Chrome开发工具与js加密

最新推荐文章于 2024-07-20 23:54:17 发布
最新推荐文章于 2024-07-20 23:54:17 发布
阅读量939 收藏 1
点赞数
分类专栏: java 文章标签: javascript chrome 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57713054/article/details/128070624
版权

Chrome开发工具与js加密

chrome开发者工具

  • Network

    观察当前数据流的请求情况

    • Search按钮进行关键词的一些搜索
    • Filter按钮进行当前请求的过滤, 屏蔽不必要的请求
    • Preserve log保存当前所有请求日志, 如果不勾选, 刷新页面会丢失历史日志
    • Disable cache关闭浏览器缓存

  • Source

    • debugger console

      • Resume

        恢复

      • Step over

        直接执行当前函数

      • Step into

        进入当前函数

      • Step out

        跳出当前函数

      • Step

        直接进入下一个局部函数内部, 比较少用

      • Deactive breakpoint

        禁止debugger模式下的所有断点

      • Pause on exceptions

        在所有抛出异常点的位置暂停, 比较少用

  • Watch

    监控变量值的变化

  • Breakpoints

    断点

  • Scope

    作用域

    • Global

      全局变量

    • Local

      局部变量

    • Closure

      闭包(自由变量)

  • Call Stack

    调用栈, 用来了解当前结果产生所经历的函数调用过程.

    我们在Call Stack上跳转函数的时候, 可以看到堆栈环境, 但是当前堆栈环境不一定准确.

  • XHR/fetch Breakpoints

    监听请求中的关键字, 在请求发送前暂停

  • DOM Breakpoints

    监听DOM的变化

  • Global Listeners

    全局监听器

  • Event Listeners Breakpoints

    事件监听器

    • Mouse
    • Keyboard

分析流程

  • 分析要抓取的数据来自哪个请求
    • 尽量使用Fiddler, Charles抓包工具, chrome开发者工具也可以, 但是分析起来没有抓包工具方便
  • 观察请求的组成
    • headers尽量拼全, 之后再逐步减少不必要的字段

还原被混淆的变量名

  • eval

    eval可以将字符串转换为可执行语句

    eval('n("0x155", "uYFB")')

  • 通过正则还远混淆的代码

    const n = require('./anti_confuse.js').n

restoreJs =  function(jsContent){
    // 使用正则表达式匹配所有混淆函数
    let matchArray = jsContent.match(/n\("[^\"]+", "[^\"]+"\)/g)
    for(let i=0; i<matchArray.length; i++){
        let tmp = matchArray[i]
        try{
            while (jsContent.indexOf(tmp) !== -1){
            	// 注意最后需要添加单引号表示字符串
                jsContent = jsContent.replace(tmp, "\"" + eval(tmp) + "\"")
            }
        }catch (e){
          console.log(e);
          console.log(tmp)
        }
    }
    return jsContent
}

JS模块的导入和导出

  • 导出模块exports

    module.exports = {
    n: d
}

  • 导入模块require

    const anti_confuse = require('./anti_confuse.js');
const n = anti_confuse.n

JS文件的写入和写出

  • 导入文件处理模块

    const file = require("fs");

  • 文件读取

    readFileSync返回的是二进制数组, 需要调用toString来转变为字符串

    let jsContent = file.readFileSync("./react_pdd_20210513.js").toString();

  • 文件写入

    let newJsContent = restoreJs(jsContent)
file.writeFile(
    "react_pdd_20210513.restore.js",  // 文件名
    newJsContent,                     // 写入内容
    {encoding: "utf-8", flag: "w"},   // 参数
    function (e){
        if (e){
            console.log("文件写入失败")
        }else{
            console.log("文件写入成功")
        }
    }
)

  • 三元运算符

    true?console.log("true"): console.log("false")

加密流程

我们定位到了加密函数, 调用后产生了加密结果anti_content, 接下来就是要找齐加密所需要的参数和加密的具体函数

  • 将多个参数加密成多个小数组, 最终合并为大数组

    a = (t = [])[K].apply(t, [s[o](), Wt[o](), pt[o](), mt[o](), vt[o](), bt[o](), gt[o](), kt[o](), _t[o](), yt[o](), wt[o]()].concat(function(t) {
                                    if (Array.isArray(t)) {
                                        for (var n = 0, e = Array(t.length); n < t.length; n++)
                                            e[n] = t[n];
                                        return e
                                    }
                                    return Array.from(t)
                                }(Ct[o]()), [St[o](), Ot[o](), Rt[o](), Pt[o](), jt[o](), Dt[o]()]));

  • 生成了大数组a的长度为16的二进制信息u

    for (var u = a[E][g](2)[p](""), f = 0; r["ZIIDs"](u[E], 16); f += 1)
	u[r["XjWuA"]]("0");
u = u[x]("");

  • 通过u生成了W参数列表中的l

    l[H](et[k](u[O](0, 8), 2), et[k](u[O](8, 16), 2))

  • 合并了al

    a = [][K]([3], [1, 0, 0], l, a);

  • 压缩了大数组a

    h = i['deflate'](a)

  • hUint8Array中的元素值转变为String, 产生了W

    W = [][b]["call"](h, (function(t) {
                                        return String[S](t)
                                    }
                                ));

  • W通过encode函数加密Wtt后的结果和定值0ap相加生成了anti_content

    r["yrFVy"](r["ZRscj"], c[r["wSNTe"]](r["yrFVy"](W[x](""), tt[x]("")), c["budget"]))
    • tt是验证函数dtAt是否被修改的字段.
等~~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端项目代码加密教程
infotw的博客
06-25 2822
序   我们都知道,浏览器上是可以看到前端的html和js代码的,所以如果遇到隐私心比较强的老板,你就冷不丁的会接受到一个代码加密的需求,当接受到这个需求的时候你怎么完成?那我希望我的这篇博客可以帮助到你。 首先,告诉你的老板,严格意义上的加密是不存在的,能够实现的只有对前端代码进行压缩混淆,增加阅读难度。 本篇教程全篇描述的,就是对代码进行混淆的手段,从而满足老板提出的加密需求。 为了保证本篇教...
单页面应用引入使用百度地图的坑
m0_63853518的博客
10-14 1531
菜鸟总结,有缺陷希望提意见指导,谢谢各位大神
JS逆向加密——Chrome开发工具详解
含笑
12-15 1075
Chrome开发工具面板 面板上包含了Elements面板、Console面板、Sources面板、Network面板、 Timeline面板、Profiles面板、Application面板、Security面板、Audits面板这些功能面板。 这些按钮的功能点如下: Elements (元素): 查找网页源代码HTML中的任一元素,手动修改任一元素的属性和样式且能实时在浏览器里面得到反馈。 Console (控制台): 记录开发开发过程中的日志信息,且...
Chrome开发工具(F12)分析前端加密(AES)实战
weixin_43853965的博客
07-07 6568
背景: 平时在渗透测试过程中,经常会遇到前端提交的数据是经过加密的,用burp等工具截断后无法解密,不能进行fuzz或者爆破测试(不严谨,爆破好像也算FUZZ,能看懂就行了,大佬勿笑)。今天就带来一个实战案例,用谷歌浏览器分析(逆向)前端加密过程。以便编写脚本模拟加密进行相关测试任务。如下: 登录操作–burp抓包: 分析: 1、查找绑定事件: 既然是点“登录”后前端(JS)将加密数据发送到了后端,那么这个加密行为一定是绑定在“登录”按钮的“点击事件”上的。使用元素选择器选择“登录”按钮,查找出“登录”
chrome 控制台 base64加密解密
九师兄
10-12 4376
1.视界 2. 背景 因为在客户机器,要查询base64的解密信息,但是因为内网无法使用网络,只能拷贝软件本想查询插件,后来发现谷歌支持解密 3.方法 在chrome控制台上可以直接使用函数做base64加密解密。 用法: 加密:btoa(‘{“orderId”:1030766771}’) 解密:atob(‘eyJvcmRlcklkIjoxMDMwNzY2NzcxfQ==’); 示例: ...
前端JavaScript代码混淆加密原理介绍
u011465309的博客
04-26 1489
因为JavaScript大都是运行在浏览器端,这就导致任何人都可以直接对网站的代码进行查看,如果代码没有进行任何处理就会导致直接暴露源码,他人便可轻而易举的复制你的劳动成果,但是由于没有纯粹的加密方案,所以能做的就是让代码变得更加的难以阅读,他人难以复制你的成果,实现“加密”的目的。 在本文中,将为你介绍一些最常见的js代码混淆手段,希望可以帮你更好的理解什么是js代码混淆。
开发工具箱 | 谷歌(Chrome)浏览器插件
03-03
工具 高效开发 Chrome插件 【插件安装教程】 请下载文件后先解压,然后进入页面: chrome://extensions/ 将文件拖拽到该页面,完成安装。 具体步骤: https://t.csdnimg.cn/NxMv 【热门插件】 ·CSDN 浏览器...
chrome开发工具箱插件
04-21
二维码生成,网页抓取,MD5加密(16位、32位),UrlEncode/UrlDecode,Base64Encode/Base64Decode,CSS/JS/Html代码美化、压缩,人民币大小写转换,简体繁体转换,ASCII码转换,颜色选择器,EsCape/UnEscape,8、10...
程序开发常用工具chrome扩展
01-27
程序开发常用工具使用过程中的任何问题或者需要新的工具欢迎提交Issue,新工具如果可以提供实现代码就完美了O(∩_∩)O安装方法1: 在 安装方法2: 手动安装 方法3: 安装方法和方法2一致方法3 不定期维护 仅供网络环境...
chrome/edge实用工具
04-16
6. **开发工具**:如Chrome DevTools,内置在浏览器中,为开发者提供了调试、性能分析等功能;或是Postman,用于API测试和开发。 7. **书签管理**:像是Raindrop.io,可以帮助用户组织和查找收藏的网页。 8. **...
浏览器扩展:立即在Chrome或Firefox中记录加密的笔记
01-31
Dnote浏览器扩展 该存储库已移至 。
Electron跨平台桌面应用开发工具-其他
06-11
Electron是一个跨平台的桌面应用开发工具,支持Web技术开发桌面应用,其本身是基于C++开发的,GUI核心来自于Chrome,而JavaScript引擎使用v8。 v13.1.0发行说明 特征 在Electron Fuse后面添加了实验性 cookie 加密...
Next.js静态导出与动态路由优化
最新发布
天涯学馆
07-20 702
Next.js 是一个流行的 React 框架,它简化了构建服务端渲染(SSR)和静态站点生成(SSG)的应用。静态导出是Next.js的一项强大特性,它允许你将整个应用程序导出为静态文件,从而在无服务器环境下运行,提高加载速度和降低服务器成本。动态路由则允许你根据数据生成页面,即使在静态导出的情况下也能保持灵活性。
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
OpenTiny的博客
07-17 1053
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
基于SpringBoot+Vue的游戏分享网站(带1w+文档)
神聪程序
07-20 363
本系统主要包括管理员和用户两个角色组成;主要包括首页、个人中心、用户管理、游戏类型管理、游戏文章管理、交流论坛、系统管理等功能的管理系统。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 526
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。
高职软件技术实训室
whwzzc的博客
07-17 852
当前,软件行业正处于高速发展阶段,对人才的需求呈现出多元化、高精尖的特点。平台基于k8s实现公有云、混合云、私有云多种部署方式,提供在线html、css、js、jquery、vue等前端开发环境,实现真正的云开发,开箱即用,主要模块有课程制作工具、作业、活动、云盘、共享课、我的课、云优选课。平台基于k8s实现公有云、混合云、私有云多种部署方式,提供在线java、python等后台语言,实现真正的云开发,开箱即用,主要模块有课程制作工具、作业、活动、云盘、共享课、我的课、云优选课。
JavaScript 常见数学用法
2302_77250325的博客
07-17 385
与其他全局对象不同,Math对象没有构造函数。方法和属性是静态的。返回角 x(以弧度计)的正弦(介于 -1 与 1 之间的值)。返回角 x(以弧度计)的余弦(介于 -1 与 1 之间的值)。可以在不首先创建Math对象的情况下使用所有方法和属性(常量)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值