JS爬虫实战之Fastmoss

已于 2024-07-11 11:16:13 修改
阅读量1.5k 收藏 20
点赞数 21
分类专栏: 爬虫实战案例 文章标签: javascript 爬虫
于 2024-07-02 15:36:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_xying/article/details/140124548
版权

Fastmoss参数逆向

逆向前准备

首先我们得有Fastmoss账号,否则是无法抓取到数据的。拥有账号后,我们直接进入达人选项。

思路

逆向步骤一般分为:

  1. 接口确认: 找到我们需要的接口进行分析;
  2. 参数确认: 在接口中提炼出我们需要处理的参数;
  3. 重试校验参数逻辑: 查看参数之间关系;
  4. 寻找逆向入口: 找到参数生成位置 ;
  5. 获取加密算法: 实现参数逻辑;
  6. 爬虫代码编辑: 爬虫代码编写;

1- 确认接口

多次请求,很容易就能查到数据接口
在这里插入图片描述

2- 参数确认

1- 对不同页进行多次请求
2- 对同一页进行多次请求

对照每个接口进行数据比较,payload中发现两个随机参数,其中 _time 为时间戳。cnonce需要查看从哪里来的。
在这里插入图片描述

3- 重试校验参数逻辑

为了校验是否有其他参数。我们需要对每一个参数均进行校验。通过复制curl校验出必要参数如下(具体校验步骤见往期爬虫文章)。
params中:
page: 页数
region: 地区
order: 类目(达人,商品等)
pagesize: 一页多少数据
_time: 时间戳
cnonce: 校验参数

params = {
        "page": page,				# 页数
        "region": "US",				# 地区
        "order": "2,2",				# 类目(达人,商品等)
        "pagesize": "10",			# 一页多少数据
        "_time": _time,				# 时间戳
        "cnonce": cnonce		# 校验参数
    }

headers = {
        "fm-sign": fm_sign			# 根据 "_time" 和 "cnonce"生成的参数
    }

cookie= {} 			# cookie中为登录信息

在这里插入图片描述

4- 寻找逆向入口

这里有两种方法。一种取巧, 一种耗时。大家可以自行选择。

1- 方式一(search搜索):

先说说第一种。 直接搜索 “_time” 和 “cnonce”。 有且仅找到一条数据,仔细一看,参数的生成逻辑就在这里。
在这里插入图片描述

2- 方式二(堆栈搜索):

我们从接口堆栈中进入。内容较多,后续更新,也会跟到dn[“fm-sign”]生成的地方。
在这里插入图片描述

5- 获取加密算法

读代码可知:

1- fm-sign字段是有zn来的,我们查看zn是如何得到的。
dn["fm-sign"] = zn
2- zn是由kt对象中的encryptParams方法,以qe.Z为原始函数,生成的函数中,分别调用了Rn和da来的。
zn = kt.encryptParams((0, qe.Z)({}, Rn), da)
3- 那我们就需要看下Rn和da参数。

da的生成逻辑如下

da = g != null && g.data ? JSON.stringify(g == null ? void 0 : g.data) : "", zn = ""

Rn的生成逻辑如下

Rn = ht((0, qe.Z)((0, qe.Z)({}, g.params)

经过校验,Rn就是我们的params参数。da为空字符串。 qe.z是一个大的存储对象。那剩下的就是kt.encryptParams函数了。经过跟进,发现该函数就是加密逻辑。

看下加密逻辑,解读代码:

g为接口中的params参数。
代码逻辑如下:
	1- 依次获取params中的参数和值。与o.salt(固定值)进行拼接。生成me
	2- 用函数Mo对me参数进行处理,形成一个加密字符串。
	3- 对加密字符串进行for循环体中的计算拼接。生成返回值dn。此dn就是header中的fm-sign

请添加图片描述

6- 爬虫代码编辑

我们知道参数生成逻辑之后,就需要构建爬虫代码了。以上分析中还有一个点需要处理,那就是Mo()函数。
在我们持续对Mo进行跟进时,我们会越来越熟悉
在这里插入图片描述
如果上面还不够明显,到了reset函数,我们应该有所怀疑了。这是个加密算法。
在这里插入图片描述
直到我们跟到了这个地方。识字的都能看到,这是个MD5算法。
在这里插入图片描述
一步步走完,并未发现异常,或者很离谱的魔改。那遵循一切从简原则,我们直接使用python中的MD5包去试试。
在这里插入图片描述
经过校验,MD5确实没有魔改。那就简单很多了。直接调用python中的md5方法。
在这里插入图片描述

结语

ok,以上就是全部内容。回过头来是个很简单的网站。难度初级,快则15分钟搞定,慢则一天。我们重新回顾一下思路。

1- 校验参数。发现header中的“fm-sign”,params中的 “_time” 和 “cnonce” 三个参数是不可或缺的。
2- 查找加密入口。直接搜索关键词:发现header中的“fm-sign”参数是通过params中的 “_time” 和 “cnonce”生成而来。
3- 进入加密入口,找到加密函数。解析后,可以知道Mo是个加密算法。其余均正常。
4- 解决。我们选择了简单的python导包MD5,或者也可以直接扣代码将MD5抠出。

因为本网站可以直接通过搜索找到加密入口。而加密算法MD5未魔改。所以很快就能搞定。如果模糊了搜索关键词,MD5进行简单魔改后。改网站可能就会难度翻倍。

最后,需要源码,关注留言博主。
励志的大鹰哥
关注
  • 21
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Node.js爬虫实战 - 爬你喜欢的
胡哥有话说
08-15 932
前言 今天没有什么前言,就是想分享些关于爬虫的技术,任性。来吧,各位客官,里边请... 开篇第一问:爬虫是什么嘞? 首先咱们说哈,爬虫不是“虫子”,姑凉们不要害怕。 ## 开篇第二问:**```爬虫```**能做什么嘞? 来来来,谈谈需求 **产品MM:** 1. 爱豆的新电影上架了,整体电影评价如何呢? 2. 暗恋的妹子最近又失恋了,如何在她发微博的时候第一...
爬虫AST混淆与还原JavaScript实战
inhsoft的博客
09-20 1336
3-6 Path对象详解(Path与Node的区别)-反爬虫AST混淆JavaScript与还原实战 时长:4分44秒。3-15 scope详解(scope的其他方法)-反爬虫AST混淆JavaScript与还原实战 时长:3分42秒。3-7 Path对象详解(Path中的方法)-反爬虫AST混淆JavaScript与还原实战 时长:19分6秒。3-13 scope详解(遍历作用域)-反爬虫AST混淆JavaScript与还原实战 时长:3分7秒。
JavaScript逆向爬虫实战分析
Liu_Bruce的博客
04-07 981
JavaScript的Hook操作,找到某个方法执行位置,快速定位逆向入口。
Python爬虫实战之xpath解析
热门推荐
阿浩的博客
08-01 4万+
XPath是一门在XML文档中查找信息的语言,最初是用来搜寻XML文档的,但是它同样适用于HTML文档的搜索。所以在Python爬虫中,我们经常使用xpath解析这种高效便捷的方式来提取信息。
python爬虫JS逆向——爬虫基础
qq_63043783的博客
05-29 1727
本文介绍了前端开发中的三大基础技术:HTML、CSS和JavaScript。其中,涵盖了HTML标签、CSS样式表、JavaScript基础语法、运算符、分支语句、循环语句、函数以及内置方法等内容,旨在帮助读者了解前端开发的基础知识,在将来服务于爬虫
WebSocket爬虫JS逆向实战
Fleehom的博客
10-18 8700
websocket协议与python爬虫js逆向的结合实战
21.网络爬虫js逆向详讲与实战
weixin_50804299的博客
05-05 1万+
📑 📑在这个大数据时代,我们眼睛所看到的百分之九十的数据都是通过页面呈现出现的,不论是PC端、网页端还是移动端,数据渲染还是基于html/h5+javascript进行的,而大多数的数据都是通过请求后台接口动态渲染的。而想成功的请求成功互联网上的开放/公开接口,必须知道它的URL、Headers、Params、Body等数据是如何生成的。📑 📑JavaScript逆向工程是指通过分析JavaScript代码和运行行为来理解程序的内部机制。这种技术可以用于破解JavaScript程序的加密和混淆,以及
Py爬虫js逆向实战:某案例
weixin_72543266的博客
04-19 1489
在渗透学习的过程中,我们在测试未收权访问中,包括我们进行fuzz,都是需要获取js文件中的接口,然后进行进一步利用的,当然说这么多的根本原因是,越来越发现网络安全是一个全栈的学习路线,需要学习各种各样的知识,来提高自己的挖掘和利用能力,于是有了今天的这篇文章.
python爬虫实战——DouYin
@zhujj_的博客
03-12 1万+
以登录状态(或者有cookies本地存储等状态)访问目标博主页面,滚动到作品最底部,然后在控制台中执行JavaScript脚本,获取全部作品的信息(在这里是作品链接以及作品类型),然后写出到文本文件中。上述的操作是在无登录状态下进行的,即使在webdriver中操作让页面滚动,也只能获取到有限的作品,大约是 20 项左右。然后在python中读入该文件,使用json解析,转成字典列表的形式,遍历列表,对每一个字典(就是每一个作品)进行处理即可。进入作品页前 判断作品是视频作品还是图文作品。
爬虫实战js爬虫资料文档
11-01
在这个"爬虫实战js爬虫资料文档"中,我们将探讨JavaScript爬虫技术中的应用,以及如何利用JavaScript进行网页数据的抓取。JavaScript爬虫是由于许多网站依赖JavaScript来动态加载内容而变得尤为重要,因为传统的...
python爬虫实战之澎湃新闻关键词爬取内容
04-24
在本篇内容中,我们将深入探讨如何利用Python进行网络爬虫实战,特别是在“澎湃新闻”网站上针对特定关键词“交通事故”进行新闻内容的抓取。首先,我们要了解的是Python中的两个关键库:`requests`和`BeautifulSoup...
WebSocket实战之——JavaScript例子
01-27
详细解读一个简单html5WebSocket的Js实例教程,附带完整的javascriptwebsocket实例源码,以及实例代码效果演示页面,并对本实例的核心代码进行了深入解读。从WebSocket通讯三个阶段(打开握手、数据传递、关闭握手)...
Python-Python3爬虫实战JS加解密逆向教程
08-10
本教程"Python-Python3爬虫实战JS加解密逆向教程"聚焦于如何处理JavaScript加密和混淆的数据,以便在爬虫过程中获取有效信息。这通常涉及到对前端JavaScript代码的理解、逆向工程以及加解密算法的应用。下面,我们将...
python爬虫实战练习手册.zip
12-30
《Python爬虫实战练习手册》是一本专注于Python网络爬虫技术的实践教程,旨在帮助读者深入理解并掌握Python爬虫的各个核心知识点。通过实际操作和案例解析,本书旨在提升读者在数据抓取、处理和分析方面的能力。下面...
Java爬虫实战训练源码
02-27
Java爬虫实战训练源码是学习和掌握网络数据抓取技术的一个重要实践资源。在这个训练中,我们将深入探讨Java语言如何被用来构建高效、稳定且功能强大的网络爬虫。Java作为一门面向对象的语言,提供了丰富的库和框架,...
艾伯特Python网络爬虫实战
06-12
《艾伯特Python网络爬虫实战》是一本深入探讨Python网络爬虫技术的书籍,旨在为读者提供全方位的网络爬虫学习体验。Python语言因其简洁明了的语法和丰富的库支持,成为网络爬虫开发的首选工具。这本书的作者胡松涛...
python3网络爬虫实战
06-20
实战部分,书中会通过多个实际案例来演示如何编写网络爬虫,例如抓取新闻网站的文章、爬取社交媒体的数据、甚至处理JavaScript渲染的页面。这些案例涵盖了从简单的静态网页抓取到复杂的动态内容抓取,让读者能够...
爬虫项目Spider-project 爬虫实战项目
最新发布
06-22
1-源码乱码\hex_md5.js (7339, 2023-02-05) 1-源码乱码\top-1.js (2474, 2023-02-05) 1-源码乱码\猿人学第一题.py (1264, 2023-02-05) 12-入门级js (0, 2023-02-05) 12-入门级js\猿人学第12题.py (1538, 2023-02-05)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值