【前端安全】js逆向之微信公众号登录密码

已于 2024-09-27 16:40:51 修改
阅读量372 收藏 7
点赞数 3
文章标签: 前端 javascript 开发语言
于 2024-09-27 16:37:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinjilll/article/details/142597145
版权

❤️博客主页 iknow181
🔥系列专栏 网络安全、 PythonJavaSEJavaWebCCNP
🎉欢迎大家点赞👍收藏⭐评论✍

在这里插入图片描述

随着发展,越来越多的登录页面添加了密码加密的措施,使得暴力破解变得不在简单,往往需要进行 js 逆向获得加密函数,才好进行下一步操作。

0x01 观察

使用谷歌浏览器打开网站

按下 f12 进入开发者模式

输入账号密码(随便输)

点击登录,先查看网络里面的载荷,发现数据包 pwd 参数的值,也就是我们输入的密码(12345)被加密了

加密后为:e10adc3949ba59abbe56e057f20f883e

先记下来,为之后完成逆向后进行验证。

0x02 寻找加密函数

进入载荷旁边的启动器,可以查看调用的 js 函数

找名字和登录有关的,可以一个一个的去看。

点进去后,对光标停留的地方打断点。

重新点击登录,进入调试,到断点所在位置

此时 pwd 还未被加密

发现下面有个 pwd 调用函数 p()

在控制台直接输入函数名称 p,回车可以显示函数的具体位置,点击进入

往上翻一翻,可以看到是个 md5 加密

可以点击前面的小箭头,将代码折叠起来方便复制

0x03 调试加密函数

复制到 WebStorm 中

在函数前面加上!,在函数最后加上()。将这个函数变成匿名函数,就可以直接调用使用了。

在开头定义一个方法名:var getStr

将内部原来的调用替换掉

运行,发现和之前的一样,逆向成功

在这里插入图片描述

iknow181
关注
微信公众号平台js逆向分析
内心不种满鲜花就会长满杂草
12-06 3444
目录 前言 一、 js逆向分析 逆向总结 前言 我们登录微信公众号平台,发现密码字段被加密了,接下来对其js加密进行分析,并寻找出js加密代码 地址:微信公众平台 浏览器:360极速 js调试工具 一、 js逆向分析 1. 查看密文形态 因为登录的数据一般都是发送的ajax请求,所以浏览器这里直接点击XHR。如下,输入密码123456点击登录。发现密码字段被加密了,密文是字母和数字组成的且为32位长,到这里就要想到,可能是md5加密!! 我们可到 ——>md5在线解密破解将密..
某信公众平台js逆向(2020.11.12)
weixin_46770425的博客
11-12 545
此篇文章仅供自己记录以及学习交流,切勿使用非法途径!否则后果自己承担! 首先我们查看加密请求 全局搜索pwd 很明显 只有一个js文件 进去ctrl+f搜索pwd 进去之后记得点击左下角的{}进行格式化代码 不难发现有20个关键字 那么我们进行向下查看,发现loginpost很明显这里是准备组建提交请求,那么就是已经加密了,那么我们左边点击行数进行下断点,(有的时候请求也会是ajax关键字异步请求也可以很快地断定),然后我们点击登陆 可以看见c是一个加密函数,后面的直接选择就可以看见是我们的明文密码
微信公众号uniappH5项目使用微信JS-SDK和腾讯地图获取并解析用户地理位置信息
weixin_73610394的博客
02-20 3699
微信公众号使用微信JS-SDK和腾讯地图获取用户地理位置
[调试逆向] chrome调试微信网页
chentiankong的专栏
01-20 1142
微信自带浏览器采用X5内核并且有一堆的限制 作为一个开发人员调试网页的时候分以下步骤:1.关注公众号2.在公众号中绑定微信开发者3.下载专用工具 <微信开发者工具> 现在在开发的时候使用deepin linux系统软件商店中的开发者工具还不是很完善有些bug 开发的时候很麻烦 所以我在网上找到了利用chrome调试微信网页的方法。。。 必备条件 1."梯子"(chrome插件自行查找) 2.chrome浏览器 3.手机+数据线 第一步: 开启usb调试 第二步:微信打开链接 http...
js逆向tips】- wxgz平台登录验证
留下虚度光阴的一些证据。
12-15 468
js逆向tips】-wxgz平台
微信公众号高质量技术贴-提炼总结
阿拉斯加大闸蟹的博客
07-22 8519
微信公众号高质量技术贴 过滤掉对自己感觉没有技术相关性的,或者是那种水贴 对内容进行归类整理 阅读完写下自己的读后感 LINUX 从无盘启动看 Linux 启动原理 “只读内存”(ROM)----“基本输入输出系统”(BIOS)----“硬件自检”(POST)----“启动顺序”(Boot Sequence) 上电自检----UEFI 固件被加载----加载 UEFI 应用----启动内核及 initramfs /sbin/init----/etc/inittab----etc/rcN.d Li
【爬虫逆向JS逆向破解某租车微信小程序
程序员成长指北
09-09 255
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群大家好,我是考拉????。作为前端工程师,想必大家都对网络请求的抓包和模拟请求都很熟悉,也有一些人基于这些抓包的信息去做了一些抢票工具之类的应用。最近看到了一篇很有趣的文章,作者是对某租车小程序的网络请求进行抓包分析,还逆向解析了参数加密方式,很精彩的一篇文章,推荐大家阅读。以下是正文:1、前序最近临...
2024年Web前端岗位BAT大厂面试题知识点小结,2024最全前端面试系列(浏览器原理,前端微信公众号开发
2401_83947434的博客
04-04 646
当我们对 DOM 的修改导致了样式的变化、却并未影响其几何属性(比如修改了颜色或背景色)时,浏览器不需重新计算元素的几何属性、直接为该元素绘制新的样式。
如何获取微信小程序前端js代码并且反编译美化
chen_zhangkonzhe的博客
04-21 2430
这次带领大家了安装新版本node.js配置,小程序逆向抓包,有喜欢的可以点个关注!我会持续更新质量更好的文,后面会持续更新新的文章。**声明:**本作者所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本作者不承担相应的后果。
uni-app开发规范:一键登录(univerify)、服务器调用云函数、微信授权登录
iOS逆向与安全
07-13 1065
vue现在是es6的写法,require引入外部的js模块(注意不是文件)或import css。另外,vue支持组件导入,可以更方便的封装一个包括界面、js、样式的库。 如需要全局导入vue组件,即每个页面都可以直接使用而不用引用和注册的话,在项目根目录下的main.js里处理。 传统vue组件,需要安装、引用、注册,三个步骤后才能使用组件。HBuilderX 2.5.5起支持easycom组件模式。easycom将其精简为一步。 只要组件。就可以不用引用、注册,直接在页面中使用。 如下: 1.2 组件/
JS逆向04之xhr断点webpack抠代码,图文并茂,导出加密函数。
西北一条虫的博客
09-04 723
说明: 本文只针对新手入门了解,高手绕道。 只做技术性研究,请勿用于非法渠道。 目标 https://www.gm99.com/ 前言 1、首先准备Chrome内核浏览器,我用的360极速版浏览器。 2、打开目标网址,按F12或者网页空白处右键审查元素(有的浏览器叫检查),打开开发者调试工具。 3、基础性不了解得看下之前简单得文字,这里不做过多描述。 正式开始 1、随意输入账号密码,点击登录,查看登录请求发现password:被加密。如下图: 2、懂一点前端应该可以看到这个用的jquery里面有个ajax
JS 逆向百例】吾爱破解2022春节解题领红包之番外篇 Web 中级题解
m0_67392811的博客
03-06 215
关注微信公众号:K哥爬虫,持续分享爬虫进阶、JS/安卓逆向等技术干货! 文章目录 逆向目标 HLS 流媒体传输协议 SAZ 分析 JS 逆向 TS 解密合并转换 逆向目标 本次逆向的目标来源于吾爱破解 2022 春节解题领红包之番外篇 Web 中级题,吾爱破解每年都会有派送红包活动(送吾爱币),需要大家使出看家逆向本领来分析内容获得口令红包,今年一共有五个题,一个送分题,两个 Windows 题、一个 Android 题和一个 Web 题,本文分析的正是 Web 题,吾爱有规定活动结束前..
JS逆向01之新手初体验,实战案例熟悉整个过程。
西北一条虫的博客
08-13 352
说明: 本文之针对新手入门了解,高手绕道。 只做技术性研究,请勿用于非法渠道。 目标 https://passport.fang.com/?backurl 前言 1、手写准备Chrome内核浏览器,我用的360极速版浏览器。 2、打开目标网址,按F12或者网页空白处右键审查元素(有的浏览器叫检查),打开开发者调试工具。 平时做爬虫应该都会,界面如下: (检讨位置打开全局搜索) 3、开始抓包实操,切换到网络(tab)清空所有记录,勾选log 4、登录界面随便输入账号密码点击登录抓包,找到请求登录
微信小程序 - 根据后端返回的唯一 ID / code,生成 “唯一“ 的推荐码、邀请码、订单号、加密路由、一串英文+数字长字符等 (支持反序列化原 ID 解码,逆向得出 ID 二者互转)wechat
王佳斌
09-08 2249
微信小程序Wechat - 公众号纯前端根据后端返回的唯一 ID / code,生成 "唯一" 的推荐码、邀请码、订单号、加密路由、一串英文+数字长字符优惠码 固定长度等 (支持反序列化原 ID 解码,逆向得出 ID 二者互转)id 生成唯一邀请码id生成唯一邀请码及解码转成idJS 根据id生成一串邀请码并逆向可得到id code uid,当您不想向用户公开数据库 ID 时使用它,不想把路由上的code展示出来有什么办法根据用户id生成一个唯一邀请码唯一加密字符串。UNIAPP uniapp最优秀的教程J
前端面试经验总结2(经典问题篇)
rita_0567的博客
09-28 699
因为计算机技术的快速发展,所以程序员如果不能保持对技术的持续性学习,会更容易的被淘汰,我从来不觉得程序员是一个轻松的职业,但是程序员是我最热爱的职业,我做好了充足的准备让自己能够长期在前端行业深耕。既要扩充自己的知识宽度,同时又不要一味的追求学习的东西越多越来,今天学两天这个,明天学两天那个,工作中又没有得到使用的话,很快也都会忘记的。了解,贵公司主要是在xxx行业从事xxx业务,贵公司所处的行业是我非常看好的,我感觉贵公司的氛围我很喜欢,比如xxxx。遇到了哪些挑战,我如何在不利的条件下成长起来的。
grpcweb 客户端请求grpc-java服务器
nddjava的专栏
09-24 415
1. 定义grpc proto文件:HelloWorld.proto。5.grpc-web代理:nginx。3. grpc-web js生成。2. java grpc服务。4. grpc-web代码。
DC00015基于java web校园网上购物系统
黄昏下的黎明的博客
09-24 688
DC00015【含配套文档】基于java web校园网上购物系统。
Open WebUI部署自己的大模型
最新发布
qq_52053775的博客
09-29 143
允许用户定义不同采样器的顺序,例如先应用 top_p 再调整 temperature,以更好地控制生成行为。
iOS逆向开发实战:自动添加微信好友
"iOS逆向开发之微信自动添加好友功能,通过iOS逆向技术实现微信的自动化操作,批量向微信群成员或附近的人发送好友申请。此技术涉及到微信的限制规则和可能的风险。" 在iOS逆向开发领域,针对特定应用如微信进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iknow181

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值