JS逆向-登录过程

已于 2022-12-09 15:46:04 修改
阅读量751 收藏
点赞数 2
分类专栏: js初级逆向 文章标签: python
于 2022-12-09 15:20:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1581638690/article/details/128240441
版权

郑重声明

  • 郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。

1.登录分析wanbo

输入账号密码进行抓包得到一下有用的包。一一进行分析一下: 

1. https://cn.fawmx.com/service/vpkey

经过验证:这个为固定值

2. https://cn.fawmx.com/ee/loginverification

这个也为固定值

3.https://cn.fawmx.com/kz/member/loginAdvance?r=0.6002127905077619

为登录url加密点:loginpwd,fkey,验证码 r为随机数 直接 random.random()就可以

 4.https://cn.fawmx.com/service/verifycode?x=0.2239021722358494

作用:生成验证码图片

2.进行加密点寻找

扣密码

search搜索loginpwd

这个加密点还是很好找到得,打上断点,发现是rsa非对称加密算法,直接补环境,找到RSAkey()

 复制全部,扣js

 加载代码出现错误:

 

补环境: navigator=this

继续报错

补环境:windows=this 

 

直接贴上密码加密js ,这里得rs是上面第一个链接得值 ,也可以直接拿下来反正是固定得

 扣验证码

我这里输入验证码得链接 获取到验证码图片。这里应该是要识别验证码吧,或者有更好的办法,学艺不精 

扣fkey

fkey出现在链接2里面,因此看到参数eeblackbox有关系 但是多刷新几遍就能发现里面有一段是不一样得,如下图

 

那么我们要找参数eeblackbox,发现是从页面取值

那我们去找改标签  E2GetBlackbox

找到关键函数,进入到文件 

打上断点就开始找把, 补环境 补出 

E2GetBlackbox,encrypt所需要得参数与对象,最重要的还是_i_gh对象,找出就大功告成啦。

 使用post请求发送得到fkey了,小白,学艺不精!

阿超学Python
关注
专栏目录
js逆向-安某客空间推理验证码验证流程分析
09-12
js逆向-安某客空间推理验证码验证流程分析
爬虫案例-使用Session登录指定网站(JS逆向AES-CBC加密+MD5加密)
m0_61720747的博客
06-09 4072
总体概览:使用Session登录该网站,其中包括对password参数进行js逆向破解 (涉及加密:md5加密+AES-CBC加密) 难度:两颗星 目标网址:aHR0cHM6Ly93d3cuZnhiYW9nYW8uY29tLw== JS逆向部分总结: 1、在登录的时候对password参数与时间戳拼接; 2、对账号参数切及时间戳的拼接; 3、将部分关键数据转数组后先进行MD5加密处理; 4、最终将前面数据全部拼接对数据使用AES下的CBC加密 5、得到password的参数之后使用req
JS逆向 -- 某平台登录加密分析
weixin_41489908的博客
05-06 2377
八、选中“m(n.pwd.substr(0, 16))”,鼠标放上去,自动提示加密结果,可以分析除,是m函数进行了加密。十一、将该函数的同作用域范围的函数都复制到调试软件,并将该匿名函数改为aiyou函数,点击加载代码,成功加载。九、把鼠标放到m函数上,自动弹出下面的对话框,可以查看m函数所在的位置,点击进入该函数。十二、调用该函数,双击该函数,输入参数,点击运行获取结果。三、加密结果是32位,首先考虑是md5加密。六、找到给pwd赋值的语句,双击左边,下断,四、全局搜索pwd,点击右上角,点击搜索。
js逆向·找到登录时目标网站的加密算法的几种方式
XXokok的博客
10-21 1656
-文件流程断点 -代码全局搜索 -XHR提交断点 jsEncrypter插件 phantomjs
js逆向 万博体育登录
热门推荐
m0_53227339的博客
09-07 1万+
郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。
Python爬虫进阶之JS逆向新榜登录
Python编程与实战的博客
06-27 1614
分享一个破解JS登录的案例 抓包调试 网站如下:https://www.newrank.cn/ 下面是登录的抓包: 一个 XHR 请求,下断点。或者搜索请求参数 打完断点后,重新发起请求,结果如下: 分析 此时的断点位置,一般是一个 XMLHttpRequest 的请求操作。所以我们顺着调用栈往回追。 找到了密码加密的地方,看代码调用了两次 h 函数。 其中第二次调用的的参数是将第一次返回...
WT-JS逆向调试工具
04-01
"WT-JS逆向调试工具"是一款专门针对JavaScript进行调试的工具,它可以帮助开发者深入理解代码执行过程,定位并修复错误,优化性能。本文将详细介绍JavaScript调试工具的关键知识点,并以WT-JS.exe为例,探讨其特性和...
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
JavaScript逆向是指通过分析和理解经过混淆的JavaScript代码,以及对代码执行过程的回溯和逆向学习,来揭示代码的真实意图和功能。猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、...
网鼎杯-第三场-逆向-simpleSMC
08-28
2018年8月27日--网鼎杯-第三场-逆向-simpleSMC-------
逆向-音乐学家方大刚-快速定位hashMap
03-16
在这个场景中,"逆向-音乐学家方大刚-快速定位hashMap"的标题和描述可能指的是一个教程或讲座,由音乐学家方大刚分享了他在逆向工程领域的经验,特别是关于如何在逆向过程中快速找到并理解HashMap的实现。...
【2023-08-30】JS逆向之B站模拟登入(含极验点选)
骑毛驴的猴的博客
01-04 9124
文章目录前言一、预告无感滑块点选 前言 搞了不到两个星期,终于把某验验证码(无感、滑块、点选)全部给啃下来了,过程还是挺艰辛的,这篇不讲方法,之后会出一系列的方法,感兴趣的可以提前关注下~ 一、预告 无感 滑块 点选 ...
[Python] js逆向初探: 某麦榜单
Loading_BFX的博客
07-19 1774
系列文章目录 [Python] js逆向初探: 某麦榜单 文章目录系列文章目录免责声明前言分析通用的抓包方法。。。偷懒作弊的抓包方法万恶之源 免责声明 本篇文章仅用学习交流和日常记录,请勿转载或用于任何商业用途!违者责任自负!如侵删 前言 作为一个刚接触爬虫的小白, 之前都是练习爬一些简单的网站。遇到js加密的就只能束手无策了, 有一些可以使用selenium, 但是速度太慢,而且人生不可以总是选择轻松地道路,学习爬虫不可以避免学习js逆向。所以决定开始自己学习js逆向,本文章选择某麦网作为练习
JS逆向---RSA登录模拟实例()
m0_52336378的博客
02-19 884
该文章是结合前一篇,测试例子是匀加速商城,登录状态下对其密码加密的逆向,比较简单容易上手,作为练习项目声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除,请各位自觉遵守相关法律法规。
JS逆向案例:破解登录密码
算法channel
06-21 3341
本人不是专业IT人员,但是对python爬虫这块非常感兴趣,在抖音上看了zhen老师的python全栈直播课程,果断选择加入zhen老师的VIP大家庭,给zhen老师投稿发文章还能挣钱,50元。废话不多说,进入主题。最近在学习JS逆向方面的知识,由于之前做过12306的自动抢票软件,因此对12306情有独钟????,接下来就给大家介绍一下12306用户登录密码的参数破解办法。首...
JS 逆向百例】复杂的登录过程,最新微博逆向
K哥爬虫
08-30 1626
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 逆向目标 本次的逆向目标是WB的登录,虽然登录的加密参数没有太多,但是登录的流程稍微复杂一点,经历了很多次中转,细分下来大约要经过九次处理才能成功登录。 在登录过程中遇到的加密参数只有一个,即密码加密,加密后的密码在获取 token 的时候会用到,获取 token 是一个 POST 请求,其 Form Data 里的 sp 值就是加密.
js逆向登录调试流程(基础)
weixin_49722764的博客
03-10 1227
本文只是记录流程,案例请前往 鱼哥公众号“咸鱼学Python”查看 链接https://mp.weixin.qq.com/s/6t9V5HIRagye4ZQlgkHgewhttps://mp.weixin.qq.com/s/6t9V5HIRagye4ZQlgkHgew 如果网页有跳转,必须勾选 preservelog 防止丢包 看一下有没有框架 右键查看框架源代码(弹出式登陆界面) 登陆尽量使用错误密码 防止跳转 查看关键登陆包 分析哪些参数是加密的 使用别的浏览器分析哪些参数是固定的值
JS逆向学习】36kr登陆逆向案例(webpack)
学海无涯
01-18 1407
在开始讲解实际案例之前,大家先了解下webpack的相关知 WebPack打包 webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块 概念: Webpack是一个现代JavaScript应用程序的静态模块打包工具。它可以将许多不同的模块(包括JavaScript、CSS、图像等)打包成一个或多个静态资源文件,以供浏览器加载。 Webpack的核心概念包括: 入口(Entry):指定Webpack开始构建依赖图谱的入口文件。Webpack会从入口文件开始递归地解析和处理所有依赖模块。 输出
爬虫进阶学习之路---js逆向登录
weixin_44721415的博客
09-06 964
js逆向: 1、凡科网(https://i.fkw.com) 通过登录页面练习 再练习的过程中发现 我在登录错误密码之后会出现滑块验证(瞬间感觉头大了 但是学习吗 硬着头皮上了)还是常规的操作 打开 开发者模式 xhr 之后 手动滑动正确的位置进行验证 验证成功 chrome抓包工具会捕获到 响应的验证请求: Request URL: https://cv.fkw.com/verify/validate 在返回参数 response : {"success":true,"msg":{"chec
某公众平台的登陆js逆向(一)
Memory_Release的博客
12-26 518
本系列仅仅是本人开始学习逆向练手项目,记录一下自己的逆向之路。
ctf 寻找用户名和密码题目
最新发布
09-02
CTF(Capture The Flag)是一种信息安全领域的竞赛,其中的寻找用户名和密码题目属于Web安全或逆向工程等方向的一个常见题型。这类题目的目标通常是找出隐藏在网页、应用或者系统中的用户名和密码,有时也称为“flag”。下面是一些寻找用户名和密码的常用方法: 1. 源码分析:查看网页或应用程序的源代码,可能会直接发现隐藏的用户名和密码。在HTML中,这可能被隐藏在注释中,或在JavaScript代码中被加密或混淆。 2. 网络抓包:通过使用像Wireshark这样的网络抓包工具或者浏览器的开发者工具进行网络请求分析,可以找到发送到服务器的请求中可能包含的用户名和密码信息。 3. 目录遍历:尝试访问网站目录和文件,可能会发现含有敏感信息的文件,如包含用户名和密码的配置文件或日志文件。 4. SQL注入:如果涉及数据库操作,可能需要进行SQL注入攻击来提取数据表中的用户名和密码信息。 5. 利用漏洞:某些情况下,程序或系统可能存在着一些已知漏洞,如弱密码存储机制或不安全的用户认证过程,利用这些漏洞可以获取到用户名和密码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值