JS逆向之-高考志愿网-请求参数加密

已于 2024-10-05 21:07:34 修改
阅读量188 收藏 2
点赞数 5
分类专栏: js逆向 文章标签: python javascript 爬虫 node.js
于 2024-08-23 18:48:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45171073/article/details/141468590
版权

JS逆向之-高考志愿网-请求参数加密

网址:http://www.xingaokaotb.com/colleges/search
加密参数: U-sign
在这里插入图片描述

分析过程 详细介绍

多次请求确定 加密参数

请求时发现载荷没有加密,开始尝试单页请求,发现能正常获取数据
再次发起请求,修改载荷下一页参数,发现请求异常,多次尝试确定在不修改请求头的情况下,修改
载荷中的页码参数 并不能得到响应数据,从而怀疑应该时请求头中的某个参数进行了加密,最终确定加密参数为U-sign

寻找U-sign的加密位置

在这里插入图片描述
搜索U-sign参数,找到13个匹配项在可疑的地方打上断点,然后下滑页面加载新的请求,发现断在此处
在这里插入图片描述

分析加密过程

e.url为数据请求的接口,e.data为一个对象,进入o函数分析
在这里插入图片描述
o函数中可进行单步调式,能更清楚的分析流程,发现o函数中主要是一个判断
经过调式发现每次执行的都是else的语句
在这里插入图片描述
经过分析加密函数发现o变量就是加密的参数,而n(o)就是最终U-sign加密的结果
在这里插入图片描述
对比请求的载荷发现o的值就是请求时的载荷参数,现在只需进一步分析n函数的加密流程
对n函数代码进行改写,r不需要传值

function n(e, r) {
     var n = t.wordsToBytes(a(e, r));
     return r && r.asBytes ? n : r && r.asString ? o.bytesToString(n) : t.bytesToHex(n)
}
在编辑器中执行js代码 发现异常,只需要将缺少的函数补上即可

补全n函数的过程还是比较复杂的不推荐,这里可以选择用webpack去完成
在这里插入图片描述
找到加载器的位置,然后补齐缺少的函数即可
在这里插入图片描述
这个网站的加密方式其实就是标准的md5加密,也可以用python直接去复现。

FOLLOW HEART
关注
专栏目录
JS逆向-加密参数定位方法总结
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
05-29 1753
本文是该专栏的第50篇,后面会持续分享python爬虫干货知识,记得关注。笔者将目前常用的几种方法总结为上下两篇,可以说,每种方法都有其独特的运用逻辑,只有灵活运用这些加密参数定位方法,才能有效的提高逆向效率,感兴趣的同学记得关注。具体的使用方法,首先需要先找到请求接口地址,然后再进入lnitiator,点击第一个Request call stack参数,进入到JS文件之后,在跳转行上打上断点,紧接着刷新页面等待调试。举个例子,加密参数的目标关键词为sign,那么可以直接全局搜索sign
JS逆向实战-入门篇】某gov加密参数分析与Python算法还原
吴秋霖的博客
01-30 1716
JS逆向实战之入门级加密参数分析
JS逆向爬虫----请求参数加密【token】①
Jesse_Kyrie的博客
09-12 2954
通过nodejs编写了关键参数token的生成方法,并已经通过了测试。token参数是动态变化的,整个逆向过程涉及sha1.base64等加密算法与实用调试技巧。
js逆向-某志愿参数分析
逆向新手的博客
09-18 387
sign。
JS逆向爬虫---请求参数加密③【比特币交易爬虫
Jesse_Kyrie的博客
11-07 1048
采用chrome断点调试与跟栈方法,逆向请求参数x-apiKey。根据参数特性,base64解码
JS逆向加密参数定位
鬼手的博客
01-11 2245
当我们对请求进行抓包分析之后,需要用开发者工具对加密参数进行全局搜索。当搜索不到加密参数的时候,应该采取什么解决方法去定位。还有一个应用场景是我们发现请求服务端的时候有一个cookie,而这个cookie又不是服务端返回的,那么它很有可能就是JS生成的,怎么快速定位这个cookie生成的地方。
JS逆向】破解xx志愿headers中u-sign加密参数
MaxShuo的博客
12-14 3012
注意:文章内容仅用于学习和技术交流,如有侵权请联系我删除。 学者应洁身自好,切勿做出违法的事情,旨在提供逆向思路。 aHR0cHM6Ly93d3cueW91enkuY24vdHp5L3NlYXJjaC9jb2xsZWdlcy9jb2xsZWdlTGlzdA== 问题分析: 请我们请求上方url时,会出现国内大学的列表,通过不断往下滑动,会发现该数据为ajax动态加载,通过netword工具很轻易就能找到api接口: Response数据返回: 通过分析api接口可...
【学习心得】请求参数加密的原理与逆向思路
qq_39780701的博客
03-03 1116
【学习心得】请求参数加密的原理与逆向思路请求参数加密JS逆向反爬手段中的一种。它是指客户端(浏览器)执行JS代码,生成相应的加密参数。并带着加密后的参数请求服务器,得到正常的数据。通过模拟参数加密过程,使用通用的方法进行加密,并得到加密结果。并带着这个加密后的参数访问服务器就可以得到正常数据。
JS逆向入门案例-某查查请求头-03
qq_53444631的博客
08-21 1344
JS逆向入门案例-某查查请求头-03
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
`ast-hook`工具就是针对这种情况设计的,它专注于帮助开发者在JavaScript代码中快速定位到特定参数值的生成位置,特别是涉及到加密参数的场景。本文将详细探讨`ast-hook`的工作原理、使用方法以及它在js逆向工程中的...
拼多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 拼多多api解密 拼多多anti_content参数逆向分析 拼多多JS anti_content参数加密解析 node 解密下载即有用
Pythonjs实现逆向加密参数破解.zip
06-27
部分站的 url 构成中含有加密参数,这些参数加密方法写在了 JavaScript 中,而 js 通常经过了压缩,混淆和加密;本项目通过 AJAX 断点,hook 方法先寻找到加密入口,其次通过 playwright 将加密方法挂载到 ...
python中zip()与zip(*)的用法解析
最新发布
m0_51579041的博客
10-08 114
zip()与zip(*)的用法解析
Python3 解释器
Java_fenxiang的博客
10-05 522
Linux/Unix的系统上,一般默认的 python 版本为 2.x,我们可以将 python3.x 安装在/usr/local/python3目录中。安装完成后,我们可以将路径/usr/local/python3/bin添加到您的 Linux/Unix 操作系统的环境变量中,这样您就可以通过 shell 终端输...
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
haidizym的博客
10-02 532
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python
解决IE中a标签中的图片有边框
weixin_41674235的博客
10-08 106
‌1、通过CSS去除边框‌:在CSS中为img标签添加border:0 none;样式,例如:img{border:0 none;这种方法适用于大多数现代浏览器‌12。3‌、通过JavaScript去除点击后的虚线框‌:在a标签中添加outline:none;和text-decoration:none;这可以同时去除点击后的虚线框和下划线‌。
Python | Leetcode Python题解之第448题找到所有数组中消失的数字
Mopes__的博客
10-01 442
Python | Leetcode Python题解之第448题找到所有数组中消失的数字
pytorch版本和cuda版本不匹配问题
分享计算机视觉,C++,网络摄像头研发,音视频开发,嵌入式等知识。
10-06 378
发现cuda11.8支持pytorch2.0.0。
一步解压即用的Android逆向工具jadx-gui 1.2.0发布
jadx-gui-1.2.0-with-jre-win.zip是一个压缩文件包,它包含了一个用于Android应用逆向工程的工具——jadx-gui的版本1.2.0,并且已经包含了Java Runtime Environment (JRE) 1.8.0,这意味着用户无需自行下载和配置JRE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值