Python爬虫之Js逆向案例(9)-某名科技之webpack

已于 2022-10-21 11:58:56 修改
阅读量1.8k 收藏 23
点赞数 5
分类专栏: python爬虫、js逆向 文章标签: webpack javascript 爬虫
于 2022-08-23 23:01:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li11_/article/details/126493510
版权
声明:企名科技加密逆向分析仅用于研究和学习,如有侵权,可联系删除

大家好,在上一节我们通过知乎的x-zst-81进行熟悉了webpack的加密方案,如果没有看过的这里是链接:《Python爬虫之Js逆向案例(8)-知hu最新x-zst-81之webpack》,在文章中我们认识了webpack打包后的产物、如何扣代码,不过知乎的大包后的文件非常的庞大,对新手来说,扣代码可能有些难度,为了更透彻的讲解webpack打包逆向,今天打算选用一个简单的案例继续练习webpack逆向,这节可能是的最后一节有关webpack的案例了,所以希望童鞋们在练习的时候能完全掌握!!!

为了照顾刚入门童鞋,文章每一步的分析过程尽可能的详细(有经验的同学可以选择感兴趣的地方快速浏览)

下面会进行以下几步进行分析(下方演示过程全部使用chrome浏览器);

  1. 定位加密字段;
  2. webpack代码;
  3. 使用加载器加载加密模块;
  4. 结果演示;

一.定位加密字段

跟以往的加密似乎不太一样,在请求头和参数里,没有找到任何看起来像加密的字段,如下图:
在这里插入图片描述

这里加密的是接口返回的内容,如下图:

在这里插入图片描述

还是用之前总结过的方法,先搜索可能的字段看看,于是过程如下图:

在这里插入图片描述

如果你是从我分享的第一篇文章开始看的话,此时你应该具备一眼识别哪个地方可能是加密、解密的表达式!如果还没看多之前文章的童鞋,建议抽空到我主页去看一下,之前文章中的高能总结里都有写过技巧的!这里就不重复了。

11164行的地方打上断点,然后鼠标选中该行,悬浮框中果然出现了解密内容,说明这里正是我们要找的解密位置,如下图:
在这里插入图片描述

二.扣webpack代码

我们先来看一下第11164行这段代码:

t.encrypt_data && (t.data = Object(d.a)(t.encrypt_data))

翻译一下就是:当t.encrypt_data有值的时候,执行&&后面这些东西。t.encrypt_data是后端返回的原加密字符串,经过Object(d.a)()执行之后,就变成了明文,哪说明d.a就是一个解密函数,我们鼠标选中d.a,悬浮框里出现的是一个names的函数,如下图:

在这里插入图片描述

我们点击链接,进入具体位置,跳转到11463行,如下图:

在这里插入图片描述

我们把s函数拷贝出来,放到一个js文件中,开始缺啥补啥,

// 解密函数
function s (e) {
  return JSON.parse(o("5e5062e82f15fe4ca9d24bc5", a.a.decode(e), 0, 0, "012345677890123", 1))
}

从代码上看出,明显缺少一个o函数,还有a.a,我们往上找,发现这些都在紧接着上面就是了,整体还是一个webpack的模块,于是我们把,o函数也扣出来,放到s函数的上方吧,如下图:

在这里插入图片描述

目前,我们还缺a,如果能把a弄出来我们就都搞定了,怎么扣a呢?o函数的上方,我们找到了a,它是由几个东西生成的,如下图:

在这里插入图片描述

此时,要想拿到a,就必须知道i,得到n,再拿到a,我们鼠标选中a,点击对应文件链接,如下图:

在这里插入图片描述

进入后发现一个熟悉的东西,如下图:

在这里插入图片描述

如果你看过上一篇《案例8》的文章,根据上一篇总结的内容,此时你一眼就能看出来这是啥了吧!没错,它就是webpack的模块加载器,好家伙,既然你是模块加载器,根据上一篇总结的经验,那必须先把你完完整整扣出来,代码如下图(行数多,我折叠了):

在这里插入图片描述

老规矩,我们新建一个全局变量,用于存放加载器,如下图:
在这里插入图片描述在这里插入图片描述

此时,我们看一下,11372行的代码,意思就是加载一个aqBw的模块,得到n,然后在得到了a,这个时候我们全局搜一下出现’aqBw’的地方,
在这里插入图片描述
很快,我们就找到了出现的地方,我们把它抠出来
在这里插入图片描述

既然它是模块,我们把它放在wepack自制行函数的参数里,如下图:

在这里插入图片描述
此时运行的话,会报错,因为这个模块还依赖了其它模块,如下图:
在这里插入图片描述
我们继续全局搜索,这俩个模块,把它们也放到webpack自执行函数的如参里,此时允许,发现不在报错,完美,说明我们需要扣的代码目前基本就这么多。

三.使用加载器加载加密模块

把11373、11373行代码改写一下,
在这里插入图片描述
改写后:
在这里插入图片描述

这样我们就拿到了a

最后的s函数我们就全部完成了,

const n = get_token("aqBw");
const a = get_token.n(n);
// 解密函数
function s (e) {
  return JSON.parse(o("5e5062e82f15fe4ca9d24bc5", a.a.decode(e), 0, 0, "012345677890123", 1))
}


const result = s(encrypt_data)
console.log(result);

四.结果展示

传入加密数据,试一下,成功拿到解密数据,如下图:

在这里插入图片描述

webpack逆向技能也是学习逆向时的必备技能请务必掌握!!!本案例操作时有疑问,可留言、私信,或者去星球提问一对一指导!

后期会持续分享爬虫案例-100例,不想自己造轮子的同学可加入我的知识星球,有更多技巧、案例注意事项、案例坑点终结、答疑提问特权等你哦!!!

欢迎加入「python、爬虫、逆向Club」知识星球

玛卡`三少
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JS逆向Webpack(一)
Wxc的Blog
03-09 5997
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
Python爬虫JS逆向webpack 打包站点原理与实战
01-07
Python爬虫JS逆向webpack 打包站点原理与实战
python爬虫案例 js逆向案例
最新发布
06-28
python爬虫案例 python爬虫练习案例,汇总一些简单的js逆向案例,看准网,网易云评论、房天下,粉笔网,企名片,天翼云,巨潮资讯,tokencap,新榜资讯,公共资源交易,欧科云链,得物等 使用方法: 克隆本项目至本地 git clone git@github.com:liyf-code/reverse_practice.git 准备 python 运行环境(version: 3.9.1) cd reverse_practice pip3 install -r requirements.txt 准备 nodejs 运行环境(version: 14.17.3) cd reverse_practice npm install
JS逆向】之webpack实战(越挫越勇)
weixin_44504978的博客
05-10 2572
​声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 前言:在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码。webpack自吐所有方法和webpack精减代码法。把这两个方法结合起来使用。 流程: 1.抓取参数 定位参数位置 分析参数的加密流程 扣出代码,运行 优化webpack代码 目标网址: aHR0cHM6Ly93d3cuZmRjMzg4OC5jb20= 1.我这里写的是XZ的JM逆向部分 ,就是他提交的data参数。 2.定位参数,这里如果直接搜索d
浏览器webpack半自动扣取代码
qq_42826222的博客
06-13 425
这种方式扣取的函数太多会扣取到我们不需要的函数我们查看两种方式所加载的函数的个数对比加载的函数还需要进一步处理,toString里面的函数都进行了转义,如何不进行转义呢?我们加载的函数进行加载到加载器里面,进行调用即可首次写帖,有什么改进的地方望提出建议。
JS逆向 webpack解密
lmttlw的博客
11-18 3649
JS webpack解密 ,这个网站很坑,那个验证字段搜不到,XHR断点也断不到,就很奇怪,不过竟然我敢写这篇文章,就代表我是过了的。
JS逆向Webpack自吐
qq_15326513的博客
07-15 2754
在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码。webpack自吐所有方法和webpack精减代码法。把这两个方法结合起来使用。一、Webpack是什么??webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块.概念:webpackJavaScript 应用程序的模块打包器,可以把开发中的所有资源(图片、js文件、css文件等)都看成模块,通过loader(加载器)和plugins(插件)对资源进行处理,打包成符合生产环境部署的前端资源。
js逆向——webpack扣法
sin_0119的博客
03-19 4487
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
JS逆向实战19——通杀webpack逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-30 2674
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 aHR0cHM6Ly9mb2dhbmctbS5pdG91Y2h0di5jbi9tZWRpYURldGFpbC8zODc1Nw== aHR0cHM6Ly93d3cuZ205OS5jb20v webpack是什么?...
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 2260
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
web-webpack-plugin:替代html-webpack-plugin
02-03
web-webpack-plugin 想全面学习Webpack?试试它: 不错替代品,可以使webpack将HTML用作条目并处理多页。 安装 npm i web-webpack-plugin --save-dev const { WebPlugin , AutoWebPlugin } = require ( 'web-...
monaco-editor-esm-webpack-plugin
05-30
monaco-editor-esm-webpack-plugin 它依赖于 。 如果你想复制一个带有本地化的 monaco 编辑器,你可以看到 用于 monaco 编辑器的 webpack 插件,用于编译工作程序并处理本地化。 安装 npm install monaco-editor-...
html-webpack-externals-plugin:与html-webpack-plugin一起使用以使用预先打包的供应商捆绑包的Webpack插件
02-06
您可能会遇到问题,并且最近的Webpack项目尚未使用它。 与一起使用以使用预先打包的供应商捆绑包。 这个怎么运作 这个插件非常简单,只是封装了另外两个Webpack插件来完成繁重的工作。 它: 在运行时修改Webpack...
JS逆向|webpack的各种解法,最后一种简直是王炸。
热门推荐
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
05-11 1万+
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.概念‍webpack 是一个用于现代 JavaScript 应用程序的 静态模块打包工具。当 webpack 处理应用程序时,它会在内部从一个或多个入口点构建一个 依赖图(dependency graph),然后将你项目中所需的每一个模块组合成一个...
一篇带你肝完Python逆向为什么要学webpack,学完之后到底又该怎么用?
五包辣条的博客
07-05 2142
之前讲了很多关于基础方面的内容,从本章开始辣条我会开始慢慢开始跟大家解析一些进阶知识以及案例
这13个webpack插件,让你的项目起飞
专注于图像领域,主要研究内容包括计算机视觉和深度学习,特别是在图像分类、目标检测和图像生成等方面有深入的研究和实践经验。
10-09 1万+
前言 相信大家在使用webpack的时候,总是不知道如何下手,对于不同的场景,总是找不到合适的webpack的插件,本系列按照github的star数量排序,整理了很多插件,建议收藏,以后用得到! 本文先介绍部分高star插件,后面会持续更新。 top1:Webpack Bundle Analyzer ⭐14.4K 地址 使用交互式可缩放树图可视化 webpack 输出文件的大小。 top2:HTML Webpack Plugin ⭐11.3k 地址 简化创建 HTML 文件以服务于您的包的插件 top3:
爬虫从入门到精通(13) | 了解webpack
不愿意透露姓名的网友
08-20 1456
Webpack 是一个前端资源加载/打包工具。它将根据模块的依赖关系进行静态分析,然后将这些模块按照指定的规则生成对应的静态资源。
js逆向webpack
weixin_46468720的博客
10-19 1410
webpack遇到其它站的代码,扣加载器的时候,例如下图,除了function n(t){}这个函数,其它代码都删掉,判断标准是它带call或者apply。然后简化下加载器,对照着上面webpack最简单的样子,简化。案例:例如定位到的方法在一个webpackjs文件中。1、找到加载器(加载模块的方法)扣代码会遇到的基本2种形式。然后把他的模块加载器扣下来。3、构造一个自执行方法。
python爬虫js逆向案例
07-27
嗨!对于爬虫中的 JavaScript 逆向案例,我可以给你提供一个简单的示例。请注意,这个示例只是为了帮助你理解逆向过程,真实的应用中可能涉及法律和伦理问题,请合法使用爬虫技术。 假设我们要爬取一个网站上的某个页面数据,但是该页面通过 JavaScript 动态生成。我们可以通过分析网页的 JavaScript 代码来逆向工程,获取所需数据。 首先,打开 Chrome 浏览器并进入开发者工具(按 F12 键或右键点击页面并选择“检查”)。然后切换到“网络”选项卡。 接下来,在浏览器地址栏中输入目标网页的 URL 并按下回车,浏览器将开始加载页面。在网络选项卡中,你将看到所有请求和响应的列表。 查找其中一个请求,该请求可能包含我们所需的数据。点击该请求并查看其请求头、响应头和响应体。 在响应体中,你可能会看到一些 JavaScript 代码,这些代码负责生成页面上的内容。你可以仔细阅读该代码,并找到生成目标数据的部分。 如果你发现目标数据是通过 Ajax 请求获取的,你可以查看该 Ajax 请求的 URL 和参数,然后使用 Python 的 requests 库或其他适当的方法模拟该请求,并解析响应获取数据。 如果你发现目标数据是在 JavaScript 代码中直接生成的,你可以尝试分析代码逻辑并编写相应的 Python 代码来模拟该过程。这可能涉及到使用 JavaScript 解释器或库来执行 JavaScript 代码。 需要注意的是,JavaScript 逆向工程是一项复杂的任务,需要对 JavaScript 和网络协议有一定的理解。同时,网站所有者可能会采取一些反爬虫措施来阻止你的行为,所以请务必遵守法律法规和网站的使用规则。 希望这个示例能够帮助你入门 JavaScript 逆向工程。如果你有任何其他问题,欢迎继续提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玛卡`三少

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值