某公众平台的登陆js逆向(一)

已于 2022-12-31 23:22:21 修改
阅读量486 收藏 1
点赞数
文章标签: javascript html 前端
于 2022-12-26 22:18:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47129087/article/details/128449763
版权

开头:

本系列仅仅是本人开始学习逆向练手项目,记录一下自己的逆向之路。

逆向过程分析:

我们进入到某网站的登陆页面,

首先我们输入一些错误的登陆数据,打开开发者工具进行接口抓包

 通过观察,我们可以看到只有参数pwd进行了加密,

那么我们就全局搜索一下pwd,看看有没有什么发现。

通过查找,发现了一处可疑的地方,并打上断点,

再重新click 登陆请求

果不其然!断点停住了 

我们输出的密码为12345

 可见传入m的参数就是为我们的密码的截取前16位,

现在我们来继续跟进一下m函数。

虽然是一大坨看不懂的东西,但是我们知道这个return返回的东西就是 加密过的pwd,

并且传入的参数 t 和 n 都是 null

因此我们可以先改写一下函数,得到一个return pwd的函数

 并尝试将上面看起来相关的一部分js代码 拷贝到调试工具中

 并调用getPwd("123456")方法,

惊喜的得到了结果!

并且经过多次运行,发现返回的结果的值都是相同的,

因此考虑到有可能是md5算法加密的,

md5算法加密后产生是固定长度的 (一般为16或32位)数据,

至此,我们完成了数据的解密。

import execjs
# 1、实例化一个node对象
node = execjs.get()
# 2、js源文件源文件编译
ctx = node.compile(open('wechat.js', encoding='utf-8').read())
# 3、执行js代码
pwd = ctx.eval('getPwd("123456")')
print(pwd)

运行结果:

e10adc3949ba59abbe56e057f20f883e

 后续将相应固定数据进行补全,再发送post请求。

声明:本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!

Memory_Release
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习通登录逆向
weixin_66608315的博客
11-10 1615
学习通登录
记录某网站登录js逆向解密过程
zy_javapythonc的博客
07-22 834
某网站js逆向
逆向百例】百度翻译js逆向
最新发布
海哥python的博客
04-29 812
分析百度翻译接口,使用python获取翻译结果。本文只提供一些思路,随着时间的推移,网站会维护,以上代码不会一直都有效,需要重新分析。
JS逆向之某居客模拟登录
野草的博客
08-25 744
本文章仅供学习交流,此次逆向的是某居客购房网址。
js逆向之百度翻译
py的学习者
01-05 1198
js逆向入门之百度翻译附源码
某大学教务在线登录逆向
ssfsj的博客
04-15 953
网址:aHR0cHM6Ly9pZHMuY3F1cHQuZWR1LmNuL2F1dGhzZXJ2ZXIvbG9naW4= 目标:本次目标是完整的登录进该网站,逆向该网站的参数,并使用python模拟登录 1.开启f12抓包,可以输入一个常用的username和pwd,一般我username使用11111111111,pwd使用111111,然后找到登录的包查看,主要有两个加密参数,一个password和一个execution 2.找到需要加密的参数后,查看堆栈,发现是一堆看不懂的东西,然后差不多可以
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向学习时,首先需要通过反混淆技术将混淆...
js逆向实战之某麻将数据逆向
12-31
js逆向实战之某麻将数据逆向 在本篇文章中,我们将通过实际案例来演示 JavaScript 逆向技术在某麻将游戏数据逆向中的应用。 知识点1:JavaScript 逆向技术 JavaScript 逆向技术是指通过对 JavaScript 代码的分析...
某东商智JS加密逆向 易语言源码
09-24
逆向js找到User-mnp、User-mup和uuid 源码已经写出来了,没有加密的模块等
javascript逆向 js混淆 乱码增强 js逆向学习
03-08
了解如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过学习逆向工程,可以更好地理解代码运行原理,并从中获益。然而,在进行逆向工程时,务必遵守法律法规,维护知识产权。...
JS逆向 房天下登录RSA
12-23
0x01 目标网址 aHR0cHM6Ly9wYXNzcG9ydC5mYW5nLmNvbS8NCg== 0x02 定位js 1.随变输入账号和密码,点击登录,查看提交的参数 我们可以看到, 密码进行了加密,接下来我们搜索参数 pwd 3.点击跟进去,然后进行代码格式化,在pwd处打上断点 0x03 分析js 1.打上断点之后,我们再次点击登录,停在了我们打断点的地方 2.我们跟进去加密函数,代码格式化,RSA.min.js,明显就是 RSA算法,我们把所有的 js拷贝出来 3.我们分析key_to_encode,我们全局搜索一下,可以搜索到,我们复制下来 4.仿照上面的方式,我们写一
关于爬虫如何做js逆向的思路
04-26
阿里云资料ppt讲解介绍 来越的的公司注重数据,如何断绝他人独立网站数据是如今互联网公司的一个主题。js加密作为爬虫一个绕不过的关卡,如何更加有效率的破解加密参数,相信这节课会给你一个大概的思路。
JS逆向之百度翻译
自成背后的博客
06-27 4005
文章目录1. 抓包分析2. sign参数分析3. 由表及里,探索sign是如何生成的4. 编写Python代码测试飞扬的少年最动人心,奔跑的时候像是穿过了光阴,加油啊! 1. 抓包分析 目标网址,百度翻译:https://fanyi.baidu.com/?aldtype=16047#auto/zh 我们打开网站,输入要翻译的数据开始抓包分析,如下: 点开请求头,看看我们需要什么样的相关的参数: 这样我们就找到了翻译接口,并且知道了请求方式是post方式,滑到最下面看看我们需要post什么参数: 2.
JS算法逆向实战
一个孤独漫步者的遐想的博客
11-11 1524
JS算法逆向实战抓包调试扣取JS方法一方法二方法三方法四 抓包 url:https://www.##.com/ 登录:##:123456 调试 搜索:password、userid md5原生包含的值:123456789、abcdef、1732584193、271733879、1732584194… 1、搜索password 2、点进去然后代码格式化,再做查找 注意:赋值可能出现的形式: ##.password=# password=#(代码没有格式化删除空格,格式化后的代码需要加空格) ##=
【2020-11-04】JS逆向之某宝模拟登入
骑毛驴的猴的博客
11-04 5806
文章目录前言一、页面分析二、参数来源三、参数破解四、扣源码吧五、运行调试六、请求源码 前言 某宝登入接口:https://login.taobao.com/ 一、页面分析 二、参数来源 loginId:输入的手机号 password2:加密的登入密码 ua:根据user-agent生成,可以直接拿来用 _csrf_token:从进入网页的源码中获取 umidToken:从进入网页的源码中获取 hsiz:从进入网页的源码中获取 三、参数破解 我们了解到参数来源后,需要解决的就是passw.
js aes加密_一次艰难的登陆JS逆向分析
weixin_39815310的博客
12-03 222
一次艰难的登录JS逆向分析仅限供参考学习,请勿用于非法用途,否则后果自负前段时间我一直在研究JS逆向分析,然后逆向了好多网站,常见的几种POST加密参数的方式无非就那几种:•RSA•AES•DES•SHA256•MD5但是我最近碰到了一个站常用多层加密方式,很容易给人家带头晕,然后我花了一段时间研究,跟好朋友学习,最终实现了逆向的过程,在这里觉得有必要写一篇文章给大家学习一下。事情起因:...
JS 逆向涉及的语法全在这,拿走不谢!
AI悦创·编程私教1v1
08-09 4283
你好,我是悦创。 欢迎关注公众号:AI悦创,最先更新在微信公众号! 今天我们主要会介绍跟 Java Script 的逆向相关的基础知识以及 JavaScript 必备的语法以及一些进阶的内容。 目录 JavaScript 简介 1.1 JavaScript 介绍 1.2 网页三剑客 1.3 JavaScript 发展 JavaScript 语法 2.1 数据类型 ​ 2.1.1 Object 对象 ​ 2.1.1.1 对象数据结构 ​ 2.1.2 Array 数组 ​ 2.1.3 Strin
JS逆向实战8——某网实战
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-21 535
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
广东省公共资源交易平台js逆向
01-13
广东省公共资源交易平台是一个提供公共资源交易信息和服务的平台。在平台上,用户可以查看和发布招标、拍卖、询价等各类交易信息,并进行相关业务操作。js逆向是指对该平台前端js代码进行反向分析和解析,以了解和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值