药监局尝试

已于 2024-02-21 14:23:40 修改
阅读量628 收藏 10
点赞数 6
文章标签: python
于 2023-12-12 13:46:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/da_yu_yan_jia/article/details/134947496
版权
文章揭示了一个JavaScript安全问题,涉及在xhr断点中发现的明文链接和参数,以及对sign加密的分析。作者指出了在axaj.js文件中的敏感操作,并提到如何在调试过程中获取外部链接和cookie信息。
摘要由CSDN通过智能技术生成

data/nmpadata/countNums
xhr断点

在调用堆栈的两个e.exports的上面_$变量名开始跳过函数调式
经过
module.exports = function isAxiosError(payload) {
return (typeof payload === ‘object’) && (payload.isAxiosError === true);
};
再跳过作用域里就有明文连接了
直到arguments有明文链接
“https://www.nmpa.gov.cn/datasearch/data/nmpadata/search?itemId=ff80808183cad75001840881f848179f&isSenior=N&searchValue=2023&pageNum=1&pageSize=10&timestamp=1702359526000”

js文件夹下axaj.js里有sign,md5.js是加密的,传入链接参数可获得sign

cookie,外链js不能格式化,cookie全都带着,事件监视器点击脚本然后运行调试,出来ts和content第三个出口来的是外链js

https://blog.csdn.net/xmx_000/article/details/131863788?spm=1001.2014.3001.5502

下面两个跳无限debugger
var _constructor = _constructor;
Function.prototype.constructor = function(s){
if (s == “debugger”){
console.log(s);
return null;
}
return _constructor
}

//eba265a6b23291c1408469afc3a8ceec

//https://www.zhangbj.com/p/586.html
Function = function () {}

详情页连接 xhr 断点datasearch/data/nmpadata
https://www.nmpa.gov.cn/datasearch/data/nmpadata/queryDetail?

在第二个e.export里看url和params

#acw_tc和NfBCSins2OywO获取不到,直接从网站上copy一对写死试试

self.cookies = {
“acw_tc”: ‘7b39759917043557940136003e1b550769b89b822647d8d4e896ea364ab95d’,
“NfBCSins2OywO”: ‘60ylaX2IFFCYMeCxltYr8fDNtI37KIXCEB5M5_zo5S5eM4JofV7uwvHOPfYFuI.cs2pjrV0shWdv1ZFVhvwTXV5q’,

        'url': _0x194f10,
        'method': _0x30b6f6[_0xdfc7('103', '#*La')],
        'headers': {
            'token': _0x37cd60,
            'timestamp': _0x20d400[_0xdfc7('104', 'rai(')],
            'sign': _0x30b6f6[_0xdfc7('105', 'OmpI')](jsonMD5ToStr, _0x2cd4d6)
        },
        'params': _0x20d400
    });
   
   搜索sign,在这个sign处断点也有url后缀,sign加密用的url后缀
da_yu_yan_jia
关注
药监局补环境通杀
qq_44902227的博客
05-20 309
可以发现是通过Function来执行的debugger,有人就会想,把Function进行hook不就 行了吗(换句话说就是置空)通过跟会陷入死循环,会循环调用这个_$db,慢慢是通过构造器来调用的,这里就不慢慢跟了。你会发现,明明已经永远在这里不停止了,但是为啥还是过不去,并且电脑直接卡爆了,简称。然后全部过调以后,你会发现没有了debugger,但是有个问题是,控制台一直在报错。利用本地替换,将堆栈中的debugger修改为null,或者其他也行。虽然都已经烂大街了,但是很菜的我还是想记录一下。
爬虫技巧----突破前端反调试(无限debugger)
热门推荐
qq_26712977的博客
08-10 1万+
爬虫技巧----突破前端反调试需求描述四种解决方法1.禁用浏览器断点2.利用中间人修改响应代码 需求描述 在采集某些网站时,目标网站为了防止别人分析调试前端代码,采取了反调试措施。其中一种做法是当你按F12进入浏览器控制台后,浏览器会自动命中debugger断点,并且无限循环,导致无法调试。以食品药品监督管理总局数据查询网站为例。如下图: 按F12进入控制台 四种解决方法 1.禁用浏览器断点 ...
药监局请求头headers sign python 还原
最新发布
08-30
药监局请求头有sign检测,扣完代码后,用python简单还原了一下,我测试的链接为https://www.nmpa.gov.cn/datasearch/search-result.html
瑞数5药监局js逆向
weixin_58584029的博客
07-14 9220
本次网址:www.nmpa.gov.cn这是最后一篇四代五代瑞数的文章了,环境的话拿维普期刊的环境跑,稍微改下就能用,不会补的话看四代房地产的文章。 药监局的cook有效期有一段时效,拿到第二个ts也就是6000多行vm生成的cook,可以一直使用;无线debufgger右键跳过加个for (let i = 1; i < 99999; i++) window.clearInterval(i);获取流程;从首页进来只需要获取ts生成的cook跟202页面返回的俩cook,然后点击药品查询,会进入到搜索页面,也
药监局瑞数分析采集
天才幻想家
04-06 1416
2023版药监局NMPA数据采集js逆向分析
JavaScript逆向的时候遇到无限debugger怎么办
muzico425的博客
06-20 3464
点击上方蓝字关注在开始之前先简单说几句。在群里的时候讨论关于JS逆向问题的时候,说到了debugger的问题,但是在遇到无限debugger的时候没什么思路,于是就请妄为...
生命密码:你的第一本基因科普书
GitChat
12-07 8763
内容简介 生命如此美妙,我们却知之甚少。芸芸众生蕴藏哪些造化之妙?基因组学、生命科学为何包含无穷魅力? 它有趣、有用,又有科学严谨的态度,用人人都看得懂的语言,轻松地解答那些古怪而让人忧心的问题,让基因不再是高深莫测的知识,让生命科学真的流行起来。 这里有十万个为什么,可又不只十万个回答,用有理、有据的科学知识,纠正我们原本以为正确的常识。 将与我们息息相关的基因科学知识娓娓道来,艾滋病、癌症、...
文书网全局Hook参数
weixin_46917978的博客
08-30 1133
文书网HifJzoc9参数        文书网反爬制作据网上所传是由知名安全公司-瑞数,我们不追求如何破解,为了提高Js水平,也有足够的理由欣赏一下大神们是如何出神入化的写Js的。。现在开始吧。        第一关,无限debugger。有人说这不算反爬,并且我们不追求破解。就用最简单的模式绕过即可。如图:     &nbs
卸妆·回归:“超级医保局时代“的医院信息化转型
weixin_38754419的博客
06-07 1497
常垒最近投了一个早期项目【京弘达】,面向医院和医保局,基于人工智能大数据技术以及行业的领先算法,提供智能化运营决策系统,解决医院和医保机构急需应对政策和业务的压力,填补了行业产品矩阵的空白...
ECommerceCrawlers包含了多种电商商品数据爬虫,整理收集爬虫练习 每个项目都是程员写的.rar
07-05
walle 让用户代码发布终于可以...包含:淘宝商品、微信公众号、大众点评、招聘网站、闲鱼、阿里任务、scrapy博客园、微博、百度贴吧、豆瓣电影、包图网、全景网、豆瓣音乐、某省药监局、搜狐新闻、机器学习文本采集、
httpclient调用京东万象数字营销频道新闻api实例
程序员-小枫的博客
08-14 1919
本人在使用httpclient做练习的时候,偶然发现京东万象上有一个免费的频道新闻调用api,故尝试之,因为官网文档只给出的java代码都是封装后的,所以我自己写了一遍,又写了一些注释。分享代码,供大家参考。 下面是具体的调用代码: 1publicvoidtestDemo()throwsJSONException,UnsupportedOperationException,IOException{ 2Stringurl="https://way.jd.com/j...
药监局国产非特备案数据的一些采集思路
sinat_17622297的博客
06-03 2656
前言 最近公司相关业务变动,需要采集药监的一些数据。在经过一段的时间的摸索后,顺利完成了需求。在这里,我会简单的分享个人在采集过程中的一些思考,如果能帮到大家就非常好了。 采集需求 采集地址:http://ftba.nmpa.gov.cn:8181/ftban/fw.jsp 采集数据项:非特备案产品的所有数据(列表&详情数据) 采集数量:? 采集分析 首先我们打开网址:http://ftba.nmpa.gov.cn:8181/ftban/fw.jsp 对数据进行分析 f12打开chrome调试控制
爬虫f12跳转和debugger检测
da_yu_yan_jia的博客
04-15 438
在空白页面的控制台运行解决重定向再复制url到网页。//构造方法无限debugger。
瑞数5.0中国银河证券
04-23 6646
js逆向之补环境过瑞数5.0某银河证券,你还在拿某药监局做案例?该换换了.瑞数动态安全 Botgate(机器人防火墙)以“动态安全”技术为核心,通过动态封装、动态验证、动态混淆、动态令牌等技术对服务器网页底层代码持续动态变换,增加服务器行为的“不可预测性”,实现了从用户端到服务器端的全方位“主动防护”,为各类 Web、HTML5 提供强大的安全保护。1.一个meta标签,其content内容很长且是动态的(每次请求会变化),会在eval执行第二层JS代码时使用到;2.一个script标签。
模块化中module.exports对于路由和中间件模块的导出挂载误区(TypeError:app.use() requires a middleware function)
weixin_44145962的博客
10-09 1655
module.exports常规的挂载方式 这样可以将js模块文件中特定的数据和方法向外导出 但是当在导出路由模块和中间件时,却出现了如下报错 根据它提示的问题路径,我找到了导致报错的地方,原因是在express模块文件中,存在一个语句,它标明app.use()这个设置全局中间件的方法中不能导入一个中间件文件。 解决办法 改写一下挂载方式,不使用点语法,而是直接写module.exports = 函数名,这样就能让服务器正常运行了 总结:对于此问题,只是找到了解决的方法,但是app.use()这个设
axios拦截器/koa中间件/express中间件/redux中间件的原理
Wopelo的博客
03-29 856
1.前言 最近在看redux相关的东西,发现redux也有中间件一说。之前接触的express、koa也有中间件的概念,而axios中也有拦截器这种相似的机制,那就正好梳理下这些概念的原理。 阅读本篇文章之前,读者应该对axios、koa、express、redux有所了解。 2.axios拦截器 2.1 注册 const axios = require('axios') axios.interceptors.request.use((config) => { console.log('请求拦截
Vue中使用axios 解决跨域问题:
rb0518的博客
02-14 3287
Vue中使用axios 解决跨域问题 首先安装axios 比如你想请求http://www.13124.com/aa/movie这是一个会产生跨域的接口 脚手架4 vue cli4 在Vue 项目中创建一个vue.config.js module.exports = { devServer: { open: true, host: "0.0.0.0", port: 3000, hotOnly: false, proxy: { '/api': { targ..
Axios源码研究学习系列---xhr请求模块大概分析
wujimiao的专栏
03-22 913
改变是人生的定律,专注于过去和现在的人,必将错过未来 首先文件结构,插件标准模式,严格模式,用ES6语法promise返回,所以就是常见的axios.get(url).then(res=>{})形式 'use strict'; var utils = require('./../utils'); var settle = require('./../core/settle'); v...
安卓逆向,Frida国家药品监督管理局apk数据抓取,采集逆向,签名
爬虫小能手,安卓逆向,欢迎砸单
07-09 2119
app:zgyjj 参考数据连接:app版本,http://app1.nmpa.gov.cn/data_nmpa/face3/dir.html?type=yp 签名:tzRgz52a 包名:com.hxzk.android.hxzksyjg_xj 狗头保命 def getArg(type): """ 获取类型,需要python传参 :param type: :return: """ if type == 1: e = {
药监局 selenium
09-29
药监局 selenium 是通过使用selenium库来获取药监管理局网站数据的方法之一。通过使用selenium库,可以模拟浏览器行为,实现自动化网页操作,从而获取所需的数据。在使用selenium进行数据获取时,通常需要先配置相应...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值