js逆向 空气质量检测平台

已于 2022-09-10 16:51:24 修改
阅读量605 收藏 1
点赞数
分类专栏: js逆向 文章标签: javascript
于 2022-09-10 16:49:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53227339/article/details/126797566
版权

js逆向 空气质量检测平台

郑重声明

  • 郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。

反调试绕过

  • url:https://www.aqistudy.cn/?mobile=false

打开网页我们会发现,F12和鼠标右键被禁用
在这里插入图片描述

可以使用快捷键 ctrl+shift+i 打开 开发者工具,然后刷新页面,遇到一个debugger,
在这里插入图片描述

可以右键一律不在此暂停绕过(因为网站加了定时器,所以过会儿依旧会触发debugger,所以此方法不推荐)在这里插入图片描述
也可以使用hook的方式绕过,配合油猴插件使用效果更佳

var constructor_ = Function.prototype.constructor;
Function.prototype.constructor = function() {
    if (arguments[0] === 'debugger') {
        return function(){};
    }
    return constructor_;
}

然后页面中又会出现

在这里插入图片描述

使用油猴插件 hook document.write,重新刷新页面

document.write = function(){debugger}

断住断点后,跟栈到关键位置
在这里插入图片描述

很明显检测了页面宽高(当我们调试时,页面宽或高会变小),可以使用hook 绕过

window.innerWidth = window.outerWidth
window.innerHeight = window.outerHeight-103

数据获取

通过切换城市抓包定位数据接口在这里插入图片描述

url:https://www.aqistudy.cn/apinew/aqistudyapi.php

请求方式:post

请求体:

// 请求体的 key 和 value都是动态的
hyawtBzZH: RYFiq7knZeVjlDKe+zGYq5HCboI1mbARyfrqlKX8LxCvwsMg9YimTUr......

响应:

// 响应数据是加密的需要解密
hb33N7/1iPde39w1FP/8BJcG9G1apkj9W0s0jjC9iOqYGQZbjgw0Xde13mAOoc5n......

针对这个接口打一个xhr断点,跟栈调试,找到这个VM开头的文件(VM开头的文件都是通过eval加载的), 这个文件提供了大量的加解密函数,依赖于标准的AES、DES、MD5、base64,经过多次调试,发现这个文件中的函数名,变量名,加解密所用的变量名,变量值,以及加密流程都是动态的。
在这里插入图片描述

1位置是请求体加密函数,参数1是固定的,参数2是所选城市对象,2位置是响应体解密函数

  • 逆向VM文件的加载过程,得到动态的VM文件,保存为code字符串。
  • 分析加解密函数,使用python代码本地还原加解密函数。
  • 使用正则提取加解密依赖的变量值。
  • 对code做判断,获取其加密流程。
  • 调用加密函数传入城市,获取加密后的val。
  • 使用正则在code中匹配出请求体key,使用key和val构造请求体data。
  • 携带data向apinew/aqistudyapi.php接口发送post请求,获取响应。
  • 调用解密函数,传入响应体,得到解密数据。

参考博客

Faded`
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
aqistudy真气网JS逆向 + 数据采集(20220801)
zhu6201976的博客
08-02 2357
最新 aqistudy真气网JS逆向 + 数据采集(20220802)原创首发,欢迎交流讨论!
空气质量在线检测平台 js 逆向)(aqistudy
热门推荐
qq_43704986的博客
03-31 1万+
# **空气质量在线检测平台 js 逆向 全新版本学习内容: (多了提个eval()加密)https://www.aqistudy.cn/apinew/aqistudyapi.php:** 学习内容: **空气质量在线检测平台js逆向** 该站点很适合提升,难度中。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210331131135630.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,
JS逆向-空气质量检测-无限debugger
梅干菜扣肉的博客
02-26 180
JS逆向系列】某空气质量监测平台无限 debugger 与 python算法还原
zjq592767809的博客
02-28 2227
JS逆向系列】某空气质量监测平台无限 debugger 与 python算法还原1.前置阅读2.过反调试3.js分析4.代码逻辑改写 1.前置阅读 样品地址:aHR0cHM6Ly93d3cuYXFpc3R1ZHkuY24v 本篇文章可能会省略某些过程,直接使用下面文章的结果,所以建议先阅读下面的文章。本篇文章也有与其他不一样的处理方法,以及单纯使用python来还原数据的加密和解密。 1.某空气质量监测平台无限 debugger 以及数据动态加密分析 2.Python 爬虫进阶必备 - 以 aqistud
aqi空气学习网-反调试
飞得更高肥尾沙鼠
08-07 2800
反调试、无限debugger,如何绕过js反调试
【2021-09-07】JS逆向空气质量历史数据查询
骑毛驴的猴的博客
09-07 9774
文章仅供学习使用,请勿用于非法活动 文章目录前言一、页面分析二、数据获取三、总结 前言 目标网站:aHR0cHM6Ly93d3cuYXFpc3R1ZHkuY24vaGlzdG9yeWRhdGEvZGF5ZGF0YS5waHA/Y2l0eT0lRTYlOUQlQUQlRTUlQjclOUUmbW9udGg9MjAyMTA5 反爬类型:反调试,动态js,数据加密 一、页面分析 打开网页后,f12调用开发者工具,弹出提示框 解决办法:点这玩意设置里直接打开开发者工具,或者新开一个网页,f12再进链接 然
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向学习时,首先需要通过反混淆技术将混淆...
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
javascript逆向 js混淆 乱码增强 js逆向学习
03-08
学习 JavaScript 逆向工程和混淆技术旨在加强对代码安全性的认识和保护。了解如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过学习逆向工程,可以更好地理解代码运行原理,...
JS逆向练习题100题
10-25
练完这100题,随便找个月入1W工作不闹着玩?
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
js逆向入门网站分析(某空气质量监测平台
zz
01-04 1143
文章目录前言一、瞧一瞧网站是啥样呢二、新的开始,新的挑战 前言 又要到放假的时间啦,学习了好一段时间的js逆向,想起之前远哥提到的一个js逆向入门的网站,就准备实践一下啦。 一、瞧一瞧网站是啥样呢 网址:aHR0cHM6Ly93d3cuYXFpc3R1ZHkuY24v 进入网址哈,还挺可以的哎。 但是,很奇怪的事情就突然发生了哎,它变了。 当我们准备打开控制台准备看看呢,就直接进入了一个VM下的断点呢。 好吧,那就需要过掉这个检测呢。通过对堆栈的查看,我们点击最开始那个,随便下个断点,..
空气质量监测平台(经典反调试)
m0_65303862的博客
12-29 510
空气质量监测平台(经典反调试)
【python爬虫】js逆向空气质量在线平台,解决反调试,加密
im_xiaodu的博客
08-04 1612
空气质量在线爬取,涉及无限debugger,AES,DES,MD5加密
日常使用——利用油猴脚本将数据所需要的数据输出的控制台
jin690734932的博客
07-19 8414
最近由于碰到需要从网页上扒下来不少数据表的内容,由于网站上有了相应的数据保护,无法直接从网页上复制,通过F12调出查看网页上的表格结构,发现数据卸载 titile属性里面,又设置的是只读。 因此想到利用油猴写个简单的脚本将数据输出到控制台 安装脚本后,进入添加脚本页面 @name是可选的。 @namespace是可选的。 @description 是可选的。 @include 是可...
js逆向案例-空气质量
十一姐的博客
08-11 1270
JavaScript加密逻辑分析与Python模拟执行实现数据爬取 1、参考文章讲解 https://cuiqingcai.com/5024.html#comments 2、分析js流程步骤 (1)网站数据接口通信已被加密:页面数据是通过 Ajax 加载的,数据接口地址是:https://www.aqistudy.cn/apinew/aqistudyapi.php,是一个 POST 形式访...
获取空气质量指数(AQI)跟天气信息
Mexican的博客
02-12 3013
 获取空气质量指数(AQI)和天气信息 天气数据可以直接从国家气象局的天气预报信息接口获得,参考:http://blog.csdn.net/hello_haozi/article/details/7564223 AQI数据我发现三个地方数据比较全: 1. 环保部数据中心http://datacenter.mep.gov.cn/,但是这个网站有时候打不开,而且是silverlight做的
JS中一个dom元素能绑定多少事件
最新发布
ggq53219的博客
06-10 577
JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
广东省公共资源交易平台js逆向
01-13
广东省公共资源交易平台是一个...总的来说,广东省公共资源交易平台js逆向能够帮助用户更好地理解和利用平台提供的功能和服务,但在进行相关操作时,应当遵守法律法规和平台规定,不得违反相关规定以免引发法律风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值