本文仅供学习交流使用,请勿用于商业用途或不正当行为
如果侵犯到贵公司的隐私或权益,请联系我立即删除
抓包分析
可以看出第一次请求会得到一段混淆之后的js,然后执行这个js得到参数timestamp__1258,所以直接使用关键字搜索很难断到加密处
逆向过程
咱们先直接把上边说的这段js复制到浏览器,把js提取出来,然后格式化
可以发现,_0x2576是码表,方法_0x2215是对应的提取函数,所以咱们先试着在_0x2576里搜索一下有没有与timestamp__1258拆解的值,会发现可以直接搜索到timestamp__
所以咋们直接hook一下_0x2215函数
然后运行这个js,然后跟到这个栈
然后扣代码,当然也可以整个文件复制下来慢慢补环境,但是不建议这么做(需要补的环境非常多,扣代码然后缺啥补啥需要补的环境非常少(不到10行))