X_zse_96参数记录

已于 2023-03-27 20:49:14 修改
阅读量689 收藏 2
点赞数 1
分类专栏: JS逆向 Python 文章标签: python 网络爬虫 爬虫 javascript 算法
于 2023-03-27 14:49:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39393527/article/details/129794921
版权

前言

​ 该文章为学习使用,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!如有侵权,请私信联系作者删除~

需求

Base64编码:

目标网站:aHR0cHM6Ly93d3cuemhpaHUuY29tL3RvcGljLzE5NTUwMjI4L2hvdA==

端口:aHR0cHM6Ly93d3cuemhpaHUuY29tL2FwaS92NS4xL3RvcGljcy8xOTU1MDIyOC9mZWVkcy9lc3NlbmNlP29mZnNldD0yMCZsaW1pdD0xMCY=

JS分析

请求头分析

在这里插入图片描述

​ 请求头中x-zse-96参数为目标

全局搜索 x-zse-96

在这里插入图片描述

​ 发现请求头中x-zse-96参数的设置位置,参数已经生成完毕,“2.0_”为固定值【E】为前文生成的S.signature

逆向分析S.signature

字符串s分析

在这里插入图片描述

​ 在这里下个断点,然后重新发包。

在这里插入图片描述

逐个分析这些变量:

var o = n.zse93		//	'101_3_3.0', 固定值。请求头中参数x-zse-93的值 

i = n.dc0			//	'AFAT7mekYRaPToYbyTTorNjS4DDkeF-A-7Q=|1677289779',cookie中d_c0的值

a = n.xZst81		//	请求头中x-zst-81的值, 固定不变,可以为空,不用管

u = z(t)			//	'/api/v5.1/topics/19550228/feeds/essence?offset=30&limit=10&',请求地址

c = G(e)			//	空,不用管

s = [o, u, i, V(c) && c, a].filter(Boolean).join("+");
//	将上述变量值进行字符串拼接,'3_2.0aR_sn77yn6O92wOB8hPZnQr0EMYxc4f18wNBUgpTQ6nxERFZYRY0-4Lm-h3_tufIwJS8gcxTgJS_AuPZNcXCTwxI78YxEM20s4PGDwN8gGcYAupMWufIeQuK7AFpS6O1vukyQ_R0rRnsyukMGvxBEqeCiRnxEL2ZZrxmDucmqhPXnXFMTAoTF6RhRuLPF0XKFDxCr6Nqiuwxjq2G1wpKNrUYwBLsWD3LfUoCQcHGe8S_khXf5gwG6rrTvMo9obemBAeCCDuYHBHxJwXfhCxywC39DUVVbTpK1rLmNh3_Ah3M9vC1dUpy6eLfNBHx2hLChvXLe0HC2iwmoGOK3gtqV9H8FJeLo_C_bwL0QDr_fwH9VqfzdcSGuvS0ZCSsWgeCAu21uucMFUY_sBHGyGVyahCqh9pY89Xm0bSLsgOL6UoK3gXOAJNGZvo8qucBYUc0s8eGevLYbMVs2HwOUgVqLD91twt8Q0e8BrSC'
加密分析

在这里插入图片描述

​ 在这里下断点,然后重新发包。

source:	s
signature:	P(r).encrypt(f()(s))

在这里插入图片描述​ signature为加密值,每次加密的结果均不同。

f (s)分析

​ 可以看出为两层加密,先看里层的f()(s)

在这里插入图片描述

​ 值是固定的,长度为32位,盲猜MD5加密。

在这里插入图片描述

​ 加密1试试,和在线加密对比,确定f()为MD5加密

外层 P(r).encrypt() 分析

在这里插入图片描述

​ 每次加密结果均不同。

在这里插入图片描述

​ 进入加密函数,跳转到这里。传参t为MD5加密的s。整个文件为webpack的分包,把这个模块扣下来。

在这里插入图片描述

在这里插入图片描述

​ 扣下来后,本地运行报错,控制台可以,说明本地缺少环境
在这里插入图片描述

​ 补了window环境后可以正常运行,得到相似的结果,但由于每次加密结果不同,无法确定结果是否正确

在这里插入图片描述

​ 将Math.random的返回值固定,加密结果固定,对比扣下来的和浏览器控制台的输出结果,发现结果不同。

插桩调试后,发现是环境缺失导致的。

在这里插入图片描述

​ 通过挂代理补完环境,结果一致

Python代码

在这里插入图片描述

后文

作者微信号:Sruiis,欢迎联系作者交流更多

|Faust|
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
知乎x-zse-96、x-zse-81
weixin_54573778的博客
06-02 527
知乎、x-zse-96、x-zse-81、补环境、逆向
JS逆向 - 某乎搜索接口x-zse-96参数分析
m0_51159233的博客
04-14 1354
本文介绍了某乎x-zse-96的js逆向流程,以及本地实现
zhihu X-Zse-96参数逆向
最新发布
weixin_66580433的博客
05-24 1087
当某个条件符合时,进入try流程,返回真值。当条件不符合时,进入catch流程,返回假值并且不会抛出异常。查看结果发现返回数据长度,每次都一模一样,但是数据不一样。我们在本地环境中也重写random,对比本地和控制台的加密结果。参数一样,random返回值一样,但是结果不一样。肯定是有环境检测,本地环境中返回了一个假值。这两个在浏览器环境中是不存在的,本地才有。补完之后继续执行,发现加密值变化了,并且document的环境监测通过。可以在控制台中重写时间戳或加密值,再次执行加密,查看返回结果是否固定。
【JavaScript 逆向】猿人学 web 第二题:动态 cookie
Yy_Rose的博客
09-14 4064
猿人学练习平台 web 比赛第二题:js 混淆,动态 cookie,OB 混淆,扣代码补环境
某乎搜索接口x-zse-96参数逆向学习分析,网站:aHR0cHM6Ly93d3cuemhpaHUuY29tLw==
qq_44628911的博客
05-18 5958
声明:本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!由于本人水平有限,如有理解或者描述不准确的地方,还望各位大佬指教!! 目标网站:aHR0cHM6Ly93d3cuemhpaHUuY29tLw== 目标参数:x-zse-96 参数分析: 全局搜索x-zse-96,只有两个地方出行,打上断点后刷新网页 从图中断点地方可以看到,搞清楚u()(f()(s))的由来就解决了x-zse-96 可以看到s参数是由以下几部分组成: 1
知乎x-zse-96逆向学习
w2786886635的博客
10-21 1594
今天来学习一下知乎的x-zse-96加密,废话不多说直接开工。 我这个是搜索话题 直接全局搜索x-zse-96 他有两个地方有这个东西,不管他直接两个地方都打上断点。 然后可以看到x-zse-96是通过2.0_加上y值,y值得来源很明显,是上面那个E函数返回的值 看一下E接收的三个值,url,headers里面的x-zse-93(固定的),cookie里面的d_c0参数 走到这他把这几个值都进行了拼接 看到这个地方他拿到s值后通过 l 函数对s值进行操作加密,.....
某乎登录流程x-zse-96
逆向
09-08 253
滑块, zse96
zhihu_zse_06_22.js
06-22
x-zse-96算法(2021-06-22)
知乎x-zse-96 文件头 JS解密
03-07
本文将深入探讨“知乎x-zse-96文件头JS解密”这一主题,旨在帮助读者理解相关概念和技术。 首先,我们需要了解“知乎x-zse-96”是什么。知乎是中国一个知名的问答社区,为了保护用户数据安全和防止爬虫抓取,它可能...
x-zse-96参数 补环境版
03-14
t中的AbAXQl6YdhaPTqvYTJRTZgZJhIGzJFg9rec=|1678783924 需要与请求cookie中的dc_0一致
基于nodejs的知乎爬虫,x-zse-96,支持文章,评论,图片下载到本地.zip
01-19
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。...
知乎x-zse-96.zip
11-09
标题中的“知乎x-zse-96.zip”表明这是一个与知乎相关的数据抓取项目,而“x-zse-96”可能是该项目的特定版本或标识符。描述中提到的“除js外附带抓取源码”,意味着这个压缩包包含了用于抓取知乎网页内容的源代码,...
某乎x-zse-96参数逆向
Lzyydsb的博客
05-13 404
​ 直接跟进encrypt函数里发现跟进去后是在一个控制流里,往下滑观察可以看到很长的字符串,啊,该死的VMP,直接全扣补环境吧往下一直滑倒长字符串,然后把这个代码块全部扣下来​ 最后自己微调一下参数啥的就行,附一张成功截图。
某知x-zse-96补环境与扣代码——js逆向练习
m0_46265880的博客
08-08 1033
进行 插桩 将node环境 与 网页环境进行对比,发现我们缺少很多逻辑没有运行到,保留日志。反复对比浏览器日志信息,通过代理的引导,进行环境补充。最后与 目标输出一致。经过分析,返回的值都不一样,存在随机变量,尝试 hook 一下。直接拿下加载器,扣代码,全局导出变量,放网页环境运行一下。出现新的日志,接着缺上面补什么。运行代码报错,缺少环境。由上图我们可以知道,
某知乎APP - X-Zse-96
mamenqi_csdn的博客
04-29 605
某知乎APP - X-Zse-96
Python爬虫之Js逆向案例(13)-某乎最新x-zse-96的rpc方案后续
玛卡`三少 的博客
11-02 2235
jsrpc的原理是利用websocket通信技术实现的通过调用socket服务,通知放在浏览器端的socket执行相关代码,拿到结果后客户端发送给服务器,然后再返回给接口调用者技术(个人理解,不一定很准确),说白了就是websocket的具体应用罢了!
【2022-08-11】知乎x-zse-96参数分析
不愿意透露姓名的网友
07-28 622
进入某乎,然后进行搜索,抓包找到搜索接口然后看请求头,发现除了携带cookie,还有携带其他三个参数再次访问其他搜索词,发现只有x-zse-96是变化的,其他两个可以固定,因此我们来分析一下。
x-zse-96 101_3_3.0
05-10
x-zse-96 101_3_3.0是一个较为特殊的编码,它类似于一个计算机中的标识符或者命名规则。其中的x代表此编码的前缀,类比于一个命名空间或区域,zse则代表一个特定的标识符或者名称,101_3表示它的编号或版本号,最后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值