该应用属于哪类app,之后就是思考业务上可能存在的攻击点。 本次目标是一个电商应用,简单使用后可知应用存在登录,购买,支付等众多攻击点,这里我们就从登录入手。 登录逻辑的常见审计思路有: 1.审计客户端与服务端交互时是否直接将用户名密码进行明文传输。 2.客户端是否将用户登录的错误分开提醒如单独提
个人总结-js逆向解析思路
nioii-七仔
12-10 2466
目前加密的方式总结有下面几点: 对称加密(加密解密密钥相同):DES、DES3、AES 非对称加密(分公钥私钥):RSA 信息摘要算法/签名算法:MD5、HMAC、SHA 前端实际使用中MD5、AES、RSA,自定义加密函数使用频率是最高的 几种加密方式配合次序:采...
某某网站JS逆向及tls指纹绕过分析
TheWeiJun的博客
11-22 2015
而今天我们要分享的文章中,和提到的这几个类型完全没有任何关联,遇到这样的问题,该如何解决这类型的问题?到此我们已经能够解决Robbers粉丝遇到的问题了,这也让我意识到随着反爬策略的升级,服务端可能会对爬虫最常用的第三方包进行请求指纹检测。看到此处后一下豁然开朗了,可以肯定对方服务端会对请求指纹进行校验,如果是我们刚刚使用的第三方包,都会被服务端给识别到,最后返回身份授权失败错误。,有着执着的追求,信奉终身成长,不定义自己,热爱技术但不拘泥于技术,爱好分享,喜欢读书和乐于结交朋友,欢迎加我微信与我交朋友。
某某网站 JS 逆向及 tls 指纹绕过分析
静觅
11-13 1433
这是「进击的Coder」的第 749篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 12 分钟。 ” 特别声明:本公众号文章只用于学术研究,不作为其它不法用途;如有侵权请联系作者删除。目录一、前言介绍二、参数分析三、断点调试四、算法分析五、指纹绕过六、学习展望趣味模块 Robbers 是一名 spider 工程师,最近 Robbers遇到了一...
python app逆向_某文APP逆向抓取分析
weixin_39552037的博客
12-10 456
本篇来自跟我精进爬虫技术的同学(包子xia)投稿,文章的条理逻辑和对逆向工具使用,分析思路都很熟练。有苏州或南京的老板看上的,可以联系我噢,有潜力的爬虫工程师一枚。在学习了一段时间的爬虫逆向后,正好有需求要采集某某文书的一些数据,因此就以此app为例,给大家介绍一下如何使用frida找加密代码的思路,从而实现自动化采集。特此说明,本文仅供学习交流,请勿用作其他用途。主要使用的工具和环境如下:设备:...
爬虫js解密分析:某某猫小说
nioii-七仔
12-09 2221
前言:本教程仅供学习,不得非法破坏网站。如用于其他暴力等用途,后果自负。如侵权您的网站请留言我,我立刻删除,感谢。 本次来学习一下简单的js逆向教程 为了不直接贴出网站链接,下面是已经经过某种常见的、可逆的加密方式进行加密 aHR0cHM6Ly93d3cuY2l3ZWltYW8uY29tL2NoYXB0ZXIvMTAzNTQzODcy 0x01、查看接口返回的数据 看到接口返回的数据有点可疑,看...
【2021-05-25】JS逆向之某酷视频搜索接口(面试题干货)
骑毛驴的猴的博客
05-25 2326
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 文章目录前言一、页面分析二、参数定位三、加密函数总结 前言 好像有两周没有发了,这次给个干活吧,是群友发的某某公司面试题 目标网站:某酷搜索页–实战面试题 一、页面分析 直接进入网页,要搞xhr这里的数据,然后sign是加密的 还有需要这些动态的cookie 二、参数定位 直接走栈跟到这里就有了,l就是加密的函数 然后我们看看加密的参数有哪些,youku这个搜索接口主要是这些参数的获取 token参数是在ck
【2021-11-29】JS逆向之某某海关企业进出口信用信息公示平台(下)
骑毛驴的猴的博客
11-29 2329
本文用于学习使用,禁止用于非法活动 文章目录前言一、验证码二、获取帧图三、总结 前言 上篇已经讲到了返回数据的解密,然后请求接口时,需要获取验证码,这篇就讲讲这个 一、验证码 先来看下验证码吧,跟一般的验证码不一样,这个是动图验证,也就是gif图片 gif图片通俗来说是由多张图片组合而成,然后类似放电影一样,一帧一帧播放出来 二、获取帧图 获取动图的每一帧图片 frame = Image.open(inGif) nframes = 0 while frame: frame.save('xxx.x
【2021-11-26】JS逆向之某某海关企业进出口信用信息公示平台(上)
骑毛驴的猴的博客
11-26 2464
本文用于学习使用,禁止用于非法活动 文章目录前言一、页面分析二、获取解密方法三、总结 前言 目标网站:aHR0cDovL2NyZWRpdC5jdXN0b21zLmdvdi5jbi9jY3Bwd2Vic2VydmVyL3BhZ2VzL2NjcHAvaHRtbC9kZWNsQ29tcGFueS5odG1s 一、页面分析 进去页面后,抓包发现返回数据是加密 调用堆栈,下断点后,可以找到解密的入口 看着方法名字,好像是AES加密来着哦 二、获取解密方法 然后我们就跟进去瞅瞅看,进到里面后,发现又调用了M
某某工作总结.docx
11-23
某某工作总结.docx
爬虫逆向实战(二十七)-某某招标投标网站招标公告
08-29
爬虫逆向实战(二十七)-某某招标投标网站招标公告
某某某年度销售总结.pptx
11-24
某某某年度销售总结.pptx
某某项目完工总结汇总.docx
11-20
某某项目完工总结汇总.docx
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 842
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
【Web】CISCN 2024初赛 题解(全)
最新发布
uuzeray的博客
05-21 1085
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
Nodejs util file getpost web express child_process mogodb
ooo
05-18 943
Nodejs util file getpost web express child_process mogodb
Web Speech API(2)—— SpeechSynthesis
LiangRZ
05-21 475
Web Speech API 有两个部分:SpeechSynthesis 语音合成(文本到语音 TTS)和 SpeechRecognition 语音识别(异步语音识别)。语音合成 (也被称作是文本转为语音,英语简写是 tts) 包括接收 app 中需要语音合成的文本,再在设备麦克风播放出来这两个过程。其中包含了将由语音服务朗读的内容,以及如何朗读它(例如:语种、音高、音量)。语音合成服务的控制器接口,可用于获取设备上可用的合成语音,开始、暂停以及其他相关命令的信息。控制器,从而获取语音合成功能的入口。
前端-移动端布局
Kongfutu的博客
05-21 180
可以在浏览器里打开检查 点击一下移动端按钮 然后选择一下对应的手机型号可以切换到对应的手机端。进阶学习建议 Vue.js 和 微信小程序。如何在PC端模拟移动端设备。
qt版某某销售管理系统
06-28
某某销售管理系统是基于QT框架开发的一款销售管理软件。该软件集成了各种销售管理功能,能够有效提升企业销售业务的管理效率。 首先,该系统具有完善的客户管理功能。用户可以通过系统记录客户的基本信息、联系人...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值