js逆向之Webpack案例1

最新推荐文章于 2024-01-18 18:04:59 发布
最新推荐文章于 2024-01-18 18:04:59 发布
阅读量582 收藏 3
点赞数
文章标签: javascript webpack 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sin_0119/article/details/129782256
版权

网站:YUhSMGNITWxNMEV2TDNkM2R5NW5iVGs1TG1OdmJTOCUzRA==

目标:拿到加密密码的代码

分析方法:

01.image-20220820163621076

02.向上看到底是模块化的还是普通的

//1.webpackfunction(x){
    function xxx(y){    #这个是模块加载器,这个y传入的可以是索引和对象的key,参数表示的是列表或对象的形参
        x[y].call(参数) 
    }
}( [function(){},
    function(){},
    function(){}
   ] );传入的可以是列表也可以是对象
//或者是对象
({
    1:function(){},
    2:function(){},
    3:function(){}
})  //括号里面的是自执行时传给x的实参

//2.普通的
function(){}
function(){}

image-20220821174338077我们需要encode函数, encode是对象n的一个成员方法, 那我们就需要对象n,所以我们需要包含这个对象的方法!

2 image-20220820165125204

蓝色部分是上述加密代码所在的函数里面,所以可以看出此次密码的加密是模块化的

03.所以加密的函数其实只是传入的列表或对象里的其中一项,所以此时需要找到模块加载器,也就是自执行代码中出现call或者apply的函数,也就是要扣代码,所以扣代码的步骤:

"""
1.构造一个自执行方法
2.找到这个加载器(加载模块的方法) #通过复制然后删除其他不必要的代码只留所谓的模块加载器
!function(t) {
    function e(s) {
        if (i[s])
            return i[s].exports;
        var n = i[s] = {
            exports: {},
            id: s,
            loaded: !1
        };
        return t[s].call(n.exports, n, n.exports, e),
        n.loaded = !0,
        n.exports
    }
}()  如果不确定可以放到console中运行一下以此判断整理得到的函数是否是没有错误的
3.找到调用的模块
也就是要找密码的加密方法,进入到a.encode()这个方法,
得到的是:
       n.prototype.encode = function(t, e) {
                var i = e ? e + "|" + t : t;
                return encodeURIComponent(this.jsencrypt.encrypt(i))
            } 然后通过断点看一看它们表示的是什么,如果开头断不住,可以试一下断return 

"""

image-20220820195046194

可以观察到这个方法返回的仍然是调用了一个方法,其中i是通过拼接到的字符串,所以仍要进入到方法当中找到调用的方法!

image-20220820195546875

进入之后指向的是所选部分,至于为什么知道它不是调用的函数是因为放上去时显示的并不是方法

可以发现实际调用的方法就是4:function(){}中,所以我们要找的要调用的模块就是这个,只要复制4:function(t,e,i){}放到自执行函数的对象里面即可。

最后整理后得到的是:

image-20220821182529271

image-20220821183052493

image-20220821183227431

然后传入参数就可得到一开始找到的o

sin_0119
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python爬虫,JS逆向webpack 打包站点原理与实战
01-07
Python爬虫,JS逆向webpack 打包站点原理与实战
JS逆向Webpack自吐
qq_15326513的博客
07-15 2514
在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码。webpack自吐所有方法和webpack精减代码法。把这两个方法结合起来使用。一、Webpack是什么??webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块.概念:webpackJavaScript 应用程序的模块打包器,可以把开发中的所有资源(图片、js文件、css文件等)都看成模块,通过loader(加载器)和plugins(插件)对资源进行处理,打包成符合生产环境部署的前端资源。
JS逆向Webpack(一)
Wxc的Blog
03-09 5941
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
js逆向——webpack扣法
sin_0119的博客
03-19 4257
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
JS逆向实战19——通杀webpack逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-30 2472
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 aHR0cHM6Ly9mb2dhbmctbS5pdG91Y2h0di5jbi9tZWRpYURldGFpbC8zODc1Nw== aHR0cHM6Ly93d3cuZ205OS5jb20v webpack是什么?...
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 1934
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
js 逆向实战之webpack 改写
01-12
"JS 逆向实战之 Webpack 改写" 在本节中,我们将探讨 JS 逆向实战之 Webpack 改写的技术要点。Webpack 是一个流行的 JavaScript 模块加载器和打包工具,广泛应用于前端开发中。通过对 Webpack逆向工程和改写,...
js 逆向实战之分离式 webpack 非 IIFE 改写
01-13
JavaScript 逆向实战之分离式 Webpack 非 IIFE 改写详解 在 JavaScript 逆向实战中,了解 Webpack 的工作机制及其模块加载器是非常重要的。下面,我们将详细介绍 Webpack 非 IIFE 改写的实现原理和实战案例。 ...
webpack的学习案例
08-25
webpack入门学习
vue.js之实战webpack.pdf
02-15
1. **Webpack 配置基础** - **配置文件结构**:Webpack 的配置文件是一个 Node.js 模块,通常命名为 `webpack.config.js`,采用 CommonJS 规范编写。配置文件没有固定名称或路径要求,可以通过 `--config` 参数指定...
JS逆向学习】36kr登陆逆向案例webpack
最新发布
学海无涯
01-18 1251
在开始讲解实际案例之前,大家先了解下webpack的相关知 WebPack打包 webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块 概念: Webpack是一个现代JavaScript应用程序的静态模块打包工具。它可以将许多不同的模块(包括JavaScript、CSS、图像等)打包成一个或多个静态资源文件,以供浏览器加载。 Webpack的核心概念包括: 入口(Entry):指定Webpack开始构建依赖图谱的入口文件。Webpack会从入口文件开始递归地解析和处理所有依赖模块。 输出
JS逆向|webpack的各种解法,最后一种简直是王炸。
热门推荐
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
05-11 1万+
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!一.概念‍webpack 是一个用于现代 JavaScript 应用程序的 静态模块打包工具。当 webpack 处理应用程序时,它会在内部从一个或多个入口点构建一个 依赖图(dependency graph),然后将你项目中所需的每一个模块组合成一个...
Python爬虫之Js逆向案例(9)-某名科技之webpack
玛卡`三少 的博客
08-23 1765
大家好,在上一节我们通过知乎的x-zst-81进行熟悉了webpack,在文章中我们认识了webpack打包后的产物、如何扣代码,不过知乎的大包后的文件非常的庞大,对新手来说,扣代码可能有些难度,为了更透彻的讲解webpack打包逆向,今天打算选用一个简单的案例继续练习webpack逆向,这节可能是的最后一节有关webpack案例了,所以希望童鞋们在练习的时候能完全掌握!!!下面会进行以下几步进行分析(下方演示过程全部使用chrome浏览器);webpack
JS逆向 webpack解密
lmttlw的博客
11-18 3562
JS webpack解密 ,这个网站很坑,那个验证字段搜不到,XHR断点也断不到,就很奇怪,不过竟然我敢写这篇文章,就代表我是过了的。
js逆向webpack实战1
weixin_46468720的博客
10-19 647
发现:function(t,e,i)的时候,密码还是明文:123456,但是经过:a.encode(t.password, s),密码变成密文;到这一步就确定加密函数位置了,不要再进this.getKey().encrypt(t)这个函数看,这个函数里是加密的具体逻辑了,如果进去看了,心态会崩溃的诶。把这个模块扣下来,放到上面删减好的模块加载器中,由于模块加载器的参数定义的是个数组,所以给刚扣下来的模块取个名字。开始扣代码:先把加密函数this.getKey().encrypt(t)所在的模块扣下来,
js逆向webpack
weixin_46468720的博客
10-19 1376
webpack遇到其它站的代码,扣加载器的时候,例如下图,除了function n(t){}这个函数,其它代码都删掉,判断标准是它带call或者apply。然后简化下加载器,对照着上面webpack最简单的样子,简化。案例:例如定位到的方法在一个webpackjs文件中。1、找到加载器(加载模块的方法)扣代码会遇到的基本2种形式。然后把他的模块加载器扣下来。3、构造一个自执行方法。
webpack实战:某网站JS逆向分析
吴秋霖的博客
09-04 9916
webpack实战分析
网页爬虫之WebPack模块化解密(JS逆向
z_ipython的博客
04-26 4603
然后重写 window[“webpackJsonp”] 数组的 push( ) 方法为 webpackJsonpCallback( ),也就是说 window[“webpackJsonp”].push( ) 其实执行的是 webpackJsonpCallback( ),window[“webpackJsonp”].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要。所有的资源都是通过JavaScript渲染出来的。
爬虫:JS逆向Webpack-乾坤大挪移
gwb0516的专栏
11-21 2900
通俗易懂webpack逆向的教程,方便初学者可以对照着一步一步验证调试。
js逆向笔记webpack
05-31
JavaScript逆向工程涉及到逆向分析、代码还原、代码修改等多个方面,其中Webpack作为一个重要的静态模块打包器,也是逆向工程中需要重点关注的一部分。以下是一些关于Webpack逆向的笔记: 1. Webpack的打包过程是从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值