js逆向常用加密 + 微信公众号平台试练

最新推荐文章于 2024-05-02 11:23:21 发布
最新推荐文章于 2024-05-02 11:23:21 发布
阅读量601 收藏
点赞数
分类专栏: 笔记 小白 文章标签: js 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bs_101/article/details/120403724
版权

文章目录

js常见的加密方式

  • 常见的加密算法基本分为这几类:
    • 线性散列算法(签名算法) MD5 md2 md4 sha1 sha256 sha512 (取盐)
    • 对称性加密算法 AES DES
    • 非对称性加密算法 RSA
      在这里插入图片描述

Md5加密

  • MD5 是一种广泛使用的线性散列算法, 可以产生出一个128位的散列值(hash value),MD5加密之后产生的 一般是固定长度 (32位或者16位)的数据
  • 解密:
    • 常规讲 MD5不存在解密的, 但是可以反向暴力破解
      在测试的时候 一般默认密码输入123456 抓包看到加密的如果是e10adc3949ba59abbe56e057f20f883e(32位的)则是md5加密

示例代码:

<!DOCTYPE html>
<html lang="en">
<script src="https://cdn.bootcss.com/blueimp-md5/2.10.0/js/md5.js"></script>
<script type="text/javascript">
    var hashCode = md5('i am bobo!');
    alert(hashCode)
</script>
</html>

注意后续js中出现 md5字样 基本上就是 采用md5加密方式 如果加密的是 16进制 且32位长度 那大概率也是md5加密

DES/AES 加密

  • DES 即数据加密标准, 是一种使用密钥加密的算法。 该算法是一种对称加密方式, 其加密运算、解密运算需要使用同样的密钥( 一组字符串)
  • 注意:
    • 现在用AES这个标准来替代原先的DES。
    • AES和DES的区别:
      • 加密后密文长度的不同:
        • DES 加密后密文长度是8的整数倍
        • AES 加密后密文长度是16发整数倍
      • 应用场景不同:
        • 企业级开发使用DES足够安全
        • 如果要求高 则使用AES
      • DES 和AES 切换只需要修改 CryptoJS.AES <=> CryptoJS.DES
  • 使用DES/AES进行数据交互时要求双方都拥有相同的私钥
  • 破解方法:
    • 暴力破解。
  • DES算法的入口参数有三个:
  • Key、Data、Mode、padding.
    • Key 位7个字节共56位, 是DES算法的工作密钥
    • Data位8个字节64位, 是要被加密或被解密的数据
    • Mode位DES的工作方式
    • padding位填充模式, 如果加密后密文长度如果达不到指定整数倍(8个字节、16个字节)填充对应字节
      示例代码
<!DOCTYPE html>
<html lang="en">
<script src="https://cdn.bootcss.com/crypto-js/3.1.9-1/crypto-js.js"></script>
<script type="text/javascript">
    var aseKey = '12345678';     // 定制密钥, 长度必须为:8/16/32位
    var message = "i am bobo,who are you ?";
    // 加密 DES/AES 切换只需要修改 CryptoJS.DES -》 CryptoJS.AES
    var encrypt = CryptoJS.DES.encrypt(message, CryptoJS.enc.Utf8.parse(aseKey), {
        mode: CryptoJS.mode.ECB,        // 这两行固定写法
        padding: CryptoJS.pad.Pkcs7
    }).toString();

    alert(encrypt);
    // 解密
    var decrypt = CryptoJS.DES.decrypt(encrypt, CryptoJS.enc.Utf8.parse(aseKey),{
        mode: CryptoJS.mode.ECB,        // 这两行固定写法
        padding: CryptoJS.pad.Pkcs7
    }).toString(CryptoJS.enc.Utf8);
    alert(decrypt);     // 解密完的密码
</script>
</html>

出现 DES 或者 AES基本上就是该加密方式

RSA加密

公钥加密 私钥解密
在公开密钥加密和电子商业中RSA被广泛使用
``私钥不可随心设置 是根据公钥计算生成的

示例代码

<!DOCTYPE html>
<html lang="en">
<script src="https://cdn.bootcss.com/jsencrypt/3.0.0-beta.1/jsencrypt.js"></script>
<script type="text/javascript">
    // 公钥
    var PUBLIC_KEY = '-----BEGIN PUBLIC KEY-----' +
        'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2MHiVKHV2bOwFpg0mZb6B3e/a' +
        '59nezjIEZmbe24fxVZwQ3p0q2DWtqI0eGQtf0wJ4DD+12nPbZVWOCxUKCk9M+t/T' +
        '9d0j9MaTUgkBvM0JVNtYzqgstIcok0tlWblvt/1gQes0jXkJLHu9fwR6t7R0eqAC' +
        'Z4A495mhf6/QbZurZQIDAQAB' +
        '-----END PUBLIC KEY-----';
    // 私钥
    var PRIVATE_KEY = "-----BEGIN PRIVATE KEY-----" +
        "MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBALYweJUodXZs7AWm" +
        "DSZlvoHd79rn2d7OMgRmZt7bh/FVnBDenSrYNa2ojR4ZC1/TAngMP7Xac9tlVY4L" +
        "FQoKT0z639P13SP0xpNSCQG8zQlU21jOqCy0hyiTS2VZuW+3/WBB6zSNeQkse71/" +
        "BHq3tHR6oAJngDj3maF/r9Btm6tlAgMBAAECgYAOpcT8EP2ooMc1CQ2jmaiAXmyL" +
        "R/qvPBqvWeBJaJL8Zyqd/JfcOvfN13BJDDBq6tcW+b0hjMelyvbe7asqXHvVjJ3d" +
        "f/ay7LxLLdzx/SxdaD6Llfwzm7g7Uljw/fqF4cd+AY1As4gRHrGO9xA+QR/vg1U7" +
        "6b/vlsD8yfIcQSwYXQJBAPIdK5m+1CxPIdXYWTsXvOOB6ACpIosFcfa3uQ14OQ5I" +
        "0NrUXlskVe6Y5sGE5fcwgzHy2iaDu5gT/sK53oiuPTcCQQDAo3WxYJamJ3mK9EXf" +
        "BlxNAmH1zG7Jp3ZzKzJNWOG4Q1EEG1fJQB3Z6V2unvPEu7A2zxthG+iRrvTBMU6u" +
        "DopDAkB+gCNBx2UQaaAiHVIx/+sfa8aOYdC8lnG/GKtFkGUvQ3hsfb13HXsQmS8o" +
        "OYn2J5DEzkCREw83HGtlzruo6nDtAkEAkRsPzlrpX6MghLDX6NVLtZ5z18j0MuX3" +
        "7Wy+aVDoRfo/Do7iI3AujDSjIqQND0YpyD9dalqxZvuY1eWkVKwTLQJBAK6iIbD+" +
        "hk6IVIZmqwwqxYL0/q3XHnczewxG5NHg66gGl86GZJITbLXEnju+xnFXHrGdplZB" +
        "eZJpkUz1wAcaoGc=" +
        "-----END PRIVATE KEY-----";
    // 加密 DES/AES 切换只需要修改 CryptoJS.DES -》 CryptoJS.AES
    var encrypt = new JSEncrypt();  // 实例化加密对象
    encrypt.setPublicKey(PUBLIC_KEY);   // 设置公钥
    var encrypted = encrypt.encrypt('hello bobo!'); // 对指定数据进行加密
    alert(encrypted);

    // 使用私钥解密
    var decrypt = new JSEncrypt();
    decrypt.setPrivateKey(PRIVATE_KEY);   // 设置私钥
    var uncrypted = decrypt.decrypt(encrypted); // 解密
    alert(uncrypted);     // 解密完
</script>
</html>

证书中包含了 公钥和企业相关信息

微信公众号平台js算法改写

  • 先输入错误的邮箱和密码 然后 打开抓包工具 点击登录 看看抓包工具
    在这里插入图片描述
  • 然后通过 查看该请求调用了那些js文件 判断出最右可能的
    在这里插入图片描述
  • 在可疑的js文件中 直接ctrl + F 进行搜索 pwd 对可疑的地方都进行断点调试
    在这里插入图片描述
  • 当程序真的走到这里的时候 可以进行全选 函数 看函数返回的是什么
    在这里插入图片描述
  • 进入到里面后可以将 那附近相关代码都拷贝到 发条js调试工具中进行改编
    在这里插入图片描述
  • 要想在pycharm中使用 js代码
    • node.js环境的安装
    • pip install PyExecJs
import execjs
# 1.实例化一个node对象
node = execjs.get()

# 2.js源文件编译
ctx = node.compile(open('./Wechat.js', encoding='utf-8').read())

# 3.执行js函数
funcName = 'getPwd("{0}")'.format('123456')
pwd = ctx.eval(funcName)
print(pwd)			# e10adc3949ba59abbe56e057f20f883e
bs_101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
海伦司公众号js逆向
zxlmeb的博客
02-14 425
采集地址:门店指引 一.进行抓包分析 1.get请求没有带有参数进行请求 请求成功 code码为1 2.过了两分钟后 url所带参数没变 请求失败 code码为-1 3.进行多次请求,进行数据对比 上方数据发现time时间戳和authtoken字段在变 根据时间戳进行的数据加密 二. 进入界面的sources寻找js文件 一般加密文件在webpack:// 进入webpack://寻找js内的加密 token字段在在fetch.js文件内展...
微信公众号采集方案(基于Windows逆向)
热门推荐
Qwertyuiop2016的博客
11-02 1万+
引言 目前微信公众号采集基本只有几种特定的方法了 搜狗微信 无法采集历史了,而且搜索也不按时间排序。获取的数据的价值不高,不过可以通过他来获取公众号的biz。 微信公众平台 微信公众平台虽然可采集历史,但限制很大,没抓多少就被封接口了。 安卓端微信 网上很多关于xposed hook微信公众号实时推送文章的一些采集方案,这个能用。但是只能使用旧版微信,新版微信对xposed有检测。而且旧版微信会限制刚注册的微信号登陆。不过有方法解决:hook掉检测的代码,目前我还做不到这个程度。我见过有大佬实现
MacOS微信逆向分析-Frida
wei_java144的博客
07-02 2277
PC下的微信二次开发相信大家都会了,那么本篇文章将带领大家使用Frida框架对Mac下微信来进行!PS:还有一种静态注入的方式也不错,但是考虑到大家xcode安装包太大就不在这里展开啦。PS:frida如何去使用大家得自己去学,本文不过多展开。
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具_hook微信小程序(1)
最新发布
2301_82056337的博客
05-02 1305
1.建议修改微信PC端默认的小程序包位置默认是在C盘,太占内存,建议修改2.打开一个小程序然后在pc端打开一个小程序,尽可能点开所有的页面,让本地自动生成一个本地包,在刚刚设置好的文件夹(如上图)里,内容如下:.wxapkg就需要用到我们前面的解密软件。
js逆向爬虫入门-01.微信公众平台模拟登录逆向
paycho的博客
06-03 834
微信公众平台逆向
android逆向公众号,安卓逆向-分析微信公众号某医院挂号参数
weixin_30045597的博客
06-03 329
该公众号对接了某验滑块验证,经过抓包发现对返回challenge参数进行了加密后面发现接口参数,就是解密后的结果,废话少说,开搞。由于是公众号网页,相对来说比较简单,不像小程序需要反编译源码,这里我们直接采用webview远程调试1、在您的 Android 设备上,选择Settings>Developer Options>Enable USB Debugging。 在运行A...
wechat-feeds:给微信公众号生成RSS订阅源
03-16
基本上,微信公众号比较封闭,爬取也有一定门生物学,对于RSS重度用户来说很不友好,加上现在订阅号的尝试也是乱序时间轴的,作为在推荐算法的重重包围下做挣扎的一成员,希望在此之后Github为同好提供有限的订阅...
Javascript逆向分析+Cookie加密+补环境+逆向学习
02-22
JavaScript逆向分析、Cookie加密、补环境搭建、逆向学习等技术和方法相互交织,共同构 成了一个丰富而复杂的学习和研究领域。深入探索这些领域,将有助于我们更好地理解和运用JavaScript编程,提升自身的反混淆能力...
unveril解包-反编译-微信公众号
01-08
unveril2.0 解包微信公众号、反编译公众号
PC微信逆向分析の绕过加密访问SQLite数据库.7z
01-03
PC微信逆向分析の绕过加密访问SQLite数据库源码,注入微信,读取微信数据库内容,在线备份数据库。 源代码包括C语言和E语言的具体实现。
Qt+Windows逆向分析源码,读取微信用户信息
03-17
Windows下逆向分析源码,界面使用Qt,进程和读取内存使用Windows方法,
PC微信逆向:两种姿势教你解密数据库文件
翻肚鱼儿的博客
11-03 9024
文章目录 定位数据库文件密码 定位数据库密钥的思路 获取数据库密钥的实战分析 CreateFileW断点 常见错误 排查堆栈 排查堆栈地址 单步跟踪 用代码实现解密数据库 编译选项 解密代码 实际效果 动态获取数据库密钥 定位数据库文件句柄 关于微信数据库句...
【Web实战】零基础微信小程序逆向(非常详细)从零基础入门到精通,看完这一篇就够了
Python_0011的博客
11-29 4855
作为中国特有的一种程序形态,小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台,当然,也有快应用这种行业联盟型的生态平台。小程序开发者在开发环节中必须基于以下原则:互不信任原则,不要信任用户提交的数据,包括第三方系统提供的数据,必要的数据校验必须放在后台校验。最小权限原则,代码、模块等只拥有可以完成任务的最小权限,不赋予不必要的权限。禁止明文保存用户敏感数据。
【原创】PC微信逆向分析のWeTool内部探秘
赵庆明老师
09-13 6497
作者:zmrbak(赵庆明老师) 前言: 先不说微信在社交领域的霸主地位,我们仅从腾讯公司所透露的在研发微信过程中踩过的无数的坑,以及公开的与微信相关的填坑的源代码中,我们可以感受到,单从技术上讲,微信是一款非常伟大的产品。然而,伟大的产品,往往会被痴迷于技术的人送进实验室大卸八块,以参悟其伟大之所在! WeTool,一款免费的微信社群管理软件,正是这群痴迷于技术的人对于这个伟大的PC微信的研究成...
JS逆向笔记之常见加密方式
L_W_D_的博客
08-11 412
JS逆向笔记之常见加密方式 一、取盐校验(不可逆) 信息摘要算法 1.md加密 1.md2 2.md4 3.md5 16位 32位([8:39]) 40位 都是从16位前后加信息得到的 明文为123456 16位为49ba开头 32位为e10开头 4.md5变种(带盐或带密码) 2.sha加密 1.sha1 40位 明文为123456,开头为7c4 2.sha256 64位 3.sha512 128位 二、对称加密(可逆) 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,
android逆向公众号,逆向一款微信公众号搜索工具(技术含量极低)
weixin_42407741的博客
06-03 571
今天我们来逆向一款52上的微信搜索工具,它的功能如下:这款软件现在已经无法使用了,但是我们可以通过它能寻找它所调用的API(它到底是如何查到这些信息的),以及了解到它失效的原因。首先查壳,发现没有壳。直接OD载入,像这种单文件的软件,极有可能是调用网站的接口,我们直接右键字符串搜索ASCII,可以看到有几个网站,你可以都试试。最后我们发现有一个网址非常可疑,有一个类似提交表单的&query...
js逆向-1 模拟登陆微信公众号平台
starfish_s的博客
12-16 771
今天的主要任务是破解模拟登陆中的pwd参数,比较简单,毕竟开头要稳嘛! 我们首先,先说一下这篇文章中我用到的东西,在调试的时候推荐使用浏览器的无痕模式。具体是为了啥我也不知道哈,反正用就对了。然后js代码的调试 是用的 webstrom,附上破解链接https://www.cnblogs.com/yixiongqiang/p/13035699.html 好了,现在开始分析页面吧 https://mp.weixin.qq.com/,进去之后点击使用账号登录,然后随便输入一个账号密码,打开浏览器自带的抓包工具,
JS逆向 | 某同城网站模拟登录(RSA)及指纹分析
丁仔.的博客
04-13 571
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 目标网站: aHR0cDovL3Bhc3Nwb3J0LjU4LmNvbS9sb2dpbg==  输入错误账号密码、抓包得知password、token、fingerprint被加密。  直接搜索token的值,发现其就在之前的请求响应中,参数简单,直接构造即可。  fingerprint同理,也在之前的请求响...
网站逆向分析js之RSA算法原理
孔祥旭的博客
12-24 1134
传统密码无论加密解密都用了一个密码 rsa非对称性加密由一对密钥组成,配对使用 public key(代号’e’),公钥,专门用来加密,可以由多人掌管 private key(代号’d’),私钥,专门用来解密,由主人自己进行保管 一般公开发布公钥,自己用私钥进行解密 举个例子,我是B:A 想要发送’Hello World’一个字符串给我, A 必须在我这拿一个公钥(e),用公钥(e)加密了这段文字,
逆向notepad++怎么用
10-17
逆向 Notepad++ 的过程大致可以分为以下几个步骤: 1. 使用反汇编工具(如 IDA Pro)打开 Notepad++ 的可执行文件(.exe 文件)。 2. 在反汇编窗口中查找关键函数或代码段,例如打开文件、保存文件等操作。 3. 分析...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值