【Web逆向】某津市公共资源交易平台链接加密分析

已于 2023-07-25 10:01:16 修改
阅读量822 收藏
点赞数 1
分类专栏: js逆向 Python 笔记 文章标签: python
于 2023-02-28 00:41:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a6661314/article/details/129252139
版权
笔记 同时被 3 个专栏收录
101 篇文章 5 订阅
订阅专栏
Python
25 篇文章 4 订阅
订阅专栏
js逆向
7 篇文章 2 订阅
订阅专栏

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!

【Web逆向】某津市公共资源交易平台链接加密分析

声明

本文章中所有内容仅供学习交流,相关链接做了脱敏处理,若有侵权,请联系我立即删除!

一、起因

好奇抓取 某津市公共资源交易平台 的消息列表,感觉是很简单的 get 请求就解决了,但是发现抓取的链接都不可以用。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
我们手动去点击 web 端链接,发现链接和网页源代码中的链接有所出入。

网页源代码:http://ggzy.zwfwb.tj.gov.cn/jyxxcgjg/1005226.jhtml
Web 端链接:http://ggzy.zwfwb.tj.gov.cn/jyxxcgjg/seDcdFCWAJcesrD8hqP+Yw.jhtml

在这里插入图片描述
那就证明我们点击后,网页源代码的链接到 Web 端链接有经过转换,下面我们来一步步分析一下。

二、开始分析

选中某一条新闻的 a 标签,点击事件监听器,再点击 a 标签后面的文件跟进去看看。

在这里插入图片描述
再点击下面的花括号,把代码进行一下格式化,方便我们观看。

在这里插入图片描述
我们可以大概看出,点击后,a 标签的 href 元素传值给 hh,判断 href 是否存在或者是 #,如果不是,证明详情链接存在,再进行下面的代码。

在这里插入图片描述

我们在下面随便打个断点,重刷新一下,点击一个详情页,步进几步,可以看到

在这里插入图片描述
这些都是很正常的网页源代码的链接分解赋值,看来转换为 web 详情页链接是在下面这一段代码:

在这里插入图片描述
我们随便复制一段代码去搜索看看,比如:CryptoJS.enc.Utf8.parse 可以知道这段代码大概是 使用CryptoJS进行AES加密,如果对这个加密有兴趣的话参看官网文档:CryptoJS - docs

我们开始分析下面的代码,大概的意思就是先将那串数字(ccc)用 UTF8 加密成数组

在这里插入图片描述

再对密钥操作,问题来了,这里的 s 密钥是多少呢,打个断点测试一下:

在这里插入图片描述

可以看出密钥 s = ‘qnbyzzwmdgghmcnm’

在这里插入图片描述
再将上面的两个数组用 AES 加密:

在这里插入图片描述
将用 AES 加密过的 en 转为字符串:

在这里插入图片描述
我乍一看这种字符串像是base64加密,再将带有/符号的转为^,因为在url编码中,/符号有特殊意义

在这里插入图片描述
再将数据后面的[==]分割掉

在这里插入图片描述

最后的字符串就是需要的数据了,我们封装一下测试一下:

在这里插入图片描述

经过测试,没毛病,返回的这个字符与真实的一致。

三、源码下载地址

GitHub:某津市公共资源交易平台链接加密分析【麻烦客官点颗Star】

CSDN资源:某津市公共资源交易平台链接加密分析

跳舞的皮埃尔
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
逆向工程与Web安全
01-06
逆向工程 Web 安全技术 Linux 网络攻防 社会工程学
某津公共资源交易平台链接加密分析
02-28
针对“某津公共资源交易平台链接加密分析”的主题,我们可以深入探讨一下AES加密以及Python在其中的应用。 AES,全称为Advanced Encryption Standard,即高级加密标准,是一种广泛应用的块密码算法。它以128位的...
(JS逆向)公共资源交易网详情页的URL加密逻辑
MaxShuo的博客
12-08 654
重点来了,当你打开url后发现是这样的,反人类 这。。。。。。。。。就有点扯了,为什么会出现这样的情况? 来看下正确的url长什么样子吧: 于是乎....就开始了长达好多分钟的分析与抓包~~~~~~~~~~~~~~~~~~~ 搞了一大圈后你会发现,无论你怎么搜索与抓包, 都得不到有用的信...
bugku逆向web部分
weixin_38659379的博客
03-24 439
1、入门逆向 下载下来,拖进IDA 发现是ASCII字符flag的16进制,放到在线转换工具上直接出结果flag{Re_1s_S0_C0OL} 2、easy_vb 下载了easy_vb.exe文件,也是直接放进IDA,搜索——>text——>"{",就找到了flag{N3t_Rev_1s_E4ay} 3、easy_re 下载了re1.exe文件,也是直接放进IDA,在hex里面搜索字符...
CTF入门之web逆向
小傅
07-01 5627
题型: MISC(安全杂项)、PPC(编程类)、CRYPTO(密码学)、REVERSE(逆向)、STEGA(隐写)、PWN(溢出) WEBweb类):WEB应用在今天越来越广泛,也是CTF夺旗竞赛中的主要题型,题目涉及到常见的Web漏洞,诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目,至少会有一层的安全过滤,需要选手想办法绕过。且Web题目是国内比较多也...
Xepor:一款针对逆向工程和安全分析Web路由框架
ALLEN'Blog
02-16 598
1、使用@api.route()来编码,和Flask类似,支持在一个脚本中完成所有任务。2、支持处理多条URL路由,甚至可以在一个InterceptedAPI实例中处理多台主机。3、针对每个路由,可以选择在连接到服务器之前修改请求,或者在转发给用户之前修改响应。4、支持黑名单模式或白名单模式。5、支持正则表达式匹配。6、通过主机重映射定义跟匹配URL路径。7、结合mitmproxy实现更强大的功能。
python爬虫---假链接的简单破解
后青春诗ing
01-17 1439
前提:只为学习爬虫知识,请不要对目标网站造成影响。 缘由 有幸同事介绍一个新的网址:http://ggzy.gzlps.gov.cn/ 全国公共资源交易平台,其中的详情链接在实际爬虫中是假的链接,也就是假链,索性看看。 通过检查调试发现了链接,那么实际复制出来的链接显示的界面却是如下图 如果你爬虫访问的话,后台一定会断定你是爬虫进而封你IP,那么问题来了?真的链接怎么找到呢?那么实际访问时候链...
津市市级三好班集体评选材料.pdf
10-28
津市市级三好班集体评选材料.pdf
2019年常德日报驻津市记者站招聘模拟试题及答案解析.docx
10-01
2019年常德日报驻津市记者站招聘模拟试题及答案解析.docx
湖南省常德市津市一中2016届高三数学上学期第一次月考试卷文含解析
08-19
6. 零点存在性:第六题讨论函数f(x)=e^xx^2-a/x-1的零点,涉及了函数零点定理,即如果函数在某区间内连续,且区间端点的函数值异号,那么该区间内一定存在零点。 7. 导数的计算:第七题中要求求解函数f(x)=x^2+3xf'...
某房地产公司制度汇编.docx
03-10
津市博联置业有限公司的制度汇编涵盖了招聘录用、考勤、薪酬以及集会等多个方面,这些规定对公司的日常管理和员工行为具有指导性作用。 1. **招聘录用制度**: - 入职要求强调员工需结束与其他单位的劳动关系,并...
web逆向
weixin_35754962的博客
12-21 1127
web逆向是指分析和理解Web应用程序的内部工作方式,从而在未经授权访问源代码的情况下,提取和分析应用程序的功能和特征。这种技术通常被用于挖掘Web应用程序的安全漏洞,并帮助修复这些漏洞。 Web逆向的过程包括拆分Web应用程序的前端和后端,分析它们之间的交互方式,以及使用工具来提取和分析应用程序的内部结构。这种技术需要使用者具备良好的编程和调试技能,并且需要对Web应用程序的工作原理有深入的理解...
列举 前端JS进行AES加密Python解密 实例
Owen_goodman的博客
04-23 935
郑重声明: 本项目的所有代码和相关文章,仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。 文章仅源自个人兴趣爱好,不涉及他用,侵权联系删 基本详情 采集数据时,遇到对Url进行加密的网站,大致加密情形如下 前端JS进行AES加密,将6位或者7位数字加密成22位数字字母大小写的加密方法。 全国公共资源-山东 http://ggzyjy.shand...
python爬虫--URL部分加密破解
qq_43500579的博客
07-28 5207
URL部分加密破解背景说明示例及分析解决方案注意 背景说明 最近在爬取网站数据时,碰到提取到的a标签的url与真实的url地址不同,将a标签中的部分内容进行了加密处理,再拼接处理,拿到真实的url,进行访问。 示例及分析 a标签: a标签href属性 http://www.sdggzyjy.gov.cn/jsgczbgg/2803000.jhtml 真实url:真实地址 http://www.sd...
再碰到加密
xzhanxiang的博客
07-13 167
这里说的是详情页的加密,这里可以看到在源码中的url 当时还以为自己请求错了,然后发现在浏览器中打开发现1249这四个数字变成了一大串字符如果你在详情页源码里点击url的时候他就会显示当时自己也去翻了一些笔记,html里面找,最后好像找到了一个window 什么 传了一个1的参数, 具体在哪看的给忘了 然后就去解密 下面是代码 from Crypto.Cipher import AES import base64 def add_to_16(s): while len(s) % 16 != 0:
Windows10下 Python_Appium的安装与简单使用
后青春诗ing
04-27 476
一、前言 这两天趁着空闲学习 Appium的使用想着爬取一些移动端的app的消息,搭建环境会把你搞得焦头烂额的… 二、参考文章: 作者:小帅b 学习python的正确姿势 链接地址:https://mp.weixin.qq.com/s?__biz=MzU2ODYzNTkwMg==&mid=2247484358&idx=1&sn=23e920d7a8d43dafd7607c...
一个刚接触Android逆向Web渗透的小白
weixin_45451746的博客
07-27 653
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
我的安全之路——二进制与逆向
热门推荐
giantbranch的专栏
07-23 2万+
我的安全之路——二进制与逆向篇write in my dormitory at ‏‎11:23:35 Saturday, May 20th, 2017 by giantbranch(一个当初想横跨web跟二进制的菜鸡)​ ————致即将毕业的自己。​ 上一篇是《我的安全之路——Web安全篇》,,因为参加比赛,搞论文,就没什么时间写了,今天刚好答完辩,终于有时
Python】pandas:排序、重复值、缺省值处理、合并、分组
最新发布
yannan20190313的博客
07-30 507
Python】pandas:排序(sort_index,sort_values,nsmallest,nlargest)、重复值(duplicated,drop_duplicates,value_counts,nunique)、缺省值处理(isna,isnull,notna,notnull,fillna,dropna,replace)、合并(join,merge,append,concat)、分组(groupby)
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 994
详细解说数据分析pandas库中的常用方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

跳舞的皮埃尔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值