JS逆向之Webpack自吐

已于 2023-07-16 12:53:27 修改
阅读量2.7k 收藏 14
点赞数 3
文章标签: javascript 开发语言 ecmascript
于 2023-07-15 16:51:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15326513/article/details/131741238
版权

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢

前言

 

在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码。webpack自吐所有方法和webpack精减代码法。把这两个方法结合起来使用。

一、Webpack是什么?

webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块.

概念:

webpack是 JavaScript 应用程序的模块打包器,可以把开发中的所有资源(图片、js文件、css文件等)都看成模块,通过loader(加载器)和plugins(插件)对资源进行处理,打包成符合生产环境部署的前端资源。所有的资源都是通过JavaScript渲染出来的。

如果一个页面大部分是script标签构成,80%以上是webpack打包。加载了很多相同格式的jS.
 

267778b5936a4c798a960a6d9d5a9272.png

a7cefc1f1ff140f4a59b77b90f4a3153.png 

 

二、webpcak打包简介

  1. 单文件webpack组成形式6dd24fef25844790b260d52447958367.png

2 、多个JS文件打包:

如果模块比较多,就会将模块打包成JS文件, 然后定义一个全局变量window["webpackJsonp"] = [ ],它的作用是存储需要动态导入的模块,然后重写 window["webpackJsonp"]数组的 push( ) 方法为webpackJsonpCallback( ),也就是说 window["webpackJsonp"].push( ) 其实执行的是 webpackJsonpCallback( ),window["webpackJsonp"].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要调用的函数(可选)

(window.webpackJsonp = window.webpackJsonp || []).push([[2], {
    "+wdc": function(e, t, n) {
        "use strict";
        (function(e) {
            Object.defineProperty(t, "__esModule", {
                value: !0

3、 基于ast的方式自动扣取webpack打包的代码

如需工具可以私信联系!

  • 使用命令执行的方法:

    node webpack_mixer.js -l runtime.62249a5.js -m app.597640f.js -o webout.js
# 如果有多个JS文件怎么操作
node webpack_mixer.js -l 加载器.js -m 模块1.js -m 模块2.js  -o 输出.js

     

  • 参数说明:

-l 加载器的js路径
加载器的js特征:
    1.以自执行函数开头
    2.定义导出函数,类似 return e[n].call(r.exports, r, r.exports, d), r.l = !0, r.exports
    3.为导出函数添加多个方法,类似d.e,d.m,d.n等等
-m 函数模块的js路径
    函数模块的js特征:
    1.一般以(window.webpackJsonp开头
-o 输入结果的js路径

三 、网站案例

目标网址:aHR0cHM6Ly9pYm94LmFydC96aC1jbi8=

//在加载器后面下断点  执行下面代码
window.xxx = f;
window.wbpk_ = "";
window.isz = false;
f = function(r){
	if(window.isz)
	{
		window.wbpk_ = window.wbpk_ + r.toString()+":"+(e[r]+"")+ ",";
	}
	return window.xxx(r);
}
 
//在你要的方法加载前下断点 执行 window.isz=true
//在你要的方法运行后代码处下断点  执行 window.wbpk_  拿到所有代码  注意后面有个逗号

自动吐出结果:

a7cbe572156c4e1daaf1ac39d3e4b43d.png

将输出的全部代码,扣出放进模块中就可以完美得到你想要的结果啦  

 

总结

  • 找到这个加载器

  • 找到调用模块

  • 构造一个自执行方法

  • 导出加密方法

  • 编写自定义方法 按照流程加

 

qq_15326513
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JS逆向Webpack(一)
Wxc的Blog
03-09 5998
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
js逆向 webpack_JavaScript 逆向爬取实战
weixin_39980129的博客
01-07 2193
↑关注 + 星标~有趣的不像个技术号,后台回复【大礼包】送你2TPython自学资料好消息:Python学习交流群,已经建立,猛戳加入“ 阅读本文大概需要 25 分钟。 ”在上一节总结一些网站加密和混淆技术中,我们介绍了网页防护技术,包括接口加密和 JavaScript 压缩、加密和混淆。这就引出了一个问题,如果我们碰到了这样的网站,那该怎么去分析和爬取呢?本节我们就通过一个案例来...
爬虫:JS逆向Webpack-乾坤大挪移
gwb0516的专栏
11-21 2968
通俗易懂webpack逆向的教程,方便初学者可以对照着一步一步验证调试。
JavaScript代码保护:webpack打包及反向代码逆向教程
高性价比服务器就选:蓝易云
05-18 614
首先,想象你有一个乐高盒子,里面有各种颜色和形状的积木。希望这篇教程可以帮助你更好地理解Webpack和代码逆向的世界,并使你的项目更加稳固!想象Loaders是乐高组装工具,它们可以让你的积木更加多样化,例如将TypeScript转为JavaScript,或将SCSS转为CSS。中,你可以设置入口(entry)和输出(output),这样你就告诉Webpack哪些积木需要组装,以及组装后的大楼放在哪里。现在你有了一座由Webpack打包的大楼,但想象有人想知道这座大楼是如何建造的。
浏览器webpack半自动扣取代码
最新发布
qq_42826222的博客
06-13 425
这种方式扣取的函数太多会扣取到我们不需要的函数我们查看两种方式所加载的函数的个数对比加载的函数还需要进一步处理,toString里面的函数都进行了转义,如何不进行转义呢?我们加载的函数进行加载到加载器里面,进行调用即可首次写帖,有什么改进的地方望提出建议。
webpack自动打包和热更新的实现方法
10-16
主要介绍了webpack自动打包和热更新的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
window.webpackJsonp
顺其自然~专栏
09-15 3800
说白了,第一部分的意思就是:如果window.webpackJsonp为空,就声明window.webpackJsonp为一个数组变量;第一部分理解了,第二部分就容易了,就是push参数。}],乍一看push,应该是push(a, b)这种形式,或许这些代码是前端开发故意为之,不让其他用户那么容易的理解其目的,其实前端代码再怎么混淆加密都只是时间长短而已,重要的是后端,何必呢。工作中需要查看一些网站的JS语句,打心眼里对这种语法充满了鄙夷,优雅跟它没关系,一些烂写法很难读懂,简直就是反人类,太变态了。
JS逆向实战19——通杀webpack逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-30 2674
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 aHR0cHM6Ly9mb2dhbmctbS5pdG91Y2h0di5jbi9tZWRpYURldGFpbC8zODc1Nw== aHR0cHM6Ly93d3cuZ205OS5jb20v webpack是什么?...
js逆向——webpack扣法
sin_0119的博客
03-19 4487
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
js 逆向实战之webpack 改写
01-12
"JS 逆向实战之 Webpack 改写" 在本节中,我们将探讨 JS 逆向实战之 Webpack 改写的技术要点。Webpack 是一个流行的 JavaScript 模块加载器和打包工具,广泛应用于前端开发中。通过对 Webpack逆向工程和改写,...
Python爬虫,JS逆向webpack 打包站点原理与实战
01-07
Python爬虫,JS逆向webpack 打包站点原理与实战
js 逆向实战之分离式 webpack 非 IIFE 改写
01-13
JavaScript 逆向实战之分离式 Webpack 非 IIFE 改写详解 在 JavaScript 逆向实战中,了解 Webpack 的工作机制及其模块加载器是非常重要的。下面,我们将详细介绍 Webpack 非 IIFE 改写的实现原理和实战案例。 ...
vue-cli+webpack
08-21
Vue CLI(Vue.js 的命令行界面工具)是基于 Vue.js 生态系统构建快速开发环境的利器,而 Webpack 是一个模块打包器,广泛应用于现代 JavaScript 应用程序的构建过程。本文将深入探讨这两个工具及其在实际开发中的...
webpack4.x打包过程详解
12-09
一、全局安装 webpack-cli 脚手架 npm install webpack-cli -g 二、新建一个项目wp,并在wp目录下初始化一个package.json文件。 npm init -y 在wp目录下新建一个src目录,并在该目录下新建一个index.js 作为入口...
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 2260
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
JS逆向中常见的window.webpackJsonp分析
热门推荐
Xzike的博客
03-31 2万+
参考文章: https://blog.csdn.net/yyone123/article/details/107914309 在遇到webpack时,常见的一种形式是: !function(e) { t = {}; function n(r) { if (t[r]) return t[r].exports; var i = t[r] = { exports: {} }; return e[r].call(
JS逆向 webpack解密
lmttlw的博客
11-18 3649
JS webpack解密 ,这个网站很坑,那个验证字段搜不到,XHR断点也断不到,就很奇怪,不过竟然我敢写这篇文章,就代表我是过了的。
JS逆向】之webpack实战(越挫越勇)
weixin_44504978的博客
05-10 2572
​声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 前言:在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码。webpack自吐所有方法和webpack精减代码法。把这两个方法结合起来使用。 流程: 1.抓取参数 定位参数位置 分析参数的加密流程 扣出代码,运行 优化webpack代码 目标网址: aHR0cHM6Ly93d3cuZmRjMzg4OC5jb20= 1.我这里写的是XZ的JM逆向部分 ,就是他提交的data参数。 2.定位参数,这里如果直接搜索d
Python爬虫之Js逆向案例(9)-某名科技之webpack
玛卡`三少 的博客
08-23 1869
大家好,在上一节我们通过知乎的x-zst-81进行熟悉了webpack,在文章中我们认识了webpack打包后的产物、如何扣代码,不过知乎的大包后的文件非常的庞大,对新手来说,扣代码可能有些难度,为了更透彻的讲解webpack打包逆向,今天打算选用一个简单的案例继续练习webpack逆向,这节可能是的最后一节有关webpack的案例了,所以希望童鞋们在练习的时候能完全掌握!!!下面会进行以下几步进行分析(下方演示过程全部使用chrome浏览器);webpack
webpack js逆向 自吐方法
09-22
webpack js逆向自吐方法是指通过一些技术手段来还原经过webpack打包后的代码结构。这可以帮助我们更好地理解和分析webpack打包后的代码,并进行优化或调试。其中,自吐方法主要包括两种:webpack自吐所有方法和webpack精减代码法。 在webpack自吐所有方法中,我们可以使用SourceMap技术来还原压缩后的代码。通过在webpack配置中启用SourceMap,webpack会生成一个映射文件,该文件包含了压缩后的代码与原始代码的对应关系。然后,我们可以借助一些工具或浏览器开发者工具,将压缩后的代码还原成可读性较好的代码。 而在webpack精减代码法中,我们可以使用一些工具或插件来进行代码精简和优化。这些工具可以删除无用代码、合并重复代码、压缩代码等操作,以减小代码体积并提高加载速度。 综上所述,通过使用SourceMap技术和代码优化工具,我们可以实现webpack js逆向自吐的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值