js登录其他网站_JS逆向 | 某同城网站模拟登录(RSA)及指纹分析

最新推荐文章于 2023-07-14 18:38:19 发布
最新推荐文章于 2023-07-14 18:38:19 发布
阅读量510 收藏 1
点赞数
文章标签: js登录其他网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34221892/article/details/112077639
版权

点击上方“逆向新手”,选择“关注公众号”

跟我一起学Python爬虫逆向!

bba892261b44cdb8224f962a7c65c144.png

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!

目标网站:

    aHR0cDovL3Bhc3Nwb3J0LjU4LmNvbS9sb2dpbg==

   输入错误账号密码、抓包得知password、token、fingerprint被加密。

3c793995c2e91c151ff569ca6c81e768.png

图1

    直接搜索token的值,发现其就在之前的请求响应中,参数简单,直接构造即可。

3a17359b915ad6cae8cb237830104936.png

图2

    fingerprint同理,也在之前的请求响应cookie中。这里的finger2其实都是浏览器的环境信息,复制使用即可,或者看最后我的分析。

a73aa6db744027012facef5ae762769d.png

图3

    全局搜索username,这里第三个JS文件比较可疑,进入再搜索username

b88de5491508628fa0e8cf7b6da2ebc5.png

图4

    可以看到这里为参数的构成方法,我们在password前面打上断点,重新点击登录,成功断下。可以看到password为n.encrypt()这个函数加密所得,因此跟进这个函数看下

da9a1039693cecc9aa2a604b87fac5a6.png

图5   在该函数的返回处(return)打上断点,按F8让它继续跑。可以看出传入的e为明文密码,o实际上就是那串固定的数字,而t和n都为undefined。i.rsaExponent和i.rsaModulus经过搜索与测试,均为固定值:

a6ef1f28383a9febe9e4b9710660b519.png

图6  实际上到这里,已经可以知道它使用了RSA的指数与模量进行加密(详细请自行百度了解),因此只要解密出encryptString这个函数即可,继续跟进看看

7a5494e114b1882a707ffbca6d927cc8.png

图7    总共就400多行代码,全部复制到本地,在开头加一句window=global;即可使用

7aaf927d52ac4c0952e615ae53277c0a.png

图8    得出的密文与浏览器相同。这里插一句,这个RSA其实为一个变种,正常的RSA加密,每次返回的密文都不相同的。    最后再看下finger2吧。直接搜索,在这里打上断点,刷新页面,可以看到生成了结果

e39f3b198e1edc2d6f2b0116f4f224e3.png

图9    跟进这个对象看一下,这里的Fingerprint2就是下方的t对象,它的get方法就是获取浏览器的环境信息

38eca4d730ea8d435bf319a29ad715d6.png

图10     随便跟进一个看一下

9433d70170fc0db894392d9e831bf994.png

图11

    具体就不扣了,环境信息全部写死也没关系,感兴趣的自己扣下哈。

     该网站详细代码,已上传本人GitHub,可点击左下角“ 各位加油62efcfd94392a0892691dafb602c870d.png62efcfd94392a0892691dafb602c870d.png     

—  END —

点击这里给我写留言?

后台点击“加入群聊”一起交流

江南小财婆
关注
webpack实战:某网站RSA登录加密逆向分析
吴秋霖的博客
09-12 8170
网站登录RSA加密,深度分析webpack代码并构建完整的加密webpack代码!
JS逆向进阶篇【过咪咕登录】【附带源码】
最新发布
孤寒者的博客
02-07 3万+
JS逆向进阶篇【过咪咕登录】【附带源码】
模拟网站登录
11-17
Java语言实现 模拟用户登录网站js解析
GitHub:爬虫入门JS 模拟登陆各大网站
追心
06-25 844
hello,小伙伴们,大家好,今天给大家介绍的开源项目是:Spider-Crack_Js,想学习爬虫解密js登陆的可以看看这个开源项目,这个开源项目可以给你提供一个不错的思路。 代码教程 【OpenLaw】登陆参数加密过程分析 【中华英才网】登陆参数加密过程分析 【大众点评网】登陆参数过程分析 【新浪微博】登陆参数过程手把手分析 JS解密案例目录 JS解密案例 ├─ openlaw │ ├── openlaw_login.js // JavaScript解密demo │
js登录其他网站_网站优化的方法
weixin_39738251的博客
12-22 120
网站优化-网站优化的方法Methods of website optimization-META标签优化META标签的一个很重要的功能就是设置关键字,来帮助你的主页被各大搜索引擎登录,提高网站的访问量。在这个功能中,最重要的就是对Keywords和description的设置。关键词的格式应该是精炼简洁,与标题紧密相连,去形成前后呼应。数量不能太多。网站的关键词的数量不可以太多,在通常情...
JS逆向-RSA案例】
阿熊的博客
05-31 507
1.首先打开调试工具,随意输入错误的账号密码,查看请求的登录接口,仅有pwd这个参数进行了加密,除了uid是账号外,其他的2个参数就是固定的。 2.打开全局搜索,pwd关键字,可见到关键加密的地方,点击去。 3.局部搜索关键字pwd,会发现有两处地方对pwd进行了加密处理,回到登录页面可以看到,有两种登录方式,两次加密,所以不确定是哪个,就都打上断点 4.再次点击登录按钮,会发现程序停在了该断点处,说明断点的位置正确! ...
破解 js 防 ifram 嵌入方法(绕开防嵌js 实现跨域模拟登入)
Nicolecc的专栏
08-27 8706
运用场景:         我想在我的系统上用ifram嵌入一个他人
JS逆向 | 某同城网站模拟登录(RSA)及指纹分析
丁仔.的博客
04-13 615
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 目标网站: aHR0cDovL3Bhc3Nwb3J0LjU4LmNvbS9sb2dpbg==  输入错误账号密码、抓包得知password、token、fingerprint被加密。  直接搜索token的值,发现其就在之前的请求响应中,参数简单,直接构造即可。  fingerprint同理,也在之前的请求响...
RSA.rar_Crypt Javascript_javascript_javascript rsa_js RSA 密钥对_rs
09-22
这个名为"RSA.rar"的压缩包包含了一些JavaScript实现的RSA加密解密以及密钥对生成的示例。JavaScript是一种广泛用于网页和网络应用的编程语言,它可以用于客户端的加密操作,这样数据在传输到服务器之前就已经被加密...
网站提交登陆信息加密JS逆向实战分析
吴秋霖的博客
07-14 1万+
爬虫在模拟网站登陆的过程中发现用户信息都是被加密处理的,怎么办?一个案例教你JS逆向分析加密算法
python爬虫登录微博_[突如其来]python爬虫模拟登录微博
weixin_39637457的博客
12-03 199
欸我不是明明在学unity么咋突然整了个爬虫??????前两天一个庞友问我要不要接个爬虫的私活之类的,因为我学过一些爬虫嘛。。。但是其实我贼菜啊啥也不会那种。不过反正这几天在家没事干,(当然了情人节肯定也没的过),就把人家给我的自测题爬微博做了一下顺便写了一下大概步骤(万一我以后忘了还能翻回来看看????)然后我就把onenote的内容直接贴过来了目标地址https://login.sina.com.c...
JavaWeb应用下的第三方登录
sinat_30474567的博客
03-17 1275
转自http://blog.csdn.net/tryitboy/article/details/48173827 对于一般的应用,使用百度开放服务平台这样的平台提供的社会化服务即可满足用户的日常使用需要。  首先打开:  百度开放服务平台  点击右上角的:管理控制台——开发者服务管理  进入开发者服务管理后可以新建自己的工程。  建立好后如下图所示:    百度会提供一个A
wap html自动登录,Javascript功能来自动登录到第三方网站
weixin_42596246的博客
05-31 1012
我想你要找的是什么.click()方法,所有的按钮都有。更详细的说明如下......您可以在一个帧和另一个第三方页面使用frameset用JavaScript代码。例如:(!从Gmail的登录页面清理,他们有很多奇怪的放置换行符和空格)如果你想登录到该页面是这样的:UsernamePassword然后你的脚本可能会是这样的:Logging you in......//parent.theirfra...
js逆向之非对称加密RSA案例(一)
内心不种满鲜花就会长满杂草
12-24 2023
目录 分析调试 总结 分析调试 案例网站 ——>Sign In对其登录的加密字段进行还原,网站如下 1. 打断点寻找加密主函数 F12选中XHR,进行登录。发现除了dologin登录的数据报外,还有一个getrsakey的数据包,猜测使用的是非对称加密,请求的秘钥 对login的数据进行查看,发现password字段进行了加密 全局搜索password关键词,在可疑的关键词前打上断点,然后登录,程序暂停 将其对应的函数复制到发条调试工具中 2. 代码还原调试 ...
爬虫JS逆向之空中网模拟登录
garfield的博客
06-15 782
通过js逆向对空中网进行模拟登录
JavaScript实现模拟登录
White--Night的博客
06-01 1957
最近在搞爬取深圳技术大学的教务系统,搞定之后做个笔记。 实际上搞定模拟登录之后后面的就很简单了,只剩下爬课表和转json要处理。
JS逆向爬虫案例分享(RSA非对称加密)
weixin_36723038的博客
09-30 1265
JS逆向爬虫案例分享(RSA非对称加密)
(JS逆向专栏六)某奇艺平台网站登入RSA
陌影_my的博客
08-16 425
包含大部分js逆向场景 以及js逆向方式和类型
(JS逆向专栏九)某壳平台网站登入RSA
陌影_my的博客
08-19 936
包含大部分js逆向场景 以及js逆向方式和类型
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值