js逆向中如何hook时间函数Date、随机函数random

于 2024-01-24 07:37:13 发布
阅读量1.7k 收藏 15
点赞数 12
分类专栏: js逆向随笔 文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010226586/article/details/135812850
版权
文章介绍了在JavaScript逆向工程中遇到的加密问题,通过hook住Date和Math函数,以及修改crypto.getRandomValues,可以固定加密结果,便于调试。展示了如何控制这些函数的行为以保持加密输出不变。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

js逆向中会遇到加密结果存在随机值,无法很好的调试加密,这种情况大概率就是加密过程中用到时间戳和随机数,通过hook住Date函数、random随机函数,就可以实现加密结果不变,hook代码如下:

Date.now = function now() {
    return 1661986251253
};
Date.parse = function () {
    return 1661986251253
};
Date.prototype.valueOf = function () {
    return 1661986251253
};
Date.prototype.getTime = function () {
    return 1661986251253
};
Date.prototype.toString = function () {
    return 1661986251253
};
Performance.prototype.now = function now() {
    return Number('1661986251253'.slice(8))
}
Math.random = function random() {
    return 0.08636862211354912
};
window.crypto.getRandomValues = function getRandomValues(array32, ...args) {
    return array32;
}
JS 逆向定位神器:史上最实用的 Hook 脚本
小鱼神1024的博客
06-23 1979
大家都清楚,很多网站会把关键参数打包得像国宝大熊猫一样严密,我们的任务,就是要把这些参数的加密逻辑搞得明明白白。这次的神器就是 JS Hook 脚本:一招在手,天下我有!
js逆向_知识小结
十一姐的博客
03-22 9146
目录1、开发者工具小技巧2、Fiddler使用小技巧3、python代码小技巧4、js代码知识点
js一些hook
weixin_44133966的博客
06-28 469
一些jshook,更好的书写代码
js 获取时间戳的方法
weixin_33898233的博客
11-07 211
(new Date()).valueOf()1541569364658(new Date()).getTime()1541569372623Number(new Date())1541569386622 // 2019年1月23日补充 *除以1000得到的是Unix时间戳 // Math.floor(new Date().getTime() / 1000), // 当天// (new ...
js中的钩子机制(hook)
wang839305939的博客
06-20 1万+
什么是钩子机制?使用钩子机制有什么好处? 钩子机制也叫hook机制,或者你可以把它理解成一种匹配机制,就是我们在代码中设置一些钩子,然后程序执行时自动去匹配这些钩子;这样做的好处就是提高了程序的执行效率,减少了if else 的使用同事优化代码结构。由于js是单线程的编程语言,所以程序的运行效率在前端开发是比较重要的,在开发中我们秉承如果能用switch case 的地方就不要用if else
JS setTimeout 方法,JavaScript Hook 劫持setTimeout
qq_43762932的博客
08-23 604
JS setTimeout 方法,JavaScript Hook 劫持setTimeout 具体操作方法看以下演示。
javascript date为日期选择器构建一个react钩子
weixin_26717681的博客
09-22 139
This week, I had to construct a date selector form in React that looks like this: 这周,我不得不在React中构造一个日期选择器表单,如下所示: As you can see, the user interface includes the surrounding month and date options in...
JS逆向技巧汇总---给普通爬虫学习者的吐血建议
weixin_45387160的博客
02-01 2939
JS逆向技巧汇总
JavaScript 逆向 ( 一 ) --- JavaScript 语法基础
墨鱼菜鸡
07-11 1122
js 逆向:https://www.cnblogs.com/wuxianyu/category/1940304.html js逆向2:https://www.cnblogs.com/wuxianyu/category/1941486.html JS 中的类型转换:https://segmentfault.com/a/119000001367922...
js逆向学习笔记【一篇就够】
weixin_38640052的博客
10-19 1263
js逆向学习笔记-出自陈老师
JS逆向系列】某乎x96参数3.0版本与jsvmp进阶
zjq592767809的博客
09-11 8874
JS逆向系列】某乎x96参数3.0版本与jsvmp进阶
python hook系统方法print,使得所有输出带上时间
聆听风雨的博客
11-12 1013
hook print,使得所有的print带上时间
react 倒计时 hook
小鑫の随笔
11-11 1010
import { useRef, useState, useEffect } from 'react'; /** * 解析毫秒为天、时、分、秒 * @param milliseconds 毫秒 */ const parseMs = (milliseconds: number) => { return { days: Math.floor(milliseconds / 86400000), hours: Math.floor(milliseconds / 3600000) %
【pytest】自带的测试报告之Hook钩子函数追加测试执行人/时间/错误截图
夜*星的博客
03-05 2482
前言:pytest框架本身就提供了一个html测试报告的模板,而且使用也非常简单,只是简单的同时,报告上一些要素就会不足。但是我们也可以通过Hook函数追加一些关键信息,所以追求完美的你,一定不会错过下面的追加内容的👀。 目录 一、生成html测试报告 二、添加测试人 三、添加测试执行时间 四、添加错误截屏 一、生成html测试报告 首先需要导入一个类库:pytest--html 然后打开Terminal,执行命令:pytest --html=XXX.html,在当前脚本所在文件..
js_调试hook定位参数
进击的小程序员
12-15 1683
hook:就是替换原方法。 在汇编中类似的情况: push 5个字节 <----替换---- jump 5个字节 就可以跳换到代码的某一个方法执行。 在App中: XP框架—>反射手段替换。 js中(3种) 1、覆盖源函数 function xxx(){ console.log("111"); } xxx = function(){ console.log("222"); } 但是这样就有个缺陷,不能调用原来的xxx()函数【打印“111”的那个】。 所以,我们就需要用一
js获取当前时间、获取当前时间戳、时间时间戳互转。
热门推荐
工作是水,生活是酒,水会决定酒的品质,但生活要过得像酒一样,不能像水一样没有味道
05-31 5万+
1、 JavaScript 获取当前时间戳: 第一种: var timestamp = Date.parse(new Date()); console.log(timestamp); // 1622427159000 第二种: var timestamp = (new Date()).valueOf(); console.log(timestamp); // 1622427218359 第三种: new Date().getTime() ; // 1622427445085 注:第一种:获取的时间戳是
JavaScript逆向Hook技术
ak_bingbing的博客
11-12 1028
JavaScript逆向工程是一项令人着迷的技术,而其中的Hook技术更是引人注目。通过使用Hook技术,我们可以改变现有代码的执行方式,从而实现自定义的行为修改、调试、性能分析和安全研究等目的。Hook技术包括函数重写、代理对象和动态脚本注入等方法。函数重写可以劫持函数调用、记录活动、修改参数和返回值等,而代理对象则用于拦截对象访问和修改属性行为。动态脚本注入允许我们在页面加载或运行时注入自定义代码,以修改页面行为或劫持AJAX请求。
JavaScriptDate.now()方法怎么用?
m0_66316324的博客
01-11 2万+
JavaScriptDate.now()方法怎么用?
Js常用Hook代码(转载备用)
坑翁的博客
11-07 2925
// 严格模式,检查所有错误// document 为要hook的对象 ,属性是cookie// hook set方法也就是赋值的方法,get就是获取的方法// 这样就可以快速给下面这个代码行下断点,从而快速定位设置cookie的代码debugger;// 在此处自动断下console.log('Hook捕获到set-cookie ->',val);}})})();
js逆向异步载荷加密调试
最新发布
01-27
### 关于 JavaScript 逆向工程、异步 Payload 加密及调试 #### JavaScript 逆向工程实践 对于 JavaScript逆向分析,通常涉及理解网站如何处理数据发送至服务器的过程。例如,在某些情况下,登录参数可能通过 `JSON.stringify()` 方法被序列化成字符串形式再提交给服务端[^1]。 为了拦截这些过程中的关键函数调用,可以采用 Hook 技术来监视特定 API 行为: ```javascript (function() { var originalStringify = JSON.stringify; JSON.stringify = function(params) { console.log("Intercepted call to JSON.stringify with parameters:", params); debugger; // 设置断点以便进一步调查 return originalStringify.apply(this, arguments); } })(); ``` 这段代码展示了怎样挂钩 `JSON.stringify` 函数以捕获其输入参数并暂停执行流程供开发者审查环境变量或对象结构。 #### 异步 Payload 加密实现方式 当涉及到敏感信息如用户名和密码时,许多应用会选择先对其进行加密后再上传。这里展示了一个基于 MD5 哈希算法的例子,它利用了第三方库 `CryptoJS` 来完成这一任务[^2]: ```javascript var CryptoJS = require('crypto-js'); function generateSecurePayload(inputData, userAgent) { const userHash = CryptoJS.MD5(userAgent).toString(); const timestamp = new Date().getTime(); const randomSalt = `${timestamp}${Math.floor(Math.random() * 10)}`; let secureSignature = CryptoJS.MD5( 'fixedPrefix' + inputData + randomSalt + 'secretSuffix' ).toString(); return { hashValue: userHash, timeSent: timestamp, saltUsed: randomSalt, signature: secureSignature }; } ``` 此函数接收原始数据与用户代理作为输入,并返回经过哈希运算后的安全负载,其中包含了时间戳和其他辅助字段用于验证目的。 #### 调试技巧与工具推荐 在实际项目中,除了浏览器内置的开发者工具外,还可以借助 Node.js 生态圈内的 ExecJS 库来进行跨平台的 JavaScript 解析和支持不同引擎间的互操作性[^3]。下面是一个简单的例子说明如何使用 Python 结合 ExecJS 执行一段预编译好的 JavaScript 文件: ```python import execjs def execute_js_code(): context = execjs.compile(""" function run(someInput){ // 这里放置待运行的具体逻辑... return someResult; } """) result = context.call('run', "exampleArgument"); print(result) ``` 此外,Web Worker 提供了一种有效的方式让后台线程独立工作而不干扰主线程性能,这对于长时间运行的任务尤其有用,比如复杂的数学计算或是大量 I/O 操作[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是花臂不花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值