js逆向心路历程(二)

最新推荐文章于 2024-04-26 17:15:20 发布
最新推荐文章于 2024-04-26 17:15:20 发布
阅读量10w+ 收藏 13
点赞数 6
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaopicrawl/article/details/107935239
版权

接上js逆向心路历程(一)
现在我们会了js的必经之路 (全局搜索 定位 断点 测试 得到结果)
但其实别人设计网站的也会知道我们要这样 逆他们的加密,那么他们就会在这些步骤中加大我们的时间成本,测试成本。

设计网站,跟我们爬虫其实就是 盾与矛 双方都有成本预算,只要他们的加密成本足够大,他们就不会再加强了,甚至可能会减弱,因为生意的本质是赚钱。(当然了他们成本加大了,我们的时间成本也会变大)

比较难的网站:某宝,某点评,某团等,还有一些 .gov 的网站在我们按f12 的时候他就会断点卡住,不让我们看f12的信息,对于这些网站我仍需努力学习。

那么进入今天的主题

第一个网站

中国电信

老套路,填入账号密码 按 f12 登录抓包
在这里插入图片描述

然后我们去搜这个uPwd 发现啥东西也不是
在这里插入图片描述
当我们点击进去的时候发现搜索这个Pwd有135个那么多,这肯定不是我们想要的
在这里插入图片描述

方法一:那就使用上篇文章的技巧,搜索 js 加密的灵魂 encrypt

在这里插入图片描述
我们发现无论 uPwd 还是 encrypt都是指向 这个loginNew.js 文件,我们可以肯定我们要的逻辑在这个js里

方法二:当然了这里还有一种方法可以确定是这个js文件

在这里插入图片描述
回到一开始抓包的位置,我们将鼠标移到 validate这个包的 Initor 的位置,这个其实叫关联包,然后我们需要的包 通常的名字都是 带login字样 或者这种 (anonymous(英文:匿名))的东西里

在这里插入图片描述

然后我们找到这里,确定这里的原因(因为有pwd,有aesEncrypt(val) )那就可以尝试刷新了发现可以断下


在这里插入图片描述

而我们只需要知道这个$(this).aesEncrypt(val) 的全部参数就可以得到我们的结果了

在这里插入图片描述
在这里插入图片描述
然后修改下
这就是我们 js逆向 的初始模样了
在这里插入图片描述

同样的步骤,找到aesEncrypt里面的所有参数 然后就可以了
在这里插入图片描述
e就是我们的pwd ,然后找到其他就好了
在这里插入图片描述
点进去然后我们看到整个js的头部和尾部

在这里插入图片描述
在这里插入图片描述
头是申明一个变量,尾是 赋值一个变量然后最后是 以 })();
这种模式结尾的,其实就是整个 js 的调用
我们将整个复制下来然后运行就得出结果了

在这里插入图片描述

最后一步就是判断了

在这里插入图片描述
在这里插入图片描述

第二个网站

https://dynamic2.scrape.center/page/1
我们要获取里面的电影条目 但他是 ajax 加载的内容 所以还是抓包
在这里插入图片描述
同样的 全局搜索
在这里插入图片描述
找到了断点位置并断点刷新
在这里插入图片描述
我们只需要找
在这里插入图片描述
在这里插入图片描述
很明显后面那个东西就是网站的api带入进去的

然后找前面的object
在这里插入图片描述

到了这里,我们其实就发现已经不需要运行 js 的文件了,因为这段代码逻辑很简单,我们单纯在python中模拟也可以
我们来分析一下

return的是c 那么c需要的是 n 这个函数
而我们发现 n这个函数他包含了很多加密技术

在这里插入图片描述
然后 t 是时间截
r是一个数组,数组里面的东西就是 (for…)这个东西生成的
在这里插入图片描述

import hashlib,base64,time
def gettoken():
    ts = time.time()
    e = 1
    r = ["/api/movie",str(ts)]
    o = hashlib.sha1(",".join(r).encode('utf-8')).hexdigest()
    c = base64.b64encode((",".join([o,str(ts)]).encode('utf-8'))).decode('utf-8')
    print(c)
gettoken()
# MWRmYzE2MmRjNTQzMjA5YTdkNDM1ZWIyNzQzMWEwMmQ3MzcwZWIxYSwxNTk3MTMzOTEwLjE0NDM1OTQ=

因为加了时间截所以无法测试是否相同,但可以请求到ajax的数据

同样是这样的 逻辑,我们看看更难一点的 js 文档
https://dynamic6.scrape.cuiqingcai.com/
在这里插入图片描述
这个网站就将所有函数编程了16进制的加密变得难以观看,但我们仍然能查找相同复制
在这里插入图片描述
断点在同样的位置,也是能断的
然后步骤也跟上面的一样了

鸣哥李智森倒拔垂杨柳
关注
  • 6
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
猿人学js逆向第二题补环境js
05-21
猿人学js逆向第二题完整补环境js文件
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释
最新发布
2401_84139192的博客
04-26 713
大家好,我是辣条哥!今天给大家上点难度,不然总觉得辣条哥太菜了!我们今天聊聊JS逆向,首先JS逆向是指对使用JavaScript编写的代码进行逆向工程,以获取代码的逻辑、算法或者进行修改。假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。现在我们想要绕过这个验证,直接登录到网站。1.打开网站登录页面,按下F12键打开开发者工具。
JS逆向练习题100题
10-25
练完这100题,随便找个月入1W工作不闹着玩?
javascript逆向 js混淆 乱码增强 js逆向学习
03-08
学习 JavaScript 逆向工程和混淆技术旨在加强对代码安全性的认识和保护。了解如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过学习逆向工程,可以更好地理解代码运行原理,并从中获益。然而,在进行逆向工程时,务必遵守法律法规,维护知识产权。逆向工程并非只可用于破解,还可用于分析、改进代码质量以及保护个人作品。 JavaScript 的混淆技术和乱码增强是提高代码安全性的手段之一。通过混淆技术,可以使代码难以被理解和分析,增加他人逆向工程的难度。同时,我们也应该关注代码质量和性能优化,确保代码的有效性和稳定性。学习逆向工程并不仅仅是为了破解,更重要的是为了提升自身技能水平和对代码安全性的认识。 在探索 JavaScript 逆向工程的过程中,建议遵循合法、道德的原则。学习逆向工程应该注重知识产权保护,尊重他人劳动成果。同时,倡导合法的学习途径,避免利用逆向工程技术从事非法活动。逆向工程是一个复杂而有挑战性的领域,需要谨慎对待,以确保个人和他人的权益不受侵犯。 总的来说,逆向工程是一个值得深入学习的领域,通过学习逆向工程和混淆技术,
js逆向那些年一起秒过的瑞树之RS6
qq_15326513的博客
07-15 4097
瑞数,是逆向领域中的巍峨高山,挡在许多JS逆向者前进之路上的一道坚实围墙。然而,它也成为跳槽简历上的一抹亮点,我们必须在下一次职业转型前克服这个难关!好在现如今网络上有众多文章详细介绍瑞数相关内容,耐心地一步一步教导我们如何分析瑞数流程、剖析瑞数逻辑,试图将这些知识传授给我们(手动摸头)。然而,鲜有文字深入探讨如何通过纯补环境方式应对瑞数。今天,我们迎来了这样一篇文章!出于安全考虑,本章未提供完整流程,调试环节省略较多,只提供大致思路,具体细节要你自己还原,相信你也能调试出来.
js逆向学习路线指南
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
03-10 7583
1.js基础教程。(耗时2个星期 - 2个月,视基础而定)主要掌握用js进行程序设计,以及dom相关的知识,反复看,反复编程,并做好笔记。教程:https://wangdoc.com/ja...
js逆向
weixin_42584586的博客
12-30 3081
JavaScript 逆向是指对 JavaScript 程序进行反汇编或反编译的过程。它可以帮助你了解 JavaScript 程序的工作原理,并且可以用来修改或扩展程序的功能。 逆向 JavaScript 程序的一种常见方法是使用反汇编工具,这些工具可以将 JavaScript 代码转换成可读的形式,方便人类理解。另一种常见方法是使用反编译工具,这些工具可以将 JavaScript 代码转换成类似...
建议收藏 ~ 最全的 JS 逆向入门教程合集
热门推荐
YeLang
03-25 1万+
基础入门 实战案例浅析 JS 加密 - DES 与 Base64 实战案例浅析 JS 加密 - RSA 与 XXTEA 实战案例浅析 JS 加密 - 基础总结篇 Chrome调试工具常用功能讲解 (点击文章标题跳转详情 ) 通用加密算法案例解析 Python爬虫进阶必备 | X咕视频密码与指纹加密分析 Python爬虫进阶必备 | X天下与XX二手房密码加密分析 Python爬虫进阶必备 | X博密码算法扣取+如何去扣取一个完整的逆向案例 Python爬虫进阶必备 | 极X助手加密算法分...
JS逆向技巧汇总---给普通爬虫学习者的吐血建议
weixin_45387160的博客
02-01 2612
JS逆向技巧汇总
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释)
五包辣条的博客
07-12 8921
假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向学习时,首先需要通过反混淆技术将混淆...
十七:爬虫-JS逆向(上)
qiao_yue的博客
01-05 2958
JS逆向是指通过分析和破解JavaScript代码,获取反爬措施的规则和实现方式,从而绕过反爬措施,实现爬虫的抓取。JS逆向需要具备一定的`JavaScript`编程能力和代码分析能力,对于爬虫开发者来说是一项高级的技能
JS逆向---令人抓狂的JavaScript混淆技术
m0_52336378的博客
08-16 5634
JavaScript 压缩、混淆和加密技术JavaScript 代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript 代码是公开透明的,也就是说浏览器可以直接获取到正在运行的 JavaScript 的源码。声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
Js逆向教程-05明确js逆向的目标
编辑编辑器
11-13 2709
通过本地运行js代码那 实现脱离浏览器后 能够实现和浏览器上运行加密js的效果。网站上完全都是JavaScript实现的加密,我们的目的要知道加密的整个过程,并且实现这个加密的过程,拿到和浏览器一样的加密的结果。得到加密的结果之后就可以跳过浏览器,本地直接给服务器发送加密数据,从而直接获取服务器响应的结果。
js逆向实战
weixin_43145985的博客
05-04 4084
最近遇到了很多加密问题,需要做js逆向,app逆向。 就简单写一个破解成功的js逆向案例吧 就我个人而言,不太喜欢写爬虫相关的实战方法,毕竟灰色地带。 首先声明,本文仅做技术交流,请不要用于商业用途。 如有侵犯,请联系删除。 1.定位问题 直入主题,我们首先发现这题在哪 看一下这段url 我们把params拿出来 jsv: 2.5.1 appKey: 12574478 t: 1588565848...
JS逆向核心流程
qq_36291294的博客
11-05 2083
JS逆向核心流程,从分析网络请求、定位加密参数生成处、扣代码、补环境
主业工资5000,靠“爬虫技术”月入20000:会赚钱的人,从不靠拼命
hugo233的博客
10-21 2299
包括JS逆向调试、逆向登录、数据逆向、请求参数逆向、多重加密解析、JS二次加密、对称加密(AES)算法、非对称加密(RSA)算法、JS混淆、二进制压缩在内的爬虫相关技术,不断地被无数人反复问及。现在,只要你会python的爬虫技术,网上接单副业的项目更是多的供过于求,现在业界对Python爬虫技术服务的需求量正在暴涨,且有愈演愈烈的趋势。因为我们主行业的一个内卷以及薪资问题,现在已经有很多人都在从事一个副业,副业往往比主业更自由,轻松,甚至有的副业工资比他的一个主业工资还高。技术不够,就接不到单。
接了几个APP逆向私活,一单一个W
Java癫疯的博客
01-04 902
接了几个APP逆向私活,一单一个W
app逆向js逆向
09-03
app逆向js逆向是两种不同的技术方法。app逆向主要是指对安卓应用程序的逆向工程,通过反编译、分析、修改应用程序的代码和功能。在app逆向过程中,常用的工具包括jadx反编译工具、JEB反编译工具、Frida之Hook工具、IDAPro反汇编工具等。可以通过这些工具来分析应用程序的逻辑、修改参数和功能等。 而js逆向主要是指对JavaScript代码的逆向工程,通过分析和解密JavaScript代码,获取其中的关键信息。在js逆向过程中,常用的工具包括查壳工具、加密解密工具、鬼鬼js加密浏览器、Python的execjs库等。可以通过这些工具来解密加密的JavaScript代码、分析代码逻辑以及调试代码等。 所以,app逆向主要是对安卓应用程序进行逆向分析和修改,而js逆向主要是对JavaScript代码进行解密和分析。这两种逆向方法在实际应用中可以结合使用,以达到更好的逆向效果。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [APP逆向工具-js调试](https://blog.csdn.net/b806071099/article/details/115553351)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [suning易购商城app api_sign参数逆向解析 最新现可用_x_req_block_加密 解密sign等参数](https://download.csdn.net/download/qq_40609990/85586243)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Android逆向基础入门](https://blog.csdn.net/weixin_43411585/article/details/122503411)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值