JS逆向:猿人学爬虫比赛第十四题详细题解(上)

最新推荐文章于 2024-06-05 22:05:04 发布
最新推荐文章于 2024-06-05 22:05:04 发布
阅读量3.2k 收藏 19
点赞数 4
文章标签: 接口 https js http javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq523176585/article/details/109913384
版权

实战地址

http://match.yuanrenxue.com/match/14

抓包分析

地址栏输入 地址,按下F12并回车,发现数据在这里:

没有加密参数,看看cookie字段:

有三个加密的字段,看上一个接口:

http://match.yuanrenxue.com/api/match/14/m

cookie请求是这样的:

带着 mz这个cookie,去请求上面的接口,会返回 sessionid 这个cookie字段。而接口返回的是一段混淆的JavaScript代码:

使用星球里的解混淆脚本还原一番,没看到有什么价值的地方:

除了这两个赋值操作以外,其他的都是没啥用的代码, 暂时不知道干啥用的。

再往上找,看到这个接口:

http://match.yuanrenxue.com/static/match/match14/m.js

是一大串被混淆了的JavaScript代码,利用星球里的解混淆工具进行解混淆,很快就找到了mz及m的cookie值生成的地方:

剩下的就是抠代码了,代码也很好抠,基本没啥难度吧,主要是补浏览器指纹。当然写死也是可以的,只不过无法获取后面2页的数据。

虽然逆向没啥难度,但是却有个超级大的坑。下篇再说吧。

悦来客栈的老板
关注
  • 4
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
猿蜕变14——别再聊AOP了,看这个就好了
hzldds2019的博客
06-08 261
看过之前的蜕变系列文章,相信你对mybatis有了应用方面的认识。但是这些要完成你的蜕变还不够,考虑到大家的基础知识,我们继续回到spring的话上来,我们一起聊一聊AOP。 每月底工厂君会根据后台记录筛选转发文章到朋友圈的前三位的朋友,给与奖励,第一名100元,第二名50元,第三名30元的现金奖励。 猿蜕变同样是一个原创系列文章,帮助你从一个普通的小白,开始掌握一些行业内通用的框架技术知识以及锻炼你对系统设计能力的提升,完成属于你的蜕变,更多精彩内容,敬请大家关注公主号猿人工厂,点击猿人养成获取!
猿人库第十——请求规律检测2 - headers
含笑
01-04 1101
猿人库第十——请求规律检测2 - headers 1. 首先 进入 浏览器的开发者工具, 可以在 network 的XHR 请求看到数据, 把 Headers的 请求参数和顺序保证一致,全部带上,模拟请求可以得到数据 少一个参数就会返回其他的无效内容 总结 : 这主要就是看Headers的参数和顺序,所有我们的每次请求最好和请求的参数保持全部一致再去模拟请求,免得去找其他的问。 ...
猿人-第四-逆向分析
最新发布
qq_67590525的博客
06-05 494
得到加密函数后,接下来就是怎么处理图像,这个我忙了很久,开始是想训练个模型,但是太麻烦。然后又想找其他生成好的模型识别,但是我发现很拉跨,再我焦虑之时,突然灵光一闪。其图像是重复利用得,直接用上面得组成一个hash字典便可。开始上下左右检查,看是不是cookies校验、是不是headers加密、是不是参数加密、是不是响应加密。其数据格式:[[0, '11.5'], [7, '23.0'], [2, '-23.0'], [7, '-11.5']]通过分析,我们可知,其加载得数字是经过排序得。
js逆向不用扣代码系列(3)—3分钟快速破解猿人14(巧过风控)
weixin_42156283的博客
11-25 944
网址:http://match.yuanrenxue.com/match/14 1.加密参数分析 进行翻页请求抓包 似乎是先访问http://match.yuanrenxue.com/api/match/14/m该链接,返回一段js混淆的代码,生成cookie后再访问列表页获取结果,然而我们不必理会其具体过程,直接进入到下一步分析。 2.更改js代码,并替换响应为本地文件 点击下图红框跳入 下面我们对上述图片红框内代码进行修改,并保存到本地,后用fidder替换http://match.yuanr
猿人web端爬虫攻防大赛赛题解析_第十四:备而后动-勿使有变
仙路尽头谁为峰
09-11 1133
一、前言 一晃又一个月没写博客了,最近集中攻坚了一下,历经了无数次失败,终于把第十四整出来了。总的来说,这确实比较复杂,而且有很多坑,体现在调试、解析等诸多方面,着实考验爬虫工程师的逆向水平。不过这做完收获还是挺大,尤其是逆向过程中的一些调试环境检测,涨了不少知识。 二、总体逻辑分析 首先进入这主页,跟之前的要求基本一致,都是抓取当前页数字: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cBEzNOht-1631283301732)(https://raw.git
猿人库十一——人均会解js——采坑式
含笑
12-29 1609
猿人库十一——人均会解jsl 1. 首先 进入 浏览器的开发者工具, 在 Network 找到 对应的请求,在Response中查看返回的内容(这里注意 一下,会找到俩个challenge/11的请求) 2. 模拟请求数据 再次用postman模拟请求,显示要登陆 在 请求的Header信息里面 cookie直接复制, 或者在 浏览器的 Application 里面的cookie栏,复制 seesionid 参数携带后在请求(这里可以看到 Expires...
猿人爬虫比赛题解.zip
10-01
【标】:“猿人爬虫比赛题解.zip”是一个包含比赛项目源代码的压缩文件,专门用于解析和解决爬虫比赛中的问。这个压缩包很可能是为了帮助参赛者理解比赛要求、提供基础代码框架或者展示优秀的解决方案。通过...
电工题解:第二章 正弦交流电路.doc
11-26
电工题解:第二章 正弦交流电路 本资源摘要信息主要围绕电工题解的第二章正弦交流电路展开,涵盖了基本要求、基本概念、基本定律、基本分析方法和交流电路中的功率等方面的知识点。 基本要求 本章的基本要求...
电工题解:第一章 电路分析基础.doc
11-26
电工题解:第一章电路分析基础 电路分析基础是电工的基础,涉及电路的基本概念、定律、分析方法等。电路分析基础是电工的核心内容,对于电工科具有重要的意义。 1.1 电路的基本概念 电路是由电阻、...
电工题解:第七章 半导体器件修改.doc
11-26
【电工题解:第七章半导体器件修】的文档涵盖了半导体器件的基础知识,特别是关于PN结、二极管、稳压管、三极管以及场效应管的介绍。以下是这些知识点的详细说明: 1. **PN结与二极管**: - PN结是由P型半导体和...
电工题解:第八章 交流放大电路.doc
11-26
【电工题解:第八章 交流放大电路】 交流放大电路是电子技术中核心的一环,主要用于放大交流信号。在本章中,我们将探讨以下几个重要知识点: 1. **交流放大电路的基本构成**: - 偏置形式:确定三极管的工作...
yuanrenxue_python_spider:猿人爬虫攻防练习,解代码
05-23
yuanrenxue_python_spider 猿人爬虫攻防练习,解代码 教程网址: Python反反爬系列
js逆向猿人-反混淆刷平台第十
博客
03-26 1963
猿人-反混淆刷平台第十 前言 这应该是刷平台中js逆向部分最难的一道目了,而且它跟著名的某数有关系,做完这后,你也可以说算是与某数有过接触了,本需要破解的参数其实就是某数当中的MmEwMD,这里先说一下, 本不会手把手每一步都讲的那么仔细,但是会带大家走一遍抠码的环节,有坑的地方呢就提及一下,至于有些地方为什么这样,又如何解决还是需要各位自己思考的,毕竟做本身就是为了提高自己,如果什么都说了,都做了,那就失去了做的意义了,好了话不多说,下面直接开始分析。 (提示:这打开开发者工具后会
猿人Web端爬虫攻防大赛第十 与某数ast+jsdom方法
zjq592767809的博客
04-07 2133
猿人Web端爬虫攻防大赛第十 与某数ast+jsdom方法 参考文章: 1.猿人爬虫攻防赛 第10 2.某数和某5秒-反混淆动态注入调试的一种方案 样品网址:https://match.yuanrenxue.com/match/10 打开首页后直接就有5处混淆,第一处是某数套 jsjiami.com.v6,然后后面4处为obfuscator 首先还原这一段jsjiamiv6的混淆,还原后的结果如下 let yuanrenxue_36 = ''; var yuanrenxue_59 = 968; f
猿人-Android端爬虫比赛开赛
Codeooo 博客
05-13 7193
猿人Android端爬虫比赛于2022年5月13日晚开始,共设10,主要涉及Android反混淆,双向认证,tls指纹对抗等技术。 参加该比赛,你能获得物质奖励,能结识一批志同道合的人,可能拿到更好的offer,欢迎你的参加。
[2021.7]猿人 | 爬虫攻防大赛 | 第二
lijiamingccc的博客
07-21 1171
目录1.cookie作用2.谷歌抓包分析3.cookie变换代码分析 1.cookie作用 Cookie相当于你浏览Web站点时,相对于这个站点的身份证号,如果说身份证号错误,肯定是不能正常访问这个站点的;这也是这次目的考察内容 动态cookie,每过一段时间 ,就会重新加载cookie来重置页面,通过这种方式,达到反爬虫的效果,只有破解掉动态cookie的生成过程,才可以通过爬虫进行正常爬取 2.谷歌抓包分析 由于是动态Cookie,为了避免其他Cookie的影响,所以使用浏览器的无痕模式进行调试,按f
js逆向不用扣代码系列(4)—3分钟快速破解猿人第10(重放攻击对抗之偷梁换柱)
weixin_42156283的博客
11-26 2045
网址:http://match.yuanrenxue.com/match/10 1.加密参数分析 打开控制台,直接被反调试了 调试堆栈 花里胡哨的, 不用管,再往上翻翻看看 这不就是著名的某x的变种吗,过掉反调试,抓下包看看 发现加密参数为m,再看这长度,基本坐实某x变种,到这已经基本确认几分钟内能拿下本了 2.工具准备:SwitchyOmega,mitmdump 两个工具使用大概介绍下 SwitchyOmega新建情景模式,端口设置为mitmdump的默认端口8080,如下图所示 mitm
js逆向-猿人(14)备而后动-勿使有变
李玺
01-27 1224
猿人爬虫比赛第十四《备而后动-勿使有变》 地址: http://match.yuanrenxue.com/match/14 感觉还好吧,至少没有炸内存。 开无痕窗口,打开控制台,访问,分析数据包 在 http://match.yuanrenxue.com/api/match/14/m 接口中,有两个cookie参数 sessionid可以和13一样,通过response-headers获取。 这个mz 需要看一下,首先该接口返回的response有js内容,先用工具尝试还原下。 工具地址:htt
[007]爬虫系列 | 猿人爬虫攻防大赛 | 第三: 访问逻辑 - 推心置腹
GC怪兽的Blog
10-28 1280
一、目 《猿人爬虫攻防大赛 | 第三: 访问逻辑 - 推心置腹》 二、分析 抓包一看究竟 通过postman模拟请求发现,他返回一段脚本: 通过代码美化&分析后发现:其实这个就是一个蜜罐!!!啥用处也没有!!! 那么现在我们分析一下Cookie,我们发现存在一个sessionid字段: 但是为什么使用postman直接请求没返回数据呢?都已经模拟整个头部了! 后来仔细看看!!!发现每次请求数据之前都会请求http://match.yuanrenxue.c...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值