js逆向实战

已于 2023-12-19 10:12:04 修改
阅读量2.4k 收藏 13
点赞数 1
分类专栏: 逆向分析 文章标签: js逆向
于 2022-04-22 15:56:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65244586/article/details/124347429
版权

前言

当我们在做渗透测试时候,有时候经常会遇到登录位置进行了加密,通过普通的md5解密等是没办法解密的,开发者为了保护传输数据不被窃取,通常会自定义一些加密算法进行加密传输,如下:

访问系统http://ycsjyh.duobashuzi.com:8889/toLogin
(ps:由于也不是特别敏感,单纯为了记录,这里未对目标进行打码)

发现用户名和密码都进行了加密,通过普通的base64解码是无法解码的

在这里插入图片描述

js逆向分析

需要定位到加密函数,打断点

Crtl+Shift+F定位到加密函数encrypt

在这里插入图片描述

搜索CryptoJS,定位到aes.js文件(直接在本地执行encrypt函数,会提示缺少CryptoJS)

在这里插入图片描述

将aes.js代码加载到js调试工具,然后再添加调用函数,调试执行没问题

在这里插入图片描述

同加密函数结果一致

在这里插入图片描述

在这里插入图片描述

BurpCrypto

借助一下burpSuite的插件BurpCrypto进行爆破,地址https://github.com/whwlsfb/BurpCrypto

参考https://mp.weixin.qq.com/s/gqB5pHS1t3L8mtyqOQBZBA

先在burpSuite添加一下插件

在这里插入图片描述

将前面js工具里的js内容复制到Exec Js

在这里插入图片描述

添加即可

然后爆破模块里加载该加密规则即可

在这里插入图片描述

爆破即可,当爆破出密码时候,可以找到对应的明文

在这里插入图片描述

明明如月001
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS 逆向百例】如何跟栈调试?某 e 网通 AES 加密分析
K哥爬虫
09-27 1107
关注微信公众号:K哥爬虫,QQ交流群:808574309,持续分享爬虫进阶、JS/安卓逆向等技术干货! 声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 逆向目标 目标:某 e 网通登录接口 主页:aHR0cHM6Ly93ZWIuZXd0MzYwLmNvbS9yZWdpc3Rlci8jL2xvZ2lu 接口:aHR0cHM6Ly9nYXRld2F5LmV3dDM2MC5jb20..
21.网络爬虫—js逆向详讲与实战
weixin_50804299的博客
05-05 1万+
📑 📑在这个大数据时代,我们眼睛所看到的百分之九十的数据都是通过页面呈现出现的,不论是PC端、网页端还是移动端,数据渲染还是基于html/h5+javascript进行的,而大多数的数据都是通过请求后台接口动态渲染的。而想成功的请求成功互联网上的开放/公开接口,必须知道它的URL、Headers、Params、Body等数据是如何生成的。📑 📑JavaScript逆向工程是指通过分析JavaScript代码和运行行为来理解程序的内部机制。这种技术可以用于破解JavaScript程序的加密和混淆,以及
点点数据 js逆向(超详细)
最新发布
frast_的博客
05-17 1598
天几天出了一个js逆向环境搭建的博文,因为涉及到pycharm专业版破解,审核不通过,敏感部分全部删掉了,官方给出的说法是涉及到大厂软件破解😀😀😀今天肝一个点点数据js逆向,后续网页结构可能更新,本博文只提供思路参考。
JS逆向、破解、反混淆、反浏览器指纹——JS补环境框架
YeJinYang的博客
05-23 1万+
JS补环境框架,过浏览器指纹,重写webrtc
JS逆向技巧汇总---给普通爬虫学习者的吐血建议
weixin_45387160的博客
02-01 2650
JS逆向技巧汇总
简单的js逆向教程
学习python
02-26 1万+
其实做web端的爬虫,最常见到的就是js逆向方面的问题,既是重点也是难点,所以加强这方面的学习才是提升我们业务技能的重要突破点。接下来讲一下两个小实例,看一下基础的js逆向的破解(浅层篇)。 第一种加密情况: ①分析请求: 先打开目标网站---》打开控制台---》切换至XHR 然后刷新一下就会看到下面的情况 这里要解决的有两个: 返回的密文 请求中的token 接下来定位加密位...
个人总结 - JS逆向解析
热门推荐
老鹰的博客
08-13 2万+
目前加密的方式总结有下面几点: 对称加密(加密解密密钥相同):DES、DES3、AES 非对称加密(分公钥私钥):RSA 信息摘要算法/签名算法:MD5、HMAC、SHA 前端实际使用中MD5、AES、RSA,自定义加密函数使用频率是最高的 几种加密方式配合次序:采用非对称加密算法管理对称算法的密钥,然后用对称加密算法加密数据,用签名算法生成非对称加密...
js逆向实战之sign解密
12-21
js逆向实战之sign解密 在前端开发中,sign解密是一个常见的需求,特别是在处理与后端服务器的交互时。今天,我们将深入探讨js逆向实战之sign解密,并详细介绍相关知识点。 什么是sign解密 sign解密是指在客户端...
js 逆向实战之webpack 改写
01-12
JS 逆向实战是指对 JavaScript 代码逆向工程,目的是为了理解和掌握 JavaScript 代码的实现原理和机制。 Webpack 基础 Webpack 是一个流行的 JavaScript 模块加载器和打包工具,旨在简化 JavaScript 应用的开发...
js逆向实战之跟栈调试
01-08
JS 逆向实战之跟栈调试 在 JavaScript 逆向实战中,跟栈调试是一种非常重要的技术,能够帮助开发者和安全研究员更好地了解 JavaScript 代码的执行过程和数据流向。下面我们将详细介绍如何使用跟栈调试技术来分析和...
js逆向实战之DOM事件断点调试
01-06
JS 逆向实战之 DOM 事件断点调试 在 JavaScript 逆向领域中,DOM 事件断点调试是一种非常重要的技术手段。通过这种技术,我们可以对目标网页的DOM事件进行断点调试,从而获取更多关于事件触发和处理的信息。在本文...
js Abba逆向前瞻正则匹配实例
10-20
主要介绍了js Abba逆向前瞻正则匹配实例,主要是使用正则表达式的零宽断言进行判断,需要的朋友可以参考下
js逆向实战之某麻将数据逆向
12-31
js逆向实战之某麻将数据逆向 在本篇文章中,我们将通过实际案例来演示 JavaScript 逆向技术在某麻将游戏数据逆向中的应用。 知识点1:JavaScript 逆向技术 JavaScript 逆向技术是指通过对 JavaScript 代码的分析...
7天JS逆向实战讲解教程-视频教程网盘链接提取码下载 .txt
03-03
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下。 ...
js 逆向实战之SM2+SM4
01-16
js 逆向实战之SM2+SM4 是一篇关于 JavaScript 逆向工程实战的文章,主要介绍了 SM2 和 SM4 国产加密算法的实现和应用。下面是相关知识点的总结: 1. JavaScript 逆向工程:文章首先介绍了 JavaScript 逆向工程的...
js 逆向实战之复杂的登录过程
01-07
JS 逆向实战之复杂的登录过程 本文将对 JS 逆向实战之复杂的登录过程进行详细的分析和讲解,通过对给定文件的分析,我们可以了解到整个登录过程的每一个步骤,并了解到 JS 逆向实战的技术要点。 一、预登陆(Pre-...
JS算法逆向实战
一个孤独漫步者的遐想的博客
11-11 1534
JS算法逆向实战抓包调试扣取JS方法一方法二方法三方法四 抓包 url:https://www.##.com/ 登录:##:123456 调试 搜索:password、userid md5原生包含的值:123456789、abcdef、1732584193、271733879、1732584194… 1、搜索password 2、点进去然后代码格式化,再做查找 注意:赋值可能出现的形式: ##.password=# password=#(代码没有格式化删除空格,格式化后的代码需要加空格) ##=
js逆向之常见的压缩和混淆
Deng872347348的博客
10-15 1016
js逆向之常见的压缩和混淆
JS逆向实战8——某网实战
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-21 539
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
爬虫js逆向 学习资源
06-08
学习爬虫js逆向需要了解JavaScript的基础知识和一些网络协议的基础知识,以下是一些学习资源供您参考: 1. 《JavaScript高级程序设计(第3版)》 作者:Nicholas C. Zakas,这是一本比较全面的JavaScript经典书籍,可以帮助您掌握JavaScript的基础知识。 2. 《Web前端黑客技术揭秘》 作者:郭霖,这本书主要介绍了一些前端黑客常用的技术和方法,对于爬虫js逆向的学习有很大的帮助。 3. 《Node.js实战(第2版)》 作者:Marc Harter,这本书主要介绍了Node.js的基础知识和一些实战应用,对于了解js逆向的一些工具和技术有很大的帮助。 4. 一些相关的网站和社区,例如GitHub、Stack Overflow、知乎等,都可以帮助您了解一些js逆向的技术和工具,以及其他开发者的经验和分享。 总之,学习爬虫js逆向需要不断学习和实践,希望以上资源对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值