猿人学题解1-4

最新推荐文章于 2024-04-17 23:27:05 发布
最新推荐文章于 2024-04-17 23:27:05 发布
阅读量2.7k 收藏 3
点赞数 2
分类专栏: python爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YhcCoding/article/details/112541565
版权

第一题

本题链接:http://match.yuanrenxue.com/match/1

1.分析请求

在这里插入图片描述
标红处为加密参数,全局搜索api/match/1,如下图:
在这里插入图片描述
将上图中黄色js代码复制到记事本,并整理出含有api/match/1的js代码块,代码美化后如下:
美化工具:http://tool.yuanrenxue.com/deobfuscator
在这里插入图片描述
上图为部分核心代码,可知m参数来源于oo0O0这个函数+window.f,故下一步就是找到它们,
同上一步在搜索oo0O0,然后美化如下:
在这里插入图片描述

发现这个方法内部定义了些变量,方法,但是它的最后两句很可疑,一是因为eval函数并且只有这儿用到了传来的mw参数,二是因为return ’ ', 让m只与window.f有关,于是乎大胆猜想是这个函数内部在修改window.f的值,在控制台打印window.f
在这里插入图片描述
果然就是加密的参数,在控制台打印atob(window[‘b’]),得到如下,一段被混淆的js代码
在这里插入图片描述
美化后得到一段很长的js代码,以下为部分核心代码截图:
在这里插入图片描述
终于找到window.f的生成参数,正常情况我们只需要扣js代码执行就完成了,但是可以看到mwqqppz这个参数在这段函数中从未定义过,就拿来用了,顿时陷入沉思,别急我们继续打印eval中的的参数:
由于用到的J函数于是在控制台执行J函数定义的相关代码:
在这里插入图片描述
接着依次打印:[J(‘0x0’, ‘]dQW’)] 和 J(‘0x1’, ‘GTu!’) 和 ‘\x27’
在这里插入图片描述
于是eval(atob(window[‘b’])[J(‘0x0’, ‘]dQW’)](J(‘0x1’, ‘GTu!’), ‘\x27’ + mw + ‘\x27’)),这段代码将可以改写为eval(’*mwqqppz*‘).replace(‘mwqqppz’,‘mw’) ),其中*代表其他代码,意思就是将代码字符中mwqqppz替换成mw,然后再用eval执行,如果对eval不熟的,自行查询eval用法哦。

至此终于明白就是将最开始的一个跟时间戳相关的参数(注意我说的是相关的参数,而不是时间戳)带到hex_md5中执行即可,可以使用node,也可以使用python的execjs库调用js,不过实测node要快一点

2.总结

核心:不是什么js混淆,二是敏锐的洞察力

第二题

1.分析请求:

在这里插入图片描述
可知cookie中m为加密的,如果你的cookie不只有m还有其他,直接去application中clear掉所有cookie,避免其他参数干扰,刷新再次访问。
在这里插入图片描述
与下面这个请求中就差一个cookie参数,应该是前面的请求返回值代码生成了cookie
在这里插入图片描述

2.postman请求

postman模拟这个不带cookie的请求,得到一段混淆代码:
在这里插入图片描述
用网站自带的工具:http://tool.yuanrenxue.com/decode_obfuscator美化代码:
搜索document[‘cookie’] 或者document.cookie,定位到加密处:
在这里插入图片描述
接下来就是扣相关的js代码获得加密参数m,带入到请求中

3.写在后面

这里为啥要用postman再去+模拟请求呢,因为这个请求chrome不能加载返回值啊,我就想看看它到底返回了啥,并且它是不带cookie的,万一它就返回一段加密的js呢
在这里插入图片描述

4.总结

核心:经验,洞察力,猜想力

第三题

1.没啥说的直接上代码

import requests
from collections import Counter

"""
猿人学第三题
"""
# 最恶心的一点是服务器会校验请求头顺序 还是有使用session保持会话

# headers = {
#     'Connection': 'keep-alive',  # 这里和第二行换了位置
#     'Host': 'match.yuanrenxue.com',
#     'Content-Length': '0',
#     # 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36',
#     'User-Agent': 'yuanrenxue.project',
#     'Accept': '*/*',
#     'Origin': 'http://match.yuanrenxue.com',
#     'Referer': 'http://match.yuanrenxue.com/match/3',
#     'Accept-Encoding': 'gzip, deflate',
#     'Accept-Language': 'zh-CN,zh;q=0.9'
# }

headers = {
    'Host': 'match.yuanrenxue.com',
    'Connection': 'keep-alive',
    'Content-Length': '0',
    # 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36',
    'User-Agent': 'yuanrenxue.project',
    'Accept': '*/*',
    'Origin': 'http://match.yuanrenxue.com',
    'Referer': 'http://match.yuanrenxue.com/match/3',
    'Accept-Encoding': 'gzip, deflate',
    'Accept-Language': 'zh-CN,zh;q=0.9'
}
# 利用字典统计申请号出现次数
dic = {}
url = "http://match.yuanrenxue.com/logo"
session = requests.session()
sessi
最低0.47元/天 解锁文章
R丶achel
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
猿人第一届爬虫比赛第四题(雪碧图、样式干扰)
weixin_44840774的博客
03-31 482
猿人第一届爬虫比赛第四题(雪碧图、样式干扰) ???? 概况 本题与前面几题要求一致,依旧是采集5页的全部数字,计算加和并提交结果。 可以发现,数据是以图片形式展示,并且第四第五页是无法通过页面查看的, 查看网页源码发现数据并不在源码中,抓包分析发现请求了两个文件,其中logininfo返回了登录信息,文件4返回了一串json数据。 拷贝其中的info信息,在浏览器中执行,发现info包含的是渲染图片的html代码,与题目第一页的数据比较,可以发现这些图片的顺序与网页展示的顺序不同,数量也不一致。
猿人第四题
weixin_42072632的博客
01-08 1873
** 猿人系列保姆级教程 ** 第四题* 链接http://match.yuanrenxue.com/match/4 1 如图,我们发现当我们点击下一页接口时返回的是一个json数据 2 很明显,返回数据没有我们在页面看到的数据.但是返回的数据info好像是一个html字符串.我们不妨把它保存成html文件然后用浏览器打开看下.结果如下. 3 进一步研究我们发现其实我们页面看到的每一个数据对应的是一个base64的图片,这样我们就可以把数字跟图片的映射关系找出来(后面代码会展示) 4 但很明显这
猿人第四题--雪碧图--样式干扰
zhuangjoo的博客
04-17 320
这道题js逆向方面非常简单,就一个md5加密,可以python写,也可以js调用,主要考点是对css的熟悉程度,前端页面的了解,以及python基本操作的编写熟练程度。
Python爬虫 | 猿人第四题
weixin_44623587的博客
01-30 609
今天讲猿人第四题 地址: http://match.yuanrenxue.com/match/4 目录: 1、环境 2、分析请求 3、实现爬取 1、环境 Python3.7、requests、lxml 2、分析请求 这道题的题目叫“雪碧图、样式干扰”,一开始我还没发现这些数字都是图片,看到返回的数据才知道这些数字都是一个个照片组成。 图2-1 最开始想到的方法是用ocr直接识别,但是这个网站禁用ocr,那肯定有其他方法,经过多次验证后发现同意数字的图片对应的base64编码是一样的,这样的话就用字典映射就
猿人第四题-雪碧图、样式干扰(第一届)
fre_free的博客
11-29 572
【代码】猿人第四题-雪碧图、样式干扰(第一届)
[2021.7]猿人 | 爬虫攻防大赛 | 第四题
lijiamingccc的博客
07-22 5212
目录分析网页分析JS代码编写代码 这道题实在有点恶心,本人感觉爬虫实际是用不到这个的。所以根据别人的笔记来习做题,这里进行习记录过程。 分析网页 老规矩,我们还是首先打开刷题网站,接着打开谷歌调试工具 查看【XHR】里面的内容 可以发现,这次传递数据的接口很特别,跟之前的题目都不一样 之前的题目涉及到的数字都会以json的格式,储存在里面,而这次虽然也是json格式的数据,却返回了一些奇奇怪怪的东西 我们接着看看【ALL】里面的内容 10张经过base64编码后的图片引起了我的注意 这些图片不就是题
交通工程题解2-5章.doc
10-07
交通工程题解2-5章.doc
猿人爬虫比赛题解.zip
10-01
比赛项目源码
第2章 基本放大电路题解1-教程与笔记习题
05-19
第2章 基本放大电路题解1
xdoj-week1-题解
05-12
xdoj 2018 第一周训练赛题解。 题面:http://acm.xidian.edu.cn/contest.php?cid=1040
环境管理体系国家注册审核员考试题解集-判断.pdf
09-30
环境管理体系国家注册审核员考试题解集-判断.pdf
猿人第四题解
weixin_48076656的博客
04-14 1051
本题为css加密通过按F12查看request方法如下图: 可观察发现把key值和value值相加并且进行base64编码并将等号代替为空字符串然后再进行MD5加密得出j_key的值,如果在页面源码中图片css属性值与j_key的值相同就不显示。 def enstr(key, value): kv = key + value enstr = str(base64.b64encode(kv.encode("utf-8")), 'utf-8').replace('=', '') nod
猿人web端爬虫攻防大赛赛题解析_第四题:雪碧图、样式干扰
热门推荐
仙路尽头谁为峰
12-13 1万+
第四题:雪碧图 - 样式干扰1、前言2、题目理解3、解析过程3.1、初窥门径3.2、深入探究3.2.1、确定原理3.2.2、逆向破解3.2、代码实现4、结语 1、前言 久违的第四题终于要出炉了,这篇博客比我预想的完成时间要快,主要是没想到这次解题过程还比较顺利,竟然在没有参考其他大佬答案的前提下,自己摸索出来了,对我来说算是一个可喜可贺的小突破啊,虽然是道简单级别的题,但凭自己实力破解还是有点成就感的,算是逆向之路的一个小里程碑。好,那就不扯犊子了,进入主题! 2、题目理解 猿人的题好就好在每道题都告诉你
猿人逆向比赛第四题-gRPC题解 | Go版本
TheWeiJun的博客
06-09 1659
本文将探讨如何逆向猿人App的gRPC协议,向读者介绍这一过程中所涉及的技术和工具,并提供详细的步骤和示例代码,以帮助读者更好地理解和掌握gRPC原理与实现。在分析的过程中,依依遇到了无数的困难和挑战,但是她从不放弃,一直努力地习和尝试。总结:我们通过分析图中红色的箭头,能够看到一组数字,这个就是gRPC响应给我们的数据,拿到他以后,我们就能够将每一页的数据相加完成答题了。,有着执着的追求,信奉终身成长,不定义自己,热爱技术但不拘泥于技术,爱好分享,喜欢读书和乐于结交朋友,欢迎扫我微信与我交朋友💕。
猿人2022安卓逆向对抗比赛第四题分析
Steven的杂货铺
07-09 1058
说实话身为菜鸟的我,根本没有接触过这个东西,先不管三七二十一,抓个包先。 Charles 里面没有任何的请求数据,并且app也没有题目显示,嘶。。。恐怖如斯。排错时间到,把postern 给关闭 ,然后重新打开app看看 惊奇的发现,题目出来了,那么就不是app的问题,是我的问题了,既然Charles抓不到包,那么就祭出 roysue 大佬的神器 r0capture 这不就抓到想要抓到的数据了嘛,不难看出有了路径了,那么就直接 jadx 打开 搜索 一下 额。。。。为空。。。为啥嘞?对于上面的无法
POST-JS-POST+JS逆向反爬虫教程合集
qq_41155858的博客
10-15 427
POST-JS-POST+JS逆向反爬虫教程合集 postJSQQ群交流702724554 [POST+JS逆向反爬虫]微店UA解析(js混淆-改写) 链接:https://pan.baidu.com/s/1lC5_PSX1CuP0nm1D37mqUA 提取码:2c1p 点我进入B站观看: 1.[POST+JS逆向反爬虫]1.猿人JS逆向大赛第1题(js混淆-改写) 链接:https://pan.baidu.com/s/1ARrVc2mddaLbJf1noQfNEw 提取码:lko6 点我进入B站观看
python,css渲染的雪碧图加密文字
qq_42980073的博客
12-26 348
有些网站的文字内容使用雪碧图加密, 网站显示的内容 源代码的内容 雪碧图 css 网站根据css精灵图坐标渲染页面,首先我们要把css拿下来存到本地,然后筛选自己需要的 import re,requests from lxml import etree with open('111.css','r',encoding='utf-8') as f: a = f.read() b=...
GlidedSky爬虫-雪碧图1
学习记录
08-02 412
题目描述 题目链接:http://glidedsky.com/level/crawler-sprite-image-1 题目分析   还是像之前的题目一样,先看一下数据页的源代码,如下图所示。   源代码中没有任何数据,但是我们注意到每个内层的div标签的class属性都有两个值,一个是sprite,另一个的名称不固定,看起来像是随机生成的。那么我们先在源代码中搜索一下sprite,看看这个class属性是怎样的,搜索结果如下图所示。   可以很清楚的看到,sprite是用来显示背景图片的,并且要显示
GlidedSky爬虫雪碧图-1
瑞凯
09-14 352
上图就是这次爬虫练习的介绍了。下面可以直接开始了,因为知道是全部都是图片拼成,我们可以直接看一下谷歌浏览器的开发者工具。 看到真的什么都没有啊,没有数字,只有一个class的属性,因为我们前提是知道是有图片组成的, 所以我们可以看下他的css的组成都是什么意思。 在这里我的想法是看css的样式,可以通过浏览器对css的操作大概看下对网页的影响。 邮编可以直接看到这个class当前的属性,在我吧background-position-x这个样式的对勾取消之后,可以看到数字2变成了数字0,同时我吧widt.
2023CSP- T1小苹果题解
最新发布
06-08
抱歉,由于我无法实时获取最新的竞赛动态或题解信息,我无法提供2023CSP-T1小苹果的具体题解。CSP(Chinese Standard奥林匹iad in Programming)是中国的青少年计算机程序设计竞赛,每年的比赛题目和解法会随着官方发布的赛题而变化。如果你需要了解某个具体年份或比赛的题目分析,通常建议访问相关的竞赛官网、教育论坛或者搜索技术博客,那里会有详细的解答和讨论。 如果你对算法、数据结构或者编程竞赛的一般策略感兴趣,我可以帮你回顾一些通用的解题技巧或者讲解常见的编程方法。例如: 1. 分析问题:理解题目的核心需求是什么,确定数据结构和算法的选择。 2. 设计算法:将问题分解为更小的子问题,设计递归或迭代的解决方案。 3. 实现代码:选择合适的编程语言,编写清晰、高效且易于调试的代码。 4. 测试与优化:编写测试用例验证解决方案,并考虑边界情况和性能优化。 如果你有关于这些方面的问题,或者想了解特定类型的算法,请告诉我,我会尽力为你提供帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值