【爬虫JS逆向-工具篇】浏览器内存漫游加密参数Hook实战教程

已于 2024-03-16 23:58:23 修改
阅读量3.3k 收藏 94
点赞数 93
分类专栏: 爬虫JS逆向 文章标签: javascript python 抓包工具 Hook
于 2024-02-21 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiulin_wu/article/details/136069801
版权

文章目录

【🏠作者主页】:吴秋霖
【💼作者介绍】:擅长爬虫与JS加密逆向分析!Python领域优质创作者、CSDN博客专家、阿里云博客专家、华为云享专家。一路走来长期坚守并致力于Python与爬虫领域研究与开发工作!
【🌟作者推荐】:对爬虫领域以及JS逆向分析感兴趣的朋友可以关注《爬虫JS逆向实战》《深耕爬虫领域》
未来作者会持续更新所用到、学到、看到的技术知识!包括但不限于:各类验证码突防、爬虫APP与JS逆向分析、RPA自动化、分布式爬虫、Python领域等相关文章

1. 写在前面

  相信很多爬虫工程师在进行Web端JS逆向的时候,面对加密参数无从下手,不知道如何进行定位与分析。本期作者将介绍一款针对Web端逆向Hook定位加密的辅助工具给大家!内存漫游确实听起来有些虚高大上、实则就是检索浏览器内存数据…

以下是该工具功能与原理的部分描述:

    • 访问目标网站时设置浏览器走自定义的代理服务器,这个代理服务器要支持能够使用代码处理请求,这里选择是anyproxy
    • 在代理服务器这里,对请
了解本专栏 订阅专栏 解锁全文
吴秋霖
关注
  • 93
    点赞
  • 94
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 25
    评论
专栏目录
订阅专栏
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
Web Spider Ast-Hook 浏览器内存漫游 - 数据检索
EXIxiaozhou的博客
02-25 2081
Web Spider Ast-Hook 浏览器内存漫游 - 数据检索
爬虫逆向笔记:AST-HOOK 内存漫游(ast-hook-for-js-re 安装测试)
qq_49268524的博客
03-22 737
2、第二个报错处 3、第三个报错处 4、安装完成所有依赖模块后,就可以正常运行了
浏览器内存漫游查验js加密代码
weixin_43639743的博客
04-19 395
js逆向根据浏览器内存查验加密代码
ast-hook-for-js-RE:浏览器内存漫游解决方案(探索中...)
03-07
浏览器内存漫游解决方案(JS逆向) 一,什么鬼标题?到底是个啥鬼? 简单的说,这是一个浏览器端的内存漫游解决方案,可以通过此工具你可以随意检索浏览器内存中的数据(标题党警告一次),默认看到这个项目的人都是会点逆向的,所以可以简单理解为这是一个是浏览器版本的异议,此处的浏览器特指Chrome浏览器,实际上在写代码的时候我也并没有考虑兼容的其他浏览器。:) 二,功能列表 本项目刚刚立项,内存漫游功能并非特别完善(其实只有一个功能...),目前已开发的功能: 变量级抓包监控,根据加密参数秒秒钟定位到加密逻辑的代码位置(追随加密逻辑代码位置的通杀方案) 计划开发的功能: 指定切入点,基于AST分析依赖实现简单的自动扣代码(暂未发布,还在预测编码中,最终形态可能会有所变动,当然也很有可能会放鸽子...) 基础的定位功能的兼容性一直在搞咋也搞不完,上面那条就当我吹牛笔了... 目前TODO v0.3功
FRIDA进阶:内存漫游hook anywhere、抓包
a6713827的专栏
10-21 964
本章中我们进一步介绍,大家在学习和工作中使用Frida的实际场景,比如动态查看安卓应用程序在当前内存中的状态,比如指哪儿就能hook哪儿,比如脱壳,还有使用Frida来自动化获取参数、返回值等数据,主动调用API获取签名结果sign等工作实际高频场景,最后介绍一些经常遇到的高频问题解决思路,希望可以切实地帮助到读者。
ast-hook-for-js-RE 浏览器内存漫游
逆向新手的博客
08-29 3448
浏览Github中发现的一个好项目项目github地址:https://github.com/CC11001100/ast-hook-for-js-RE。一个非常好的项目,大家可以多给作者star支持一下。Github需要科学上网,所以在这里克隆了一下仓库到国内。
爬虫】 Vscode无环境联调和Ast-Hook内存漫游
爱吃辣椒的锅包肉
12-25 943
【代码】【爬虫】 Vscode无环境联调和Ast-Hook内存漫游
js逆向——内存漫游工具
wegvsdv的博客
05-24 1016
工具通过代理,对网页的js代码进行劫持,然后篡改代码,并通过注入的hook逻辑,捕获所有变量的改变。最终实现, 可以==通过变量的值来反向查找到所属的变量==。是的主要是在逆向的时候找加密和解密的位置
Ajax-hook:拦截由XMLHttpRequest发出的浏览器的AJAX请求-js源码
08-11
在源网页加载之前,实现一个XMLHttpRequest的代理对象,然后覆盖全局的XMLHttpRequest,这样一但上层调用 new XMLHttpRequest这样的代码时,其实创建的是Ajax-hook的代理对象实例
Pythonjs实现逆向加密参数破解.zip
06-27
部分网站的 url 构成中含有加密参数,这些参数加密方法写在了 JavaScript 中,而 js 通常经过了压缩,混淆和加密;本项目通过 AJAX 断点,hook 方法先寻找到加密入口,其次通过 playwright 将加密方法挂载到 ...
ast-hook 内存漫游
09-10
使用内存漫游可以大幅度减轻逆向难度
安装nodejs实现ast-hook-for-js-RE内存漫游
sen_sir12138的博客
07-10 436
----------tips:如果设置好模块的安装路径后,使用npm install xx模块发现失败了,可以到你安装node的文件夹右键,打开属性--安全--勾选全部权限确定即可!5,安装完成后,按照视频来启动anyproxy安装证书,给浏览器设置代理,启动anyproxy服务即可实现hook操作。4,在解压后的ast-hook-for-js-RE-master文件夹下,点击上方地址栏 输入cmd,打开cmd界面,2,nodejs环境安装没问题后,cmd界面下输入命令。
hooker内存漫游查看对象内部属性数据
郭钟的专栏
04-27 591
最近,有粉丝问我hooker如何获取对象内部属性数据。 无论是a、b、c命令扫描出来的对象,还是你hook脚本hook方法对应的所属对象都有办法获取内部属性数据。 关键条件:ObjectId!!!大家一定要搞到你要窥视这个对象的ObjectId。 a、b、c命令扫描出来的对象获取内部属性 abc命令扫描的对象,都会自动生成ObjectId。以a命令扫描Activity为例 hook脚本对应的对象 hook脚本默认不会给你ObjectId,这时候你要手动把对象放入ObjectStore当中。 hook构造
Frida 进阶:脱壳、自动化、objection 内存漫游hook anywhere、Wallbreaker插件、抓包、fridaUiTools
热门推荐
freeking101的博客
10-17 1万+
Frida 进阶:脱壳、自动化、objection 内存漫游hook anywhere、Wallbreaker插件、抓包、fridaUiTools
python爬虫js逆向 js逆向参数定位方法 逆向参数定位超详细 第二期
m0_46631208的博客
09-17 956
前言:大家心心念念的内存漫游来了,内存漫游可以轻松定位,随意检索浏览器内存中的数据。爸爸妈妈再也不用担心你找不到定位了,哪里不会搜哪里,真是Easy。但是也还是存在定不到的情况。 一:罗列 全局搜索, xhr断点, dom断点, 堆栈调试, Hook内存漫游 二:介绍 6.内存漫游前提:需要node环境,需要node环境,需要node环境(1)安装:A:需要去github下载工具。 大佬写的...
js hook 改进
大数据安全技术学习
09-26 514
js批量hook 参考hook 我们可以更改上次的脚本,用来遍历所有的函数来找出其中是否有以加密命名的函数,来尝试找到js中的加密函数,参考自http://bbs.nightteam.cn/thread-210.htm 我们用它的代码测试一下,我们自己的网站 (function() { 'use strict'; !function () { 'use strict'; var source = ['alert','decodeData','String.fr
JS加密/解密之HOOK实战2
mxd01848的博客
12-08 851
上一文章介绍了HOOK常规的应用场景,这我们讲一下HOOK其他原生函数。又是一个新的其他思路很多时候,当我们想要某些网站的请求参数的时候,因为某些加密导致了获取起来很复杂。这时候hook就十分方便了。
Ruoyi-Vue-Plus 下载启动后菜单无法点击展开,
最新发布
06-07 266
1.框架下载后运行2.使用mock数据3.进入页面后无法点击菜单本以为是动态路由或者菜单逻辑出了问题,最后发现是websocket的问题。
android手机app hook逆向工具
05-15
Android手机app hook逆向工具是一种可以在安卓系统中对各种应用程序进行逆向分析的工具。这些工具通过将目标应用程序的代码注入并修改,使得攻击者可以获取应用程序隐私数据、修改应用程序功能、以及绕开应用程序限制等。 市面上常见的android手机app hook逆向工具有Frida、Xposed、Substrate、Cydia等。 这些工具都可以通过代码注入的方式来实现hook。其中Frida是最为流行的逆向分析工具之一,可以很方便地实现基于JavaScripthook,用于调试和探测应用程序的功能,支持多种操作系统和多种架构。 Xposed则是一个广受欢迎的模块化框架,可以便捷地在安卓系统上进行各种模块开发。Xposed在安卓平台上通过修改系统运行环境,实现了各种系统级别的操作。Substrate也是一种在低级别注入进行代码修改的hook框架,常用于逆向iOS应用程序。Cydia则是一个基于iOS越狱环境的安全工具平台,提供了可定制的安全工具以及类似于应用商店的功能,用户可以轻松实现iOS设备的越狱和各种修改。 然而,这些工具的存在也容易被恶意黑客利用,遭受攻击的应用程序或系统版本尤其容易被入侵。因此,在使用这些工具前,用户应该知道工具的基本操作方法和安全使用方式,并且遵守相关法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 25
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吴秋霖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值