![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
js逆向
文章平均质量分 53
阿J~
vx:scorpio_a_j
展开
-
【2023-07-12】京东H5滑块
目标网站:https://item.m.jd.com/product/10045102048103.html里面有个getEncryptData方法走的wasm,虽然有点恶心,但是直接扣下来就能用。原创 2023-07-12 15:06:07 · 2468 阅读 · 45 评论 -
【2023-06-14】易盾滑块--网易游戏支付中心
目标网站:https://gamepay.163.com/dhxy易盾滑块感觉是更新了,检测的东西变多,正常能跑,一开并发就可能会有问题(作者已解决并发问题)这个id就是绑定此页面的滑块id网易游戏支付中心的id通用,且支持并发,需要的主页联系原创 2023-06-14 15:01:53 · 1168 阅读 · 9 评论 -
【2023-03-10】JS逆向之美团滑块
目标网站:aHR0cHM6Ly9wYXNzcG9ydC5tZWl0dWFuLmNvbS9hY2NvdW50L3VuaXRpdmVsb2dpbg==最后看下成果吧,基本是全过的。原创 2023-03-10 15:49:11 · 6870 阅读 · 82 评论 -
【2023-02-20】JS逆向之翼支付
真的好久没更了……提示:以下是本篇文章正文内容,下面案例可供参考滑块获取验证码。原创 2023-02-20 17:38:59 · 5863 阅读 · 66 评论 -
【2022-11-26】JS逆向之北京百姓网
北京百姓网cookie逆向原创 2022-11-26 12:17:31 · 3157 阅读 · 180 评论 -
【2022-11-21】建行积分兑换滑块
成功通过后即可返回参数base64Data,然后用此参数去获取提交订单页面成品过滑块代码为PY版本。原创 2022-11-21 12:26:21 · 2050 阅读 · 48 评论 -
【2022-10-26】JS逆向之同盾滑块
用官网的做个例子吧:https://sec.xiaodun.com/onlineExperience/slidingPuzzle?R=bdjj?简单分析下这个滑块逆向的流程吧第一个接口 :https://fp.tongdun.net/web3_8/profile.json这个接口是用来获取token的,参数很多,但是不慌,先找到加密入口吧这i,j,k,l,o,f,e几个玩意都是根据环境参数生成的,懒得搞的可以直接写死V 参数也可以固定,token就是中间13位时间戳,后面的是随机字符。原创 2022-10-26 16:56:39 · 4915 阅读 · 63 评论 -
【2022-09-14】JS逆向之某团影视(jsjiami-v5)
目标网站:aHR0cHM6Ly93d3cuZmFudHVhbmhkLmNvbS9wbGF5L2lkLTEzMzk3LTEtMS5odG1s水一篇吧…… 是在是太久没更新了。原创 2022-09-14 15:36:06 · 5364 阅读 · 137 评论 -
【2022-05-31】JS逆向之易企秀
提示:文章仅供参考,禁止用于非法途径文章目录前言一、页面分析二、参数u获取总结前言我滴个姥姥,好像是好久没跟了呀,主要是实在不知道写啥了今天这个表单是最近碰到,就拿出来分享下吧一、页面分析表单可以自己在小程序里生成一个,这里我的链接就不放出来了最后表单提交的接口有个u,是我们需要解决的二、参数u获取这里直接搜参数u 比较多,搜接口上的costTime即可定位到加密位置然后重新触发断点,加密位置u的来源为window.serverParams.u然后这 i 是在windo.原创 2022-05-31 15:14:01 · 2047 阅读 · 68 评论 -
小红书q-q小程序接口和滑块验证
部分搜索接口滑块过验证V:scorpio_a_j原创 2022-04-08 11:26:00 · 1947 阅读 · 60 评论 -
【2022-04-08】JS逆向之途家请求头参数
文章仅供参考学习,禁止用于非法途径文章目录前言一、页面分析二、参数分析在这里插入图片描述三、总结前言目标网站:aHR0cHM6Ly9tLnR1amlhLmNvbS9ob3RlbF9oYW5nemhvdS8/c3NyPW9mZg==本文只研究这几个参数的算法提示:以下是本篇文章正文内容,下面案例可供参考一、页面分析这里以列表页接口为例二、参数分析查看堆栈,进入下图堆栈位置下断点然后单步慢慢跟进,知道跳转到这个js文件,就是加密的入口了这里就能看到我们想要的几个参数重要.原创 2022-04-08 10:35:12 · 1778 阅读 · 16 评论 -
【2022-03-31】JS逆向之B安滑块
目标网站:aHR0cHM6Ly93d3cuYmluYW5jZS5jb20vemgtQ04vY2FwdGNoYS9tb2JpbGU/Yml6bGQ9bG9naW4mc2RrVmVyc2lvbj0xLjEuMA==这种logo的图片就是币安自己的滑动验证码话不多说,直接分析一波,其他接口参数都没问题,就是校验接口上有个data加密参数通过堆栈慢慢跟进,即可找到加密入口继续往里走,这个位置生成了参数data,跟进er这个方法来到这里,调用Xt方法,传入e,ce是轨迹信息,c是8位字符串,原创 2022-03-31 11:27:26 · 2110 阅读 · 42 评论 -
【2022-03-23】JS逆向之爱奇艺滑块
文章仅供参考,禁止用于非法途径VX:scorpio_a_j文章目录前言一、页面分析二、分析1.分裂图片还原2.动态AESKey,HMacKey3.cryptSrcData加密4.返回数据解密总结前言目标网站:aHR0cHM6Ly93d3cuaXFpeWkuY29tL2lmcmFtZS9sb2dpbnJlZz92ZXI9MQ==一、页面分析切换账密登入,抓包,登入接口有个passsword,rsa加密的然后多点几次就会出现验证码二、分析1.分裂图片还原下个canvas断点即可知.原创 2022-03-23 17:39:34 · 10127 阅读 · 13 评论 -
【2022-03-01】JS逆向之PDD滑块
文章仅供参考,禁止用于非法活动文章目录前言一、触发滑块二、参数分析三、总结前言目标网站:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8=一、触发滑块多次点击登入后,就会出现这个滑块了二、参数分析先来看看出验证码的这个接口参数还是蛮多的,其中crawlerInfo这个就是pdd系列的,也就是请求头中的anti-content,这篇文章主讲滑块,这个参数就不聊了,主要是补环境,网上也有开源的fingerprint就是浏览器指纹了,passw原创 2022-03-01 11:44:29 · 5686 阅读 · 14 评论 -
【2022-01-19】JS逆向之拉钩登入(下)
文章仅供参考,禁止用于非法途径文章目录前言一、页面分析二、加解密定位和分析总结前言上篇【2022-01-11】JS逆向之拉钩登入(上)讲到了加密用到的aeskey,这篇继续讲一、页面分析这个https://gate.lagou.com/system/agreement 接口是激活aeskey的,然后回返回secretKeyValue,用于后续请求头里的X-SS-REQ-HEADER 和 X-K-HEADER然后这个X-S-HEADER就是接口链接的aes加密了二、加解密定位和分析原创 2022-01-19 16:58:37 · 4180 阅读 · 64 评论 -
【2022-01-11】JS逆向之拉钩登入(上)
文章仅供参考,禁止用于非法途径文章目录前言一、页面分析二、加解密定位总结前言目标网站:aHR0cHM6Ly93d3cubGFnb3UuY29tLw==一、页面分析先来看下登入的接口吧,login.json这个,提交数据是加密的,看这样子一般都是AES了(PS:前面流程会有jy无感+有感套餐,这里就略过,只讲数据的加解密)二、加解密定位既然判断出是AES,直接全局搜AES,然后每个下断点即可,然后重新点下登入,出发断电,这里可以看到入口参数t,然而t一看就不是明文,里面还有个code原创 2022-01-11 18:09:01 · 3163 阅读 · 33 评论 -
【2022-01-06】JS逆向之QCC请求头参数
提示:文章仅供参考,禁止用于非法活动文章目录前言一、页面分析二、使用步骤1.引入库2.读入数据总结前言提示:这里可以添加本文要记录的大概内容:例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。一、页面分析二、使用步骤1.引入库代码如下(示例):import numpy as npimport pandas as pdimport matplotlib.pyplot as pltimport seaborn原创 2022-01-06 16:18:23 · 3126 阅读 · 22 评论 -
【2021-12-28】JS逆向之某IC交易网cookie
本文仅供参考学习,禁止用于非法活动文章目录前言一、页面分析二、开始搞吧三、拿下前言目标网站:aHR0cHM6Ly93d3cuaWMubmV0LmNuL3NlYXJjaC9TVE0zMkYxMDNDOFQ2Lmh0bWw=一、页面分析打开了控制台,这两个点上,再刷新下。请求了两次主页,先看第一次ck再看第二次ck,说明了这个ck是经过加密了的二、开始搞吧打开v神的神器,hook下cookie,再次刷新断在了这里,可以看到这是的ck 是加密后的,我们网上再下个断电,再次刷新原创 2021-12-28 15:38:24 · 4991 阅读 · 22 评论 -
【2021-12-08】JS逆向之玩物得志h5参数
文章仅供学习使用,禁止用于非法活动文章目录前言一、页面分析二、加密定位三、获取加密函数四、总结前言目标网站:aHR0cHM6Ly9oNS53YW53dWRlemhpLmNvbS9tYWxsLXdlYi9kZXRhaWwvYXVjdGlvbi8xNjM4NDEwODE1MTg3P2l0ZW1JZD0xOTU0MTI1NzIx一、页面分析进入页面后,我们找这个详情的借口这三个动态参数,主要是kl_sign二、加密定位方法一:找异步入口慢慢跟,一般都是类似n.then(t.shift(原创 2021-12-08 11:25:36 · 1345 阅读 · 12 评论 -
【2021-11-29】JS逆向之J简壁纸
提示:本文仅供参考,禁止用于非法活动文章目录前言一、页面分析二、数据获取三、总结前言目标网站:aHR0cHM6Ly9iei56enptaC5jbi9pbmRleA==一、页面分析进到首页后,翻页一下,就可以看到目标接口,翻页的时候会出现滑块,抓包看下参数,会有个debugger,直接右键跳过即可,然后某些网页如果特别卡的话,都是一些定时器在作怪,直接输入下面这一行搞顶for (var i = 1; i < 99999; i++) window.clearInterval(i);原创 2021-11-29 16:01:29 · 6945 阅读 · 33 评论 -
【2021-11-26】JS逆向之某某海关企业进出口信用信息公示平台(上)
本文用于学习使用,禁止用于非法活动文章目录前言一、页面分析二、获取解密方法三、总结前言目标网站:aHR0cDovL2NyZWRpdC5jdXN0b21zLmdvdi5jbi9jY3Bwd2Vic2VydmVyL3BhZ2VzL2NjcHAvaHRtbC9kZWNsQ29tcGFueS5odG1s一、页面分析进去页面后,抓包发现返回数据是加密调用堆栈,下断点后,可以找到解密的入口看着方法名字,好像是AES加密来着哦二、获取解密方法然后我们就跟进去瞅瞅看,进到里面后,发现又调用了M原创 2021-11-26 17:59:02 · 2574 阅读 · 29 评论 -
【2021-10-27】JS逆向之某某统计局cookie
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言正文结果前言好像又好久没更新了,过来水一篇工作中遇到的一个动态cookie的网站吧目标网站:aHR0cDovL3d3dy5zdGF0cy5nb3YuY24vdGpzai90amJ6L3RqeXFoZG1oY3hoZmRtLzIwMjAvMTEuaHRtbA==正文再不切换IP的情况下,频繁访问后会,不返回数据,给你一段JS代码然后我们先把他扣下来进行分析一波头部一个大数组,一个jsjiami.com.v6,原创 2021-10-27 16:14:39 · 1871 阅读 · 52 评论 -
【2021-10-19】JS逆向之快手滑块
提示:文章仅供参考,禁止用于非法途径文章目录前言前言开公众号了,以后文章都会在公众号更新了,大家关注一波~目标网站:aHR0cHM6Ly93d3cua3VhaXNob3UuY29tL3Byb2ZpbGUvM3h4Ymt3ZDhta250ZWFj进到网站多刷新几次就会出现滑块,这个滑块是跟did这个cookie绑定的这个接口会触发滑块验证,我们需要拿到url里的captchaSession这个参数,用来请求验证码的相关信息这个接口拿到验证码的图片信息图片都是完整的,没有裂开,省去原创 2021-10-19 11:22:34 · 11565 阅读 · 397 评论 -
优志愿分数线查询
优志愿分数查询包含接口参数以及完整的demo原创 2021-10-12 16:51:18 · 801 阅读 · 22 评论 -
得物--最新
得物接口最近更新了,吧请求参数跟返回数据都加密了,这里已经解出来了,需要的主页+我wx原创 2021-10-11 09:40:10 · 1793 阅读 · 8 评论 -
【2023-06-05】某书xsxt
包含内容cookies的生成x-s、x-t、x-b3-traceid的生成整个登入流程以及测试的几个接口原创 2021-10-08 15:07:03 · 17683 阅读 · 21 评论 -
【2021-09-17】JS逆向之某某查询网cookie(yjs_js_security_passport)
本文仅供参考,禁止用于非法活动文章目录前言一、页面分析二、获取cookie三、调试前言目标网址:aHR0cHM6Ly8zZ21mdy5jbi9zby8lRTglQTUlQkYlRTclOTMlOUMv描述:获取cookie – yjs_js_security_passport一、页面分析第一次不携带ck访问返回这些东西,里面有个yjs_js_challenge_token是后面要用到的,后面的js就是生成后续的参数了然后看到这个检验的接口,传了上面的token 以及加密的一大串东西原创 2021-09-17 16:29:52 · 2083 阅读 · 67 评论 -
【2021-09-16】最右app之websign
接口签名 – websign列表数据评论接口原创 2021-09-16 16:15:10 · 792 阅读 · 15 评论 -
【2021-09-07】JS逆向之空气质量历史数据查询
文章仅供学习使用,请勿用于非法活动文章目录前言一、页面分析二、数据获取三、总结前言目标网站:aHR0cHM6Ly93d3cuYXFpc3R1ZHkuY24vaGlzdG9yeWRhdGEvZGF5ZGF0YS5waHA/Y2l0eT0lRTYlOUQlQUQlRTUlQjclOUUmbW9udGg9MjAyMTA5反爬类型:反调试,动态js,数据加密一、页面分析打开网页后,f12调用开发者工具,弹出提示框解决办法:点这玩意设置里直接打开开发者工具,或者新开一个网页,f12再进链接然原创 2021-09-07 15:50:26 · 9787 阅读 · 212 评论 -
抖音滑块验证
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言分析总结前言目标网址:aHR0cHM6Ly9lLm9jZWFuZW5naW5lLmNvbS9hY2NvdW50L3BhZ2Uvc2VydmljZS9sb2dpbj9mcm9tPWh0dHBzJTNBJTJGJTJGd3d3Lm9jZWFuZW5naW5lLmNvbSUyRiZwbGF0Zm9ybT1QQyZzb3VyY2U9YmFpZHU=(dy系滑块,与dy-web登入一样)分析水着先,有空再详原创 2021-07-27 17:06:19 · 12195 阅读 · 70 评论 -
【2021-07-26】JS逆向之某某西游藏宝阁
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言页面分析解析总结前言目标网址:aHR0cHM6Ly94eXEuY2JnLjE2My5jb20vY2dpLWJpbi94eXFfb3ZlcmFsbF9zZWFyY2gucHk/YWN0PXNob3dfb3ZlcmFsbF9zZWFyY2hfbGluZ3NoaQ==页面分析点击搜索,在接口出看到这么些密文解析直接走栈下断点跟吧,目测解密位置再这些地方,直接下第一个,往回跟继续走起跟..原创 2021-07-26 14:49:39 · 988 阅读 · 9 评论 -
【2021-07-23】JS逆向之雷速体育canvas渲染数据解密
注:本文仅供学习参考,禁止用于非法行业文章目录前言分析总结前言目标网站:aHR0cHM6Ly9saXZlLmxlaXN1LmNvbS9sYW5xaXUvd2FuY2hhbmc=分析这里直接看源码,发现数据是通过canvas渲染上去,那我们就要找寻他的原数据,既然是渲染上去,我们可以先打一个canvas断点尝试下成功断下断点,而且网页还没渲染出数据,其中的e就是要渲染上去的数据然后就一直网上追栈,在这里发现了传入的数据然后就没有然后了,花了点时间发现跟不到数据生成的地方,所以换个方原创 2021-07-23 17:29:57 · 2252 阅读 · 6 评论 -
【2021-07-23】JS逆向之某乎x_zes_96
注:文章仅供学习使用,禁止从事非法事件文章目录前言一、参数加密入口二、分析总结前言太懒了,接口啥的去网页看吧一、参数加密入口二、分析总结原创 2021-07-23 15:15:43 · 1502 阅读 · 5 评论 -
【2021-07-01】JS逆向之房xx滑块
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、页面分析二、断点调试三、调试前言最近工作繁忙,大量爬虫都写不完了,先发布个招聘广告吧,招个爬虫实习生,坐标杭州下沙,要求有手就行然后回归正题,其实我手上已经屯了好几篇文章,都没时间发,这次难得抽空更新一下目标网站:aHR0cDovL3NlYXJjaC5mYW5nLmNvbS9jYXB0Y2hhLTQwYTEzNzFiODRjMzAyOTNiZS8/dD0xNjIwODAzNjQ4Ljg1NSZo原创 2021-07-01 12:41:52 · 2906 阅读 · 10 评论 -
【2021-06-07】JS逆向之同花顺cookie(最新v值获取)
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、页面分析二、参数获取1.函数定位2.算法获取三、测试前言几个月前看的这个,现在算法还能用,分享下获取流程目标网站:aHR0cDovL3guMTBqcWthLmNvbS5jbi9zdG9ja3BpY2svc2VhcmNoP3R5cGVkPTEmcHJlUGFyYW1zPSZ0cz0xJmY9MSZxcz1yZXN1bHRfcmV3cml0ZSZzZWxmc2VjdHNuPSZxdWVyeXR5cGU原创 2021-06-07 15:02:40 · 4927 阅读 · 13 评论 -
【2021-06-03】JS逆向之wm世界主页滑块
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、页面分析二、缺口识别1.图片还原2.缺口识别三、加密函数四、测试下吧前言目标网站:aHR0cHM6Ly9wYXkud2FubWVpLmNvbS8=一、页面分析点击登入,然后直接点验证就会出来验证码,如果没有或者不是滑块,刷新多试几次就ok然后就是经典的验证码三部曲第一个连接拿capTicket第二个连接是请求获取验证码,会返回验证码类型,然后请求参数里的op可以不写,不校验,fp是环原创 2021-06-03 17:48:01 · 3096 阅读 · 43 评论 -
【2021-05-25】JS逆向之某酷视频搜索接口(面试题干货)
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、页面分析二、参数定位三、加密函数总结前言好像有两周没有发了,这次给个干活吧,是群友发的某某公司面试题目标网站:某酷搜索页–实战面试题一、页面分析直接进入网页,要搞xhr这里的数据,然后sign是加密的还有需要这些动态的cookie二、参数定位直接走栈跟到这里就有了,l就是加密的函数然后我们看看加密的参数有哪些,youku这个搜索接口主要是这些参数的获取token参数是在ck原创 2021-05-25 17:23:54 · 2379 阅读 · 18 评论 -
【2021-05-12】JS逆向之dy创作者平台登入滑块
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、页面分析二、加密函数1.登入分析2.滑块分析三、模拟请求前言目标网站:aHR0cHM6Ly9jcmVhdG9yLmRvdXlpbi5jb20v这个网站的滑块呀,很敷衍,比较适合新手尝试~一、页面分析随便输个手机号,可能首次登入不会出现验证码,多点几次就行,出现的是常见的缺口识别滑块,特殊情况下会出现点选的验证码然后来分析下这个验证码砸出来的,先看下请求参数_signature应该再熟悉原创 2021-05-12 15:58:45 · 2442 阅读 · 9 评论 -
【2021-05-07】JS逆向之①号店登入(含滑块)
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、页面分析二、滑块分析三、登入分析四、总结前言目标网站:https://passport.yhd.com/passport/login_input.do一、页面分析输入正确格式的账号密码,查看登入接口,出现滑动验证码返回图片是缺口跟背景图黏在一块的图片,续作处理分割提交滑块参数里包含图片的标签sig,缺口位置加密的data和s登入接口的参数比较多,包含账号密码的加密,缺口的加密,以及一原创 2021-05-07 18:02:13 · 2551 阅读 · 7 评论 -
【2021-05-06】JS逆向之微店登入ua
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!文章目录前言一、参数分析二、加密定位三、加密函数获取四、总结前言目标网站:aHR0cHM6Ly9kLndlaWRpYW4uY29tL3dlaWRpYW4tcGMvbG9naW4vIy8=一、参数分析输入手机号和密码,查看登入接口,有个ua的加密参数二、加密定位跟栈走到这,可以找到加密位置三、加密函数获取下断点重新请求,进入方法内部参数 _0x7dfc34是时间戳_0x2e98dd是浏览器原创 2021-05-06 17:37:42 · 2789 阅读 · 5 评论