js逆向——客户端js生成cookie反爬

最新推荐文章于 2024-09-07 11:15:00 发布
最新推荐文章于 2024-09-07 11:15:00 发布
阅读量1.2k 收藏 17
点赞数 13
文章标签: javascript 安全 python 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tandy12356_/article/details/140875806
版权

一、确定爬取目标

今日受害者网址:https://xueqiu.com/today

我们的目标是爬取雪球的热帖内容

二、逆向分析

直接全局搜索字符串,找到响应数据所在的接口(查看标头)

然后我们检索对应接口

ok,找到接口文件之后可以重放测试反爬参数了

把你认为可疑的参数抹掉,观察能否正常拿到数据

如果问题不大,下一步测试cookie存不存在反爬

上来直接人狼🐺话不多,把所有cookie都删了,发现拿不到数据包了,说明至少有一个cookie是必要的,或者说是被设置了反爬

下面就是一个个的删除测试是哪个cookie了呗。至于怎么删除,我的评价是二分法删除,直接二话不说就把客户端生成的cookie统统删掉

然后重放,发现不影响,说明客户端的那堆cookie并不影响

ok,现在我们继续来删除服务端的cookie

继续二分,可以先删除不带_的,或者什么其他的逻辑,别搞混就彳亍

剩下几个差不多的,可以直接记录下来比较,反正最后我们发现xq_a_token就是那个罪魁祸首

然后我们首先需要对xq_a_token进行定性,发现是服务端生成的(easy,内心窃喜😃)

ok,我们直接搜索xq_a_token,很快找到是在xueqiu.com/today这个接口里面进行的Set-Cookie

自然地,下一步,就是要过滤today接口了

结果发现today生成的位置一共有2处

我们先看瀑布流的第一个接口

再来看第二个接口,发现xq_a_token正是由这个接口生成

接下来我们愉快地编码实现,发现如果只是单纯地请求2次接口,得到的是相同的结果,第二次请求并不能拿到a_token

然后我们去观察浏览器上的第二次请求,发现是携带了2个cookie进行请求,才得到的xq_a_token

其中acw_tc比较容易搞定,通过会话session维持即可,重点就是由js生成的acw_sc_v2参数,这个是我们需要重点js逆向分析的对象

首先清除缓存和cookie,由于我们不清楚cookie生成的时机,为了确保正确注入,我们需要给网页下script断点,然后重新加载网页

结果脚本运行到后面遇到了无限debugger,而 无限debugger是在setcookie之前执行的

三、过掉无限debugger

下一步就是过掉无限debugger

然后我们来简单分析一下这个无限debugger

function _0x355d23(_0x450614) {
                if (('' + _0x450614 / _0x450614)[_0x55f3('0x1c', '\x56\x32\x4b\x45')] !== 0x1 || _0x450614 % 0x14 === 0x0) {
                    (function() {}
                    [_0x55f3('0x1d', '\x43\x4e\x55\x59')]((undefined + '')[0x2] + (!![] + '')[0x3] + ([][_0x55f3('0x1e', '\x77\x38\x50\x52')]() + '')[0x2] + (undefined + '')[0x0] + (![] + [0x0] + String)[0x14] + (![] + [0x0] + String)[0x14] + (!![] + '')[0x3] + (!![] + '')[0x1])());
                } else {
                    (function() {}
                    ['\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72']((undefined + '')[0x2] + (!![] + '')[0x3] + ([][_0x55f3('0x1f', '\x4c\x24\x28\x44')]() + '')[0x2] + (undefined + '')[0x0] + (![] + [0x0] + String)[0x14] + (![] + [0x0] + String)[0x14] + (!![] + '')[0x3] + (!![] + '')[0x1])());
                }
                _0x355d23(++_0x450614);
            }

由于混淆并不困难,可以尝试手动解开混淆,发现其实if..else两个流程都是一个效果,而且最前面的if条件显然也是恒成立的,所以这一大段function实现的功能其实就是一句话:(function(){}['constructor']('debugger')())

那么这条语句是什么意思呢?问一下chatgpt:

其实就等效于(Function(){debugger;}()),'debugger'其实就是执行的语句

也就是经典的:

(function anonymous(
) {
debugger;
})

下面再补充一个直观的展示:

(function(){}['constructor']('var x = 10; console.log(x);')())

ok,现在我们已经知道无限debugger的生成位置了,也就是下面这个函数:

function _0x355d23(_0x450614) {
                if (('' + _0x450614 / _0x450614)[_0x55f3('0x1c', '\x56\x32\x4b\x45')] !== 0x1 || _0x450614 % 0x14 === 0x0) {
                    (function() {}
                    [_0x55f3('0x1d', '\x43\x4e\x55\x59')]((undefined + '')[0x2] + (!![] + '')[0x3] + ([][_0x55f3('0x1e', '\x77\x38\x50\x52')]() + '')[0x2] + (undefined + '')[0x0] + (![] + [0x0] + String)[0x14] + (![] + [0x0] + String)[0x14] + (!![] + '')[0x3] + (!![] + '')[0x1])());
                } else {
                    (function() {}
                    ['\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72']((undefined + '')[0x2] + (!![] + '')[0x3] + ([][_0x55f3('0x1f', '\x4c\x24\x28\x44')]() + '')[0x2] + (undefined + '')[0x0] + (![] + [0x0] + String)[0x14] + (![] + [0x0] + String)[0x14] + (!![] + '')[0x3] + (!![] + '')[0x1])());
                }
                _0x355d23(++_0x450614);
            }

向上回溯找到调用位置

过掉无限debugger: 

不能never pause here的原因:会出现无限递归调用,而且代码生成的位置一直在变化,使得栈溢出(内存炸弹)

不能使用fiddler的原因:1、加载的太早了,有可能后面刷新控制台/再次重写了2、服务器发包后接收客户端响应超时,触发reload函数,reload之后,之前运行的hook脚本会被重置3、时机必须是设置定时器之前,如果太早重写的代码可能会被再次覆盖 

而一旦setcookie没有超时,就会加载真正的网页了,前面的流程也就彻底结束了

先hook无限debugger再hook cookie能成功的原因:执行完setcookie之后会reload(同一个文件(today),成功之后可能代码会发生变化(没超时)),由于setcookie之前没有reload所以能顺利过掉无限debugger
有没有方法能跳过/不让一个函数执行》js本地保存调试:将网页js保存到本地,把debugger函数进行修改然后使用浏览器开发者工具替换修改js,或者通过FD工具替换。

无限debbugger不会真正得死循环,而是有规律得执行逻辑,一般用定时器

四、acw_sc_v2参数的获取

由于先生成无限debugger,再setcookie,所以先执行hook debugger的脚本,再执行hook cookie的脚本

然后我们就顺利跟到了acw_sc_v2生成的位置

然后跟栈,找到参数值生成的位置

五、扣js代码

下面就进入愉快的扣代码环节了

直接放到vscode里面去跑

补充:arg1='FA6AEB89B2318F527AD3AE807660BD7BCE67DDFA'

补充后结果报错: 

我们将arg1.unsbox函数扣去出来,并解开混淆

String['prototype']['unsbox'] = function() {
    var _0x4b082b = [0xf, 0x23, 0x1d, 0x18, 0x21, 0x10, 0x1, 0x26, 0xa, 0x9, 0x13, 0x1f, 0x28, 0x1b, 0x16, 0x17, 0x19, 0xd, 0x6, 0xb, 0x27, 0x12, 0x14, 0x8, 0xe, 0x15, 0x20, 0x1a, 0x2, 0x1e, 0x7, 0x4, 0x11, 0x5, 0x3, 0x1c, 0x22, 0x25, 0xc, 0x24];
    var _0x4da0dc = [];
    var _0x12605e = '';
    for (var _0x20a7bf = 0x0; _0x20a7bf < this['length']; _0x20a7bf++) {
        var _0x385ee3 = this[_0x20a7bf];
        for (var _0x217721 = 0x0; _0x217721 < _0x4b082b['length']; _0x217721++) {
            if (_0x4b082b[_0x217721] == _0x20a7bf + 0x1) {
                _0x4da0dc[_0x217721] = _0x385ee3;
            }
        }
    }
    _0x12605e = _0x4da0dc['join']('');
    return _0x12605e;
}

结果报错:

这个我们直接静态补充完整即可:var _0x5e8b26 = '3000176000856006061501533003690027800375' 

结果又报错:

 

我们将对应函数从浏览器当中扣去出来,并解开混淆

String['prototype']['hexXor'] = function(_0x4e08d8) {
    var _0x5a5d3b = '';
    for (var _0xe89588 = 0x0; _0xe89588 < this['length'] && _0xe89588 < _0x4e08d8['length']; _0xe89588 += 0x2) {
        var _0x401af1 = parseInt(this['slice'](_0xe89588, _0xe89588 + 0x2), 0x10);
        var _0x105f59 = parseInt(_0x4e08d8['slice'](_0xe89588, _0xe89588 + 0x2), 0x10);
        var _0x189e2c = (_0x401af1 ^ _0x105f59)['toString'](0x10);
        if (_0x189e2c['length'] == 0x1) {
            _0x189e2c = '\x30' + _0x189e2c;
        }
        _0x5a5d3b += _0x189e2c;
    }
    return _0x5a5d3b;
}

再次运行得到了正确的结果:

 

我们重新加载网页,输出arg1和0x5e8b26的数值,观察他们是不是静态参数,结果发现arg1是动态生成的,0x5e8b26是静态的可以写死

 

我们直接搜索arg1,结果发现就是每次请求返回的today接口里面从script里面提取出来的 

 

ok,现在get_acw_sc_v2功能就彻底实现了,下面就是愉快的编码环节了

首先将get_acw_sc_v2函数进行封装,便于在python当中进行调用

var _0x5e8b26 = '3000176000856006061501533003690027800375'
String['prototype']['unsbox'] = function() {
    var _0x4b082b = [0xf, 0x23, 0x1d, 0x18, 0x21, 0x10, 0x1, 0x26, 0xa, 0x9, 0x13, 0x1f, 0x28, 0x1b, 0x16, 0x17, 0x19, 0xd, 0x6, 0xb, 0x27, 0x12, 0x14, 0x8, 0xe, 0x15, 0x20, 0x1a, 0x2, 0x1e, 0x7, 0x4, 0x11, 0x5, 0x3, 0x1c, 0x22, 0x25, 0xc, 0x24];
    var _0x4da0dc = [];
    var _0x12605e = '';
    for (var _0x20a7bf = 0x0; _0x20a7bf < this['length']; _0x20a7bf++) {
        var _0x385ee3 = this[_0x20a7bf];
        for (var _0x217721 = 0x0; _0x217721 < _0x4b082b['length']; _0x217721++) {
            if (_0x4b082b[_0x217721] == _0x20a7bf + 0x1) {
                _0x4da0dc[_0x217721] = _0x385ee3;
            }
        }
    }
    _0x12605e = _0x4da0dc['join']('');
    return _0x12605e;
}

String['prototype']['hexXor'] = function(_0x4e08d8) {
    var _0x5a5d3b = '';
    for (var _0xe89588 = 0x0; _0xe89588 < this['length'] && _0xe89588 < _0x4e08d8['length']; _0xe89588 += 0x2) {
        var _0x401af1 = parseInt(this['slice'](_0xe89588, _0xe89588 + 0x2), 0x10);
        var _0x105f59 = parseInt(_0x4e08d8['slice'](_0xe89588, _0xe89588 + 0x2), 0x10);
        var _0x189e2c = (_0x401af1 ^ _0x105f59)['toString'](0x10);
        if (_0x189e2c['length'] == 0x1) {
            _0x189e2c = '\x30' + _0x189e2c;
        }
        _0x5a5d3b += _0x189e2c;
    }
    return _0x5a5d3b;
}

function get_acw_sc_v2(arg1){
    var _0x23a392 = arg1['unsbox']();
    arg2 = _0x23a392['hexXor'](_0x5e8b26);
    return arg2;
}

var acw_sc_v2 = get_acw_sc_v2('FA6AEB89B2318F527AD3AE807660BD7BCE67DDFA')
console.log(acw_sc_v2);
console.log('over')

六、最终Python代码实现

然后就是具体的python代码实现爬取热帖内容了

大体上就是首先请求today接口获取acw_tc cookie,然后再次请求today接口获取关键参数acw_sc_v2,返回a_token之后就可以顺利请求热帖接口获取响应文本了

具体的代码实现如下:

import requests
import re
import execjs

headers = {
    "Connection": "keep-alive",
    "Pragma": "no-cache",
    "Upgrade-Insecure-Requests": "1",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.71 Safari/537.36 Core/1.94.253.400 QQBrowser/12.6.5678.400",
    "Sec-Fetch-Mode": "navigate",
    "Sec-Fetch-Dest": "document",
    "Referer": "https://xueqiu.com/today",
}
url_today = "https://xueqiu.com/today"
ses = requests.session()
# 第一次请求
response = ses.get(url_today,headers=headers,timeout=10)
# print(response.text)
arg1 = re.search("arg1='(.*?)'", response.text).group(1)
print(dict(ses.cookies))

# 通过js生成acw_sc_v2
with open('acw_sc_v2.js','r',encoding='utf-8') as f:
    ctx = execjs.compile(f.read())
acw_sc_v2 = ctx.call('get_acw_sc_v2', arg1)
ses.cookies.update({'acw_sc__v2': acw_sc_v2})
# 第二次请求获取xq_a_token
ses.get(url_today,headers=headers,timeout=10)
print(dict(ses.cookies))
# 第三次请求拿到热帖的具体文本
url_hot = 'https://xueqiu.com/statuses/hot/listV2.json?since_id=-1&max_id=-1&size=15'
response = ses.get(url_hot,headers=headers,timeout=10)
print(response.json())
for item in response.json()['items']:
    title = item['original_status']['title']
    description = item['original_status']['description']
    # print('标题:', title)
    print('描述:', description)

这样就顺利拿到热帖的内容了,当然如果想让格式更加美观自己可以后期再处理

 

今天的内容就分享到这里了,我们下期再见~

布の哥
关注
同花顺动态Cookie反爬JS逆向分析
吴秋霖的博客
10-19 9242
某花顺股票行情网站Cookie反爬JS逆向分析实战,获取动态Cookie
JS逆向——AES加密案例(openlaw登录)
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
12-09 976
本文是该专栏的第27篇,后面会持续分享python的爬虫干货知识,记得关注。在爬虫项目中,或多或少都会遇到请求参数被加密,像这样的例子有很多,所以js加密对于爬虫攻城狮来说,也是一块比较难啃的领域。而本文要介绍的例子是AES加密的一种,了解AES的同学都清楚,AES全称:高级加密标准(Advanced Encryption Standard),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。AES也是对称加密算法,如果能够获取到密钥,那么就能对密文解密。
js逆向 wowowowowowo安居客动态cookie
m0_53227339的博客
11-04 953
- 郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。
JS逆向---cookie反爬虫系列(阿里系逆向-实战解析)
m0_52336378的博客
10-18 3177
Cookie 反爬虫指的是服务器端通过校验请求头中的 Cookie 值来区分正常用户和爬虫程序的手段,这种手段被广泛应用在 Web 应用中。这次主要是对各类cookie值加密的网站情况进行分析学习响应cookie和session的处理学习基于首页返回的cookie值声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。
求求你可千万别打开开发者控制台,无限 debugger 让人崩溃的哦!
最新发布
雪之梦技术驿站
09-07 927
从简单的debugger引起重视,到闭包自执行逻辑改造成无限debugger模式,最后到临时文件中打开匿名函数.这种升级改造不能说没什么用,只能算是用处不大,单一的方式不足以做到反爬,还是要全方位考虑.最后,由于本人才疏学浅,暂时只能想到这么三种方式禁止打开开发者控制台,组合在一起还是能发挥一定作用的!如果你有什么好的想法和思路,欢迎在评论区留言,大家一起交流!放心留言,开启了自动留言精选,保证上墙哟~
js逆向-马蜂窝cookies分析
逆向新手的博客
08-06 1476
本文仅供参考学习,如有侵权请联系本人删除!
【2021-09-17】JS逆向之某某查询网cookie(yjs_js_security_passport)
骑毛驴的猴的博客
09-17 2113
本文仅供参考,禁止用于非法活动 文章目录前言一、页面分析二、获取cookie三、调试 前言 目标网址:aHR0cHM6Ly8zZ21mdy5jbi9zby8lRTglQTUlQkYlRTclOTMlOUMv 描述:获取cookie – yjs_js_security_passport 一、页面分析 第一次不携带ck访问返回这些东西,里面有个yjs_js_challenge_token是后面要用到的,后面的js就是生成后续的参数了 然后看到这个检验的接口,传了上面的token 以及加密的一大串东西
js逆向cookie加密2
之度的博客
06-18 795
抓某个网址,手工去除cookie,然后发现有三个红的 请求如下图: 然后发现
JS逆向---cookie反爬虫破解技术实战案例分析(某地zf网站)
m0_52336378的博客
10-14 2025
Cookie 反爬虫指的是服务器端通过校验请求头中的 Cookie 值来区分正常用户和爬虫程序的手段,这种手段被广泛应用在 Web 应用中。这次主要是对各类cookie值加密的网站情况进行分析学习响应cookie和session的处理学习基于首页返回的cookie值声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。
python cookie反爬处理的实现
12-16
在爬虫中如果遇到了cookie反爬如何处理? 手动处理  在抓包工具中捕获cookie,将其封装在headers中  应用场景:cookie没有有效时长且不是动态变化 自动处理  使用session机制  使用场景:动态变化的cookie  ...
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
JavaScript逆向是指通过分析和理解经过混淆的JavaScript代码,以及对代码执行过程的回溯和逆向学习,来揭示代码的真实意图和功能。猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、...
JS逆向|半自动补环境插件实战操练:某常见cookie反爬
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
03-29 1853
关注它,不迷路。本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!昨天讲了V神插件的安装和简单使用,今天再讲一个案例,说说为啥我说它是半自动补环境的插件。一.抓包分析在这里我使用的是火狐浏览器进行抓包分析,插件安装在谷歌浏览器上面。如上图所示,一个html被请求了3次,第一次返回响应码 521,第二次同样返回响应码 ...
JavaScript 逆向】猿人学 web 第二题:动态 cookie
Yy_Rose的博客
09-14 4393
猿人学练习平台 web 比赛第二题:js 混淆,动态 cookie,OB 混淆,扣代码补环境
【2021-10-27】JS逆向之某某统计局cookie
骑毛驴的猴的博客
10-27 1928
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言正文结果 前言 好像又好久没更新了,过来水一篇工作中遇到的一个动态cookie的网站吧 目标网站:aHR0cDovL3d3dy5zdGF0cy5nb3YuY24vdGpzai90amJ6L3RqeXFoZG1oY3hoZmRtLzIwMjAvMTEuaHRtbA== 正文 再不切换IP的情况下,频繁访问后会,不返回数据,给你一段JS代码 然后我们先把他扣下来进行分析一波 头部一个大数组,一个jsjiami.com.v6,
JS逆向实战2--cookie——__jsl_clearance_s 生成
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-21 818
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!
web爬虫笔记:js逆向案例五 (补充浏览器环境头)获取cookie
qq_49268524的博客
04-08 429
web逆向中如何补充浏览器环境头
JS 逆向之某品会登录终结版(涉及本地生成cookie
weixin_45886778的博客
09-06 159
JS 逆向之某品会登录终结版(涉及本地生成cookie
JS逆向 | Python爬虫 | 动态cookie如何破~”
海哥python的博客
06-04 1437
如果你觉得文章还不错,请大家下,因为这将是我持续输出更多优质文章的最强动力!
雪球JS逆向:阿里系加密acw_sc__v2和反debugger
weixin_52392194的博客
07-28 992
分析请求和响应数据,注意到today包中有两次请求,返回不同的Cookie值,需要进一步跟踪acw_sc__v2的生成位置。使用抓包工具捕获雪球网站的数据包,发现关键数据包listV2,其Cookie中包含阿里系加密参数acw_sc__v2。扣取并还原混淆的JavaScript代码,注意处理变量名、属性名、方法名的混淆,以及OB混淆(如_0xd79219)。进入第一个VM文件,发现reload函数内有acw_sc__v2的Cookie设置,特别注意其中的arg1参数。
python爬虫反爬更新cookie
09-10
Python爬虫中,网站反爬措施之一就是通过检查Cookie的有效性来判断请求的合法性。如果Cookie已过期或被伪造,网站往往会拒绝爬虫访问。 针对这种情况,我们可以通过更新Cookie来绕过反爬措施。具体步骤如下: 1. 首先,我们需要在爬虫代码中设置一个初始的Cookie,可以使用requests库中的Session对象来管理Cookie。 2. 在每次发送请求之前,我们可以先判断当前Cookie是否有效。可以通过请求一个特定的页面,然后根据返回的内容中的某些特征来判断是否需要更新Cookie。 3. 如果需要更新Cookie,我们可以先发送一个模拟登录的请求,获得新的有效Cookie。可以模拟用户的登录行为,填写登录表单并提交。 4. 接下来,将获取到的新Cookie更新到之前的Session对象中,替换旧的Cookie。 5. 最后,使用更新后的Cookie再次发送原来的请求,即可继续爬取数据。 需要注意的是,更新Cookie可能会涉及到一系列的网页请求和数据处理操作,并且每个网站的反爬机制可能不尽相同,因此在实际操作过程中需要根据具体情况进行相应的处理。 此外,在进行爬虫过程中,需要遵守相关法律法规和网站的规定,不要滥用爬虫技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值