2022某车帝登录参数account password参数逆向分析(滑块验证码不讲解)

最新推荐文章于 2022-10-27 15:04:50 发布
最新推荐文章于 2022-10-27 15:04:50 发布
阅读量1.4k 收藏 3
点赞数 3
分类专栏: python python爬虫 JS逆向 文章标签: python JS逆向 Python爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45491537/article/details/122548294
版权

文章目录

前言

今天讲一下某车帝的登录参数account、password。网站登录可以说是入门级别的~hmm也可以说是中高难度的,原因在于不出滑块验证码时登录参数account、password的简单,出滑块验证码的开打脑壳。。。本篇不讲验证码,只作account、password的逆向讲解。本文章仅供学习研究,如若侵犯到贵公司权益请联系229456906@qq.com第一时间进行删除;各位朋友切忌用于一切非法途径,否则后果自行承担!

地址:aHR0cHM6Ly93d3cuZG9uZ2NoZWRpLmNvbS8=

一、抓包分析

老规矩,打开登录框输入133****3333,123456789点击登录按钮进行抓包。
在这里插入图片描述

二、参数解析

1.加密定位

今天使用跟栈的方式进行定位
在这里插入图片描述
点击最上面一个堆栈,进入js文件。
在这里插入图片描述
进来后在标黄的这一行打断点,重新抓包。
在这里插入图片描述
这时候,account和password已经有了,我们接着往上追堆栈, 找到这里。
在这里插入图片描述
打上断点,重新抓包
在这里插入图片描述
这里account和password都是明文状态,单步执行进入函数
在这里插入图片描述
将断点下到函数结尾,执行到断点处:
在这里插入图片描述

2.参数分析

上面可以看到,刚进入函数时account和password都是明文状态,到函数结束时已经加密完成。所以断定这里即使account和password的加密方法。
重新抓包,并且单步执行发现,最后将账号和密码传入j()函数计算:
在这里插入图片描述
单步执行进入j()函数:
在这里插入图片描述
在函数末尾处打断点,并执行到断点
在这里插入图片描述
最终就是这个方法:

 var x, w, j = function(e) {
            var t, n = [];
            if (void 0 === e)
                return "";
            t = function(e) {
                for (var t, n = e.toString(), r = [], o = 0; o < n.length; o++)
                    0 <= (t = n.charCodeAt(o)) && t <= 127 ? r.push(t) : 128 <= t && t <= 2047 ? (r.push(192 | 31 & t >> 6),
                    r.push(128 | 63 & t)) : (2048 <= t && t <= 55295 || 57344 <= t && t <= 65535) && (r.push(224 | 15 & t >> 12),
                    r.push(128 | 63 & t >> 6),
                    r.push(128 | 63 & t));
                for (var i = 0; i < r.length; i++)
                    r[i] &= 255;
                return r
            }(e);
            for (var r = 0, o = t.length; r < o; ++r)
                n.push((5 ^ t[r]).toString(16));
            return n.join("")
        }

继续执行发现密码也是在这里计算
在这里插入图片描述
所以只需要将此函数拿出来,调用即可
在这里插入图片描述
对比网页结果:
在这里插入图片描述
封装一下,验证码不作介绍:
在这里插入图片描述

成了。今天就到这里。

总结

总结:good good xuexi,day day up,少掉头发。

码字不易,如果本篇文章对你有帮助请动动小手点个赞8,谢谢~
合作及更多资源获取vx:tiebanggg 【注明来意】
QQ交流群:735418202
喜欢作者的朋友扫下方二维码关注微信公众号,一起学习 UP! :在这里插入图片描述

*注:本文为原创文章,转载文章请附上本文链接!否则将追究相关责任,请自重!谢谢!

沉浸式逆向某汽车app
Codeooo 博客
04-11 1万+
本文为锻炼大家自己的思路及理解,全程沉浸式图片,无文字说明,仔细看图无压力。 抓包分析,协议中有sign参数需要逆向解决,其他参数如下。
破解滑动验证码,成功率在百分之九十九
木桥的博客
12-18 1016
破解滑动验证码 使用python破解滑动验证码后获取cookie, 用于爬取数据,这里是获取到cookie存到redis,费话了,上代码 import re import redis from selenium.webdriver.chrome.options import Options #from urllib.request import urlretrieve from PIL import Image from selenium.webdriver.common.action_chains im
jmeter压测学习7-登录参数(CSV 数据文件设置)
村东头老杨的博客
12-02 376
我们在压测登录接口的时候,如果只用一个账号去设置并发压测,这样的结果很显然是合理的,一个用户并发无法模拟真实的情况。 如果要压测登录接口,肯定得准备几百,甚至上千的账号去登录,测试的结果才具有可参考性。 场景案例 我现在有一个登录接口,接口登录接口文档基本信息 访问地址: http://127.0.0.1:8000/api/v1/login/ 请求类型: POST ...
简单的登录-参数
ctt的博客
01-21 306
参数登录成功:只有一个py文件和一个txt文件:py文件主要是登录参数化 txt文件主要是参数化的数据 # coding:utf-8 from selenium import webdriver from selenium.common.exceptions import NoSuchElementException import unittest import time #以只读方式打开user.txt文件 user = open("2.txt",encoding='utf-8') #读...
mysql 登录参数_MySQL的登录和退出,相关参数讲解
weixin_28856331的博客
02-18 524
mysql的退出有如下3种方式:mysql>exit;mysql>quit;mysql>\q;123mysql登录命令行参数讲解:-D,--database=name 打开指定数据库--delimiter=name 指定分隔符-h,--host=name 服务器名称-p,--password[=name] 密码-P,--port=# ...
JS逆向之美团网模拟登录!这教程杠杠滴~
爬遍所有网站
03-09 3274
切忌用于一切非法途径,否则后果自行承担! 地址:https://passport.meituan.com/account/unitivelogin 一、页面分析 打开网页输入账号:138xxxx8888,密码:123456789点击登录抓包 h5Fingerprint和password的模样基本上就是这个亚子的了,正片请往下看… 二、加密解析 1.password解析 加密定位 搜索password参数: 发现 encrypt.encrypt(da...
爬虫笔记40之反爬系列三:复杂验证码的处理(12306图片验证码、行为验证:selenium鼠标行为链 + 算法)
微信公众号进阶的阿牛哥的博客
10-11 925
一、12306图片验证码
python--破解滑动验证码
weixin_42947172的博客
08-07 3122
#1、破解极验验证码思路 现在极验验证码广泛应用于直播视频、金融服务、电子商务、游戏娱乐、政府企业等各大类型网站 对于这类验证,如果我们直接模拟表单请求,繁琐的认证参数与认证流程会让你蛋碎一地,我们可以用selenium驱动浏览器来解决这个问题,大致分为以下几个步骤: 1、输入用户名,密码 2、点击按钮验证,弹出没有缺口的图 3、获得没有缺口的图片 4、点击滑动按钮,弹出有缺口的图 5、获得有缺口的图片 6、对比两张图片,出缺口,即滑动的位移 7、按照人的行为行为习惯,把总位移切成一段段小的位移 8、按照
镀金天空- 验证码1
weixin_43971225的博客
04-08 897
前言: ①仅作学习所用,可非法利用 ②网页结构的变化较多,代码的可用周期较短,仅作学习分享思路 ③如有侵权,请联系我删除!!谢谢 正文: ​ 普天同庆,就在年前我终于把镀金天空上的13道题写完了。从我做镀金天空开始,飘飘散散也有三四个月了,期间工作、忙毕业也耽误了少时间,最后还是坚持下来写完啦。在镀金天空学到了很多反爬知识,在此感谢群主大大~~。本来是打算过年的时候就把镀金天空系列的解题思路写下来,但是我欢乐的6天春节biu的一下就没了,呜呜呜 ​ 言归正传,今天就来讲一讲验证码-1的解题思路吧。这
获取登陆所需的其他参数
fsh_walwal的博客
06-14 547
这样的登陆获取的参数类型比较多,但基本都是登陆前页面里面的数据,全局搜索一下就可以到。这里就举一个我常见的。同样登陆前开fiddler抓包,登陆后全局搜索:可以看到登陆提交的参数贼多然后随便复制一个值90A550F9,再次全局搜索看到了两个高亮,一个是登陆时提交的,一个就是产生的页面了在第一请求里搜索一下就可以看见那个值了,其他参数同理可得。于是可以写代码了self.session = self...
JS逆向 | 某车帝登录参数逆向
weixin_53318198的博客
01-30 883
JS逆向 | 某车帝登录参数accountpassword逆向
身份验证漏洞 之 身法提升篇
一醉一休的博客
10-27 726
至少在概念上,身份验证漏洞是一些需要了解的最简单的问题。但是,由于身份验证和安全性之间的明显关系,它们可能是最关键的。除了可能允许攻击者直接访问敏感数据和功能外,它们还暴露了额外的攻击面以供进一步利用。因此,学习如何识别和利用身份验证漏洞(包括如何绕过常见的保护措施)是一项基本技能这里的13道实验题目,可以从各个方面进行绕过身份验证,以一样的姿态让你感觉到一样的体验,原来这样也行。
安卓逆向(x车app,登录token)
weixin_44772112的博客
09-07 2199
一、抓包分析 随便输入个手机号之后点击登录,通过抓包可以看到这个token值是加密的,那么接下来就这个token的生成地方 二、静态分析代码 打开jadx(没有的可以去github),把apk拖进来,然后全局搜token发现有很多个比较难定位,换请求地址搜搜看(appapi-gw.yiche.com/app-biz-svc/user/login) (看到这些0oO就想起了搞同盾滑块那段折磨人的日子…听过看多这玩意会近视…) 先右键那个变量,然后点查用例,然后跳到这里来,然后右键图中箭头的地方,跳
unidbg 某汽车类app分析
chilly
12-13 2564
unidbg 模拟执行某汽车app native层算法
单点登录 cas 设置回调地址_单点登录(SSO)看这一篇就够了
weixin_39875629的博客
11-21 1438
背景在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作同的系统时,需要多次登录,而且每个系统的账号都一样,这对于运营人员来说,很方便。于是,就想到是是可以在一个系统登录,其他系统就登录了呢?这就是单点登录要解决的问题。单点登录英文全称Single Sign On,简...
使用jmeter测试登录参数
weixin_43806401的博客
05-22 5019
在测试用户登录时,测试用户登录时需要输入用户名和密码,假如系统允许相同的用户名和密码同时登录,或者想更好的模拟多个用户来登录系统。这个时候就需要对用户名和密码进行参数化,使每个虚拟用户都使用同的用户名和密码进行访问。 这里介绍3种参数化的方式:用户参数、CSV Data Set Config、函数助手 一. 通过“添加前置处理器—>用户参数参数化 1.1 设置方式:添加→...
中国移动H1S-3光猫首发破解&路由器桥接教程
热门推荐
pxmxx的博客
02-21 11万+
进入正题,开始破解 1. 打开Telnet 使用工具:Firefox浏览器和HTTPHeader Live插件 使用光猫后面的普通账号(user)登陆,打开HTTP Header Live插件,在页面上随便点击一个页面,在看HTTP Header Live插件,捕捉到了post信息点击打开一个post,一定和下面的图片一样,但是一定要是POST修改下图上面输入框中链接为:http...
Set-ADAccountPassword-重置用户密码
荒野求生的博客
03-19 2041
https://docs.microsoft.com/en-us/powershell/module/addsadministration/set-adaccountpassword?view=win10-ps Set-ADAccountPassword Module: ActiveDirectory Modifies the password of an Active Directory account. Syntax PowerShellCopy Set-ADAccountPasswor
滑块验证码 爬虫 自动化
最新发布
01-01
针对京东平台上的滑块验证码自动化登录场景[^1],可以利用Python中的`selenium`模块控制Firefox浏览器实例访问指定网页并执行相应的表单提交动作。当遇到滑块验证码挑战时,则进一步借助计算机视觉技术定位滑块的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值