js逆向实战2

已于 2023-12-19 10:13:06 修改
阅读量346 收藏 1
点赞数
分类专栏: 逆向分析 文章标签: js逆向
于 2022-11-06 14:00:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65244586/article/details/127714742
版权

前言

在实战中做的一个js逆向案例,和前面一篇有雷同之处,不过也有些不一样,这里主要记录下不一样的地方

目标地址https://file.sztbhz.com/

输入用户名密码

admin/123456
在这里插入图片描述

发现进行了加密,初步判断是进行了自定义的加密

过程分析

查看源码,尝试找到加密函数

在这里插入图片描述

找到加密函数,同样提取出来,在js调试工具进行调试

在这里插入图片描述

没有问题,在使用burp插件爆破时候出现了问题

在这里插入图片描述

调用

在这里插入图片描述

爆破

发现加密结果和使用js工具加密结果不一致

在这里插入图片描述

分析应该还是脚本的问题,源码脚本里面有个147的key值,但是这里没有调用

把147加上

在这里插入图片描述

本次发现没有加密,更不对了

在这里插入图片描述

最后想到需要一个参数,把Encry函数里面的key值去掉,下面直接引用就行了

如下:

在这里插入图片描述

完美实现

在这里插入图片描述

总结

对于不同的情况需要特殊分析,特别是提取自定义函数时候,把所需要调用的函数全部附上去,确保调试正确

明明如月001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
爬虫学习-Scrape Center闯关(spa系列1-3)
鸣蜩十四的博客
11-06 2558
场景 上次写了ssr系列,它主要依靠服务器渲染代码,并且没有什么困难的地方,主要学习的是request请求中的技巧和html页面元素的定位抓取等爬虫基础技巧。这次记录的是spa系列,这个系列的代码数据都通过Ajax加载,页面动态渲染,主要学习的是通过接口获取json数据并处理以及js逆向分析,难度提升了一大截,这个系列我的目标是爬取首页每个电影的标题,主题,评分以及电影详情页里面的电影剧情 技术 json数据的处理,js逆向分析 关卡 spa1 电影数据网站,无爬,数据通过 Ajax 加载,页面动态渲染
JS逆向教程第一发
weixin_46784800的博客
06-30 1343
以企名科技这个网站为例,初步介绍JS逆向的基本操作,适合爬虫新手初步接触js逆向时进行阅读,初步接触JS逆向,并不是很熟悉逆向操作的,可以以本文为参考,初步入门
js逆向技巧(二)
bs_101的博客
11-10 620
抓包断点方式总结 方式一 全局搜索 searches --》 password 、userid 等关键字搜索 方式二 XHR断点调试 常见的一些加密方式 取盐校验 不可逆 可暴力破解 ''' md5 md2 md4 md5 16进制 16位的 32位的 40位的 常见的 以明文密码123456为例 16位: 49ba59abbe56e057 32位: e10adc3949ba59abbe56e057f20f883e (记住) sha1 sha256 sha51
简单方便的 JavaScript 逆向辅助模拟方法
静觅
05-21 1405
这是「进击的Coder」的第 419篇技术分享作者:崔庆才来源:崔庆才丨静觅“ 阅读本文大概需要 3 分钟。 ”在 JavaScript 逆向过程中,我们可能找到了一些入口,但是深入追踪...
Js逆向练习制造Token与Id
恒Keep毅
02-11 1245
前言: 闲来无聊,把《Pyhton3网络爬虫开发实战(第二版)》看完了Js逆向部分。 最后的实战部分感觉挺有挑战性的,正好崔佬也有详细的教程。 平时的逆向都是野路子,刚好快回学校了有时间。 那为什么不自己动手下呢?下面记录下过程,只会更加详细。 观察页面: 废话不多说,直接上靶场:https://spa6.scrape.center 我们的目标是:1.拿到列表页的请求Ajax的Token加密 2. 详情页的Id加密与Token 查看网页源码可以看到:很强烈的Vue打包出来的样子,即使用的使用SPA页面
js逆向实战
orange777
04-22 2457
前言 当我们在做渗透测试时候,有时候经常会遇到登录位置进行了加密,通过普通的md5解码等是没办法解密的,开发者为了保护传输数据不被窃取,通常会自定义一些加密算法进行加密传输,如下: 访问系统http://ycsjyh.duobashuzi.com:8889/toLogin 发现用户名和密码都进行了加密,通过普通的base64解码是无法解码的 js逆向分析 需要定位到加密函数,打断点 Crtl+Shift+F定位到加密函数encrypt 搜索CryptoJS,定位到aes.js文件(直接在本地执行encr
js逆向实战之sign解密
12-21
js逆向实战之sign解密 在前端开发中,sign解密是一个常见的需求,特别是在处理与后端服务器的交互时。今天,我们将深入探讨js逆向实战之sign解密,并详细介绍相关知识点。 什么是sign解密 sign解密是指在客户端...
js 逆向实战之SM2+SM4
最新发布
01-16
js 逆向实战之SM2+SM4 是一篇关于 JavaScript 逆向工程实战的文章,主要介绍了 SM2 和 SM4 国产加密算法的实现和应用。下面是相关知识点的总结: 1. JavaScript 逆向工程:文章首先介绍了 JavaScript 逆向工程的...
js 逆向实战之webpack 改写
01-12
JS 逆向实战是指对 JavaScript 代码的逆向工程,目的是为了理解和掌握 JavaScript 代码的实现原理和机制。 Webpack 基础 Webpack 是一个流行的 JavaScript 模块加载器和打包工具,旨在简化 JavaScript 应用的开发...
7天JS逆向实战讲解教程-视频教程网盘链接提取码下载 .txt
03-03
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下。 ...
js逆向实战之跟栈调试
01-08
JS 逆向实战之跟栈调试 在 JavaScript 逆向实战中,跟栈调试是一种非常重要的技术,能够帮助开发者和安全研究员更好地了解 JavaScript 代码的执行过程和数据流向。下面我们将详细介绍如何使用跟栈调试技术来分析和...
js逆向 锦江wehotel登陆参数black_box破解
qq_29570381的博客
11-11 921
目标 锦江wehotel 破解 全局搜索black_box参数,找到疑似加密的地方打上断点,重新点击登陆,停到断点处 右上角调试,进入到加密文件 抠取js代码,稍作修改 function black_box() { var o0OQQo = "length"; var QQOQ00 = "charCodeAt"; var O00O0o = "fromCharCo...
逆向基础】JS逆向入门:小白也可以看懂
liaozp88的博客
06-04 8636
出于对数据安全的考虑,现代化的网站/APP通常会对数据接口做加密处理。而分析这些接口的加密算法并实现模拟调用的过程就叫做「逆向」。逆向对于爬虫工程师来说是一个永远绕不开的话题,也逐渐成为各企业招聘时,JD 中的一个必备技能要求。本文就以某在线翻译网站接口加密参数分析为案例,分享一下网页爬虫的逆向原理、分析思路和分析过程。本文通过一个案例分享了爬虫逆向的原理和思路,由于案例比较简单,仅通过在网页 JS 资源文件里直接搜索关键词就能找到对应的加密算法。
JavaScript 逆向爬虫中的浏览器调试常见技巧
静觅
03-21 2730
这是「进击的Coder」的第 592篇技术分享作者:崔庆才“注:本文来自《Python3网络爬虫开发实战(第二版)》一书。”现在越来越多的网站也已经应用了这些技术对其数据接口进行了保护,...
如何快速在web前端js中找到加密函数
anan的博客
12-02 9149
寻找js加密方法
js加密参数定位
安卓世界库
07-23 995
当我们抓取网页端数据时,经常被加密参数、加密数据所困扰,如何快速定位这些加解密函数,尤为重要。本片文章是我逆向js时一些技巧的总结,如有遗漏,欢迎补充。所需环境Chrome浏览器。
今日某条js逆向_signature,快速定位加密位置
专注于php高级知识分享
01-02 1717
某条_signature js逆向,下面是逆向流程 首先打开浏览器设置,清除浏览器缓存数据,或者使用无痕模式,打开调试从新请求某条,抓一次完整数据包 下滑触发流加载数据接口(下滑两次对比发送请求参数) 图1:第一次加载 图2:第二次加载 发现变化的只有下面两个参数:max_behot_time,_signature # max_behot_time(上次流加载返回最后一条数据里behot_time时间) _signature 签名分析 直接搜索参数关键词 找到加密位置打上断点调试,下拉加载就能发
js常用的加密/解密方法
热门推荐
magua3hao的博客
09-08 2万+
谈到加密,大多数人应用场景都在于后端接口的加密签名校验。这种一般都用于服务端与服务端之间的相互调用,避免第三方使用你的接口做违法违规的事情,这种加密校验比较安全,因为没有暴露在外的代码。
js逆向之加密参数的定位方法
Deng872347348的博客
10-14 1741
js逆向之加密参数的定位方法
JS逆向实战教程:7天掌握视频链接提取
在这个7天的JS逆向实战讲解教程中,你将深入了解到JavaScript逆向工程的核心概念和技术。JavaScript逆向工程是网络爬虫领域中的一个重要分支,它主要针对那些使用JavaScript进行动态加载和数据加密的网页。由于很多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值