某勾网之登录过程逆向

已于 2023-09-11 17:58:39 修改
阅读量3w 收藏
点赞数
分类专栏: Web逆向 文章标签: javascript
于 2023-09-07 12:52:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanf7921/article/details/132735498
版权
本文详细介绍了拉勾网登录过程中涉及的验证码、头部参数、请求载荷加密、返回结果解密等环节的逆向分析。重点讨论了X-S-HEADER、X-K-HEADER、X-SS-REQ-HEADER的生成逻辑,以及密码的加密方式,同时提到了登录成功后所需的重要cookie:JSESSIONID和user_trace_token。
摘要由CSDN通过智能技术生成

某勾网之登录过程逆向

一、引言

1.1 声明

声明:
  本文章仅供学习交流使用,不提供完整代码,严禁用于商业用途和非法用途,否则由此产生的一切后果均与本人无关,请各位自觉遵守相关法律法规。
  本文章未经许可禁止转载,禁止任何二次修改(加工)后的传播;若有侵权,联系删除。

交流、合作请留言,24小时内回复!

1.2 简介

  拉勾网的登录过程逆向。

1.3 代办

  由于时间有限,本文中的代码段并不是最终的封装效果,但是都是可以正常使用的,可以在此基础上完善代码规范性。

二、过程解析

2.1 抓包分析

打开 开发者工具 记录请求过程–>
输入账号/密码之后 点击登录 首先会弹出极验的验证码,验证码通过之后,才会进行登录请求发包。载荷数据和返回数据都是加密的,而且请求头中有几个参数也需要逆向(具体如下图)。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
shanf7921
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
JS逆向之拉勾password
onejane
04-12 360
https://www.lagou.com/ 抓包 登录url: GET https://passport.lagou.com/login/login.json 参数: jsoncallback: jQuery11130510950445912626_1618227551741 isValidate: true username: 15806204095 password: 990eb670f81e82f546cfaaae1587279a request_form_verifyCode: challeng
拉钩免登录爬虫
qq_42452095的博客
06-24 831
最近在看拉钩招聘的游客访问 发现cookie有三个字段 user_trace_token X_HTTP_TOKEN lg_stoken 但是前面两个都是在错误请求的时候会返回的。只有第三个是生成的。 放弃了? 不。干他! 浏览器进入拉钩城市列表页面 https://www.lagou.com/jobs/allCity.html。然后F12>Application>Storage>清理缓存 然后刷新一下页面,发现第一个请求是302,然后多次请求别的URL,最后才请求成功 点开请求成功
JS逆向 -- 某平台登录加密分析
weixin_41489908的博客
05-06 2345
八、选中“m(n.pwd.substr(0, 16))”,鼠标放上去,自动提示加密结果,可以分析除,是m函数进行了加密。十一、将该函数的同作用域范围的函数都复制到调试软件,并将该匿名函数改为aiyou函数,点击加载代码,成功加载。九、把鼠标放到m函数上,自动弹出下面的对话框,可以查看m函数所在的位置,点击进入该函数。十二、调用该函数,双击该函数,输入参数,点击运行获取结果。三、加密结果是32位,首先考虑是md5加密。六、找到给pwd赋值的语句,双击左边,下断,四、全局搜索pwd,点击右上角,点击搜索。
【2022-01-19】JS逆向之拉钩登入(下)
骑毛驴的猴的博客
01-19 4197
文章仅供参考,禁止用于非法途径 文章目录前言一、页面分析二、加解密定位和分析总结 前言 上篇【2022-01-11】JS逆向之拉钩登入(上)讲到了加密用到的aeskey,这篇继续讲 一、页面分析 这个https://gate.lagou.com/system/agreement 接口是激活aeskey的,然后回返回secretKeyValue,用于后续请求头里的X-SS-REQ-HEADER 和 X-K-HEADER 然后这个X-S-HEADER就是接口链接的aes加密了 二、加解密定位和分析
xposed安装,与android逆向工程之xposed的hook
抗忙北鼻来斯购
08-06 1233
Xposed installer安卓安装和使用 文章目录Xposed installer安卓安装和使用(一)Xposed installer安卓安装0.百度网盘-我所用的apk(3.1.5)和zip(sdk21,arm,80/89)包(具体版本看安卓机版本)1.下载xposed installer apk安卓真机(我最后也未激活成功555)下载xposed installerxposed框架里面勾上“禁用资源钩子”报错已安装但未激活,雷电模拟器下载xposed installerxposed框架里面勾上“禁
某网站提交登陆信息加密JS逆向实战分析
热门推荐
吴秋霖的博客
07-14 1万+
爬虫在模拟网站登陆的过程中发现用户信息都是被加密处理的,怎么办?一个案例教你JS逆向分析加密算法
js逆向实战之某麻将数据逆向
12-31
js逆向实战之某麻将数据逆向 在本篇文章中,我们将通过实际案例来演示 JavaScript 逆向技术在某麻将游戏数据逆向中的应用。 知识点1:JavaScript 逆向技术 JavaScript 逆向技术是指通过对 JavaScript 代码的分析...
webpack实战:某网站RSA登录加密逆向分析
吴秋霖的博客
09-12 8126
某网站登录RSA加密,深度分析webpack代码并构建完整的加密webpack代码!
apk逆向思路_某apk算法逆向分析过程之旅
weixin_32541663的博客
12-24 1160
某apk算法逆向分析过程对某app抓包时发现所有请求都进行了加密,便对加密算法简单分析了下。0x00在之前的app算法分析中都喜欢从登录处开始入手,但这次因为安装在模拟器 的 app 点登录后直接崩溃, so ,换了个入口点。 很 多 app 最终调用的算法函数名称存在 encrypt 、 decrypt 关键字, 用 jadx 反编译 apk , 全局搜索 关键字 "decrypt" 。打开 S...
vue ref和reactive区别
灰海
08-25 6336
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
【项目】云备份系统笔记
m0_73713491的博客
08-27 1068
就包含一个类,config,是读取配置文件的类,因为配置文件只有一份,所以可以采用单例模式,把config类的构造函数私有化,只能通过一个公共成员函数getinstance()来创建对象(new config()),在类的内部可以调用私有化构造函数,构造函数里面再调用读取配置文件的函数,用自己实现的工具类读取配置文件,将读到的内容放到一个字符串中,然后再将字符串用Json进行序列化,然后给类中的成员变量进行赋值,类中的成员变量就包含了cloud.conf里面包含的信息,一一对应。
jQuery基础——DOM
m0_54066656的博客
08-27 2098
JQ基础——DOM操作
从面向对象(OOP)到面向切面(AOP):编程范式的演变
妍思码匠的博客
08-30 1006
本文深入探讨了面向切面编程(AOP)在前端开发中的应用,解释了AOP如何通过动态增强与代码复用、降低模块间耦合度,为前端项目带来更高效、更模块化的解决方案。通过具体案例分析,如日志记录切面和动态埋点的实现,展示了如何利用装饰器模式、高阶组件等技术在前端实现AOP。理解AOP的原理与实践,将有助于开发者构建更易于维护和扩展的前端应用。无论你是前端新手还是资深开发者,本文都将为你提供有价值的见解和实用技巧。
vue3使用-watch监听总结
最新发布
weixin_44072254的博客
09-01 246
{deep: true, immediate: true, flush: 'post'}:deep是深度监听;flush:如果想在侦听器回调中能访问被 Vue 更新之后的所属组件的 DOM就用'post',sync'创建一个同步触发的侦听器,它会在 Vue 进行任何更新之前触发;flush: 'post', 如果想在侦听器回调中能访问被 Vue 更新之后的所属组件的 DOM就用'post'flush: sync',创建一个同步触发的侦听器,它会在 Vue 进行任何更新之前触发。监听数组的方式-示例。
JavaWeb——前端工程化
m0_50460160的博客
08-30 738
通过解构赋值,可以访问到对象中的属性,并将其赋值给对应的变量,从而提高代码的可读性和可维护性;ES6 的解构赋值是一种方便的语法,可以快速将数组或对象中的值拆分并赋值给变量。该语句将数组 [1,2,3]中的第一个值赋值给a变量,第二个值赋值给b变量,第三个值赋值给c变量。ES6引入的模块化功能为JavaScript代码的组织和管理提供了更好的方式,不仅提高了程序的可维护性,还让JavaScript更方便地应用于大型的应用程序;并不是变量的值不得改动,而是变量指向的那个内存地址所保存的数据不得改动;
class 2: vue.js 3 模板语法和内置指令
ComingLiu的博客
08-29 630
vue.js 3
vue part 5
E___V___E的博客
08-29 824
生命周期:1 .又名:生命周期回调函数、生命周期函数、生命周期钩广。2 .是什么:Vue在关键时刻用我们调用的一些特殊名称的函数。3•生命周期函数的名字不可史改,但函数的具体内容是程序员根据需求编写的.4 .生命周期函数中的this指向是vm或组件实例对象。
滴滴前端日常实习一面
weixin_46714216的博客
08-31 398
滴滴前端面经
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值