12、同花顺网页Post登陆RSA算法分析【Post/Js逆向笔记】

最新推荐文章于 2024-02-22 18:23:29 发布
最新推荐文章于 2024-02-22 18:23:29 发布
阅读量1.6k 收藏 7
点赞数 2
分类专栏: # Post/Js逆向 文章标签: 算法 python 安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38796720/article/details/113487358
版权

发布文章内容,只为自己自学逆向分析做一个记录,方便以后加以巩固学习逆向分析。
本人为逆向学习小白,所以发布的内容都是简单的逆向分析。大佬请高抬贵手!

 1、分析的登陆网站地址

http://upass.10jqka.com.cn/login?redir=HTTP_REFERER

2、使用工具

chrome浏览器 

鬼鬼调试工具

3、Post抓包登陆分析

测试账号 Steven2020  测试密码 a123456


post抓包 提交的数据为 


uname: hzpm0Ux9EFSK6ynXBdmGrm2Kwda6cvLGcuJQPhq/FN1OZEyhWePMxX4RCMKhgKRQRsR/AeBWu6YJNF0q+wfwp8jatIyQmq8ej5RjZjOnT+Yd/8pAiXHELXR+1try73+PngJSGRohnAMt23chJC+TEbJPDzjkkeNFGR2p96sDGqo=
passwd: RMm59klRFLJUtKin7/d8c+3j3aIhhMaWTZE2fxXRIaFAd5s9NU6MIOTKWM8V9/NaOvkUBa/TtYIjNJ4O5V45b+xOsBcNwrqwH4jVHOcAJC/6PeBfaQ70ey912sdlkIaRvrTMcslNzjET902bsN19Z6sxNuvDCu6X0svBNUt9zwk=
longLogin: on
rsa_version: default_4
source: pc_web
request_type: login
captcha_type: 4
ttype: WEB
sdtis: C22
timestamp: 1612102577


明显可以看到  uname  和  passwd 是被加密的

多次抓包后可以发现,其他的数据可以固定   timestamp 是 时间戳  固定也没有关系

4、uname 和 passwd 解密

打开chrome浏览器 开发者工具后,进行全局搜索关键词  passwd  ;

可以发现,搜索到的数据都在main.js 文件中,那么就随便点击一个进入文件;

然后在局部搜索中,搜索passwd 查看哪个地方是加密的,一般性加密的关键词 程序员都会起名 encrypt 或者包含这个关键词的名字;

最后在1103行找到加密的代码行,程序员也非常贴心的注释了,账号和密码是RSA算法加密的;

那么直接就进行断点调试;进入thsencrypt.encode()加密的函数中;

进入加密Js文件后,首先查看一下这个加密的JS文件的名称,起名为 encrypt.min.js 说明这个整体文件都是和加密有关的,那么就可以直接复制全部的文件进行使用;

在进行复制整体文件的时候,我们可以看到,有一个URL访问的代码;

thsencrypt.pubkeyUrl = protocol + "//upass.10jqka.com.cn/pubkey/default.js";

打开后发现,里面存放的是RSA算法的公钥和其他的一些参数

var thspubkey={"v":"default_4","p":"10001","m":"CB99A3A4891FFECEDD94F455C5C486B936D0A37247D750D299D66A711F5F7C1EF8C17EAFD2E1552081DFFD1F78966593D81A499B802B18B0D76EF1D74F217E3FD98E8E05A906245BEDD810557DFB8F653118E59293A08C1E51DDCFA2CC13251A5BE301B080A0C93A587CB71BAED18AEF9F1E27DA6877AFED6BC5649DB12DD021"};

并且可以看到的是,这个并不是一个纯的RSA的算法,在创建一个新的RSA对象后,把公钥创建完毕后,进行账号或者密码加密后的值,还会进行一个 hex2b64() 函数的执行,才最终获取到数据;

然后,我们把这个加密的文件的整体复制一份;

放入调试工具中,在把原先取到的公钥数据,放入初始化算法的前面

然后执行加密,返回数据成功!RSA算法的每次返回值都不一样,取决于其填充的模式!

易语言中也测试正常!

python中测试正常

# -*- coding: utf-8 -*-
# @Time : 2021-01-31 23:34
# @Author : Steven
# @QQ : 2621228281
# @Email : 2621228281@qq.com
# @File : 同花顺网页Post登陆RSA算法分析.py
# @Software: PyCharm

import execjs

js_file = open('同花顺网页Post登陆RSA算法分析.js', 'r', encoding='utf-8').read()
#print(js_file)
# 加载JS文件
js_load = execjs.compile(js_file)
password = js_load.call('thsencrypt.encode', 'Steven2020')
print(password)

 

贫穷斯蒂芬
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
破解同X顺网站的Cookie加密:Python与JS逆向的完美结合
小鸿的博客
12-15 832
本期文章将带你详细地逆向分析同X顺网站的Cookie加密
RSA加密/解密/数字签名算法实现
09-20
RSA算法是一种非对称加密算法,它在信息安全领域扮演着重要的角色,特别是在数据加密、身份认证和数字签名等方面。该算法由Ron Rivest、Adi Shamir和Leonard Adleman于1977年提出,因此得名RSA。下面我们将深入探讨...
【2021-06-07】JS逆向之同顺cookie(最新v值获取)
骑毛驴的猴的博客
06-07 4911
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 文章目录前言一、页面分析二、参数获取1.函数定位2.算法获取三、测试 前言 几个月前看的这个,现在算法还能用,分享下获取流程 目标网站:aHR0cDovL3guMTBqcWthLmNvbS5jbi9zdG9ja3BpY2svc2VhcmNoP3R5cGVkPTEmcHJlUGFyYW1zPSZ0cz0xJmY9MSZxcz1yZXN1bHRfcmV3cml0ZSZzZWxmc2VjdHNuPSZxdWVyeXR5cGU
顺爬虫(js逆向之数组混淆)
qq_43704986的博客
07-11 2285
## :同顺爬虫(js逆向之数组混淆) 这个站点主要是js混淆中的数组混淆,不难,何况这个站点的接口有一个bug,不需要生成有次数限制的hexin-v,只需要几个字母就能一直get到数据,若不是强迫症,我也不想逆向这段代码,只是为了证明自己在进步吧。 抓取前20页: # -*- coding: utf-8 -*- """ # @Time : 2021/7/10 20:35 # @Author : ChenLvLei # @Email : 2516455367@q
3、浙江移动网页Post登陆分析RSA算法Post/Js逆向笔记
Steven的杂货铺
01-29 5296
1、分析登陆请求网站 https://login.10086.cn/html/login/login.html 2、使用到的工具 1、Chrome 浏览器 2、精易编程助手 3、鬼鬼JS调试工具 3、分析post登陆请求 测试 手机号 :13888888888 服务密码 :123456 短信验证码 :654321 第二次 : 234567 通过以上两次抓包,可以发现以下几点情况: FormData数据表单 accountType: 01 ...
JS逆向学习】同顺(q.10jqka)补环境
最新发布
学海无涯
02-22 1568
回顾整个流程,其实没有什么难度,入口也很好找,参数的加密逻辑也不复杂,源码下载原创声明:未经许可,不得转载。如有侵权,请联系作者删除删除。
杂项之python利用pycrypto实现RSA
weixin_34262482的博客
02-10 375
杂项之python利用pycrypto实现RSA 本节内容 pycrypto模块简介 RSA的公私钥生成 RSA使用公钥加密数据 RSA使用私钥解密密文 破解博客园登陆 pycrypto模块简介 pycrypto模块是python中用来处理加密解密等信息安全相关的一个很重要模块。 该模块支持的加密方式: 对称加密方式: AES DES ARC4 ...
RSA程序算法分析.rar_RSA 算法_RSA算法_c RSA_cryptography_rsa
09-14
RSA算法是一种非对称加密算法,它在信息安全领域扮演着至关重要的角色,特别是在网络通信、数据加密和数字签名等方面。该算法由Ron Rivest、Adi Shamir和Leonard Adleman于1977年提出,因此得名RSA。在C语言中实现...
RSA算法演示RSA算法演示
02-02
RSA算法是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,因此得名RSA。这种算法在信息安全领域有着广泛的应用,如数字签名、数据加密和密钥交换等。在本演示中,我们将深入探讨RSA...
原生jsRSA和AES加密解密算法
11-26
在JavaScript中,RSA和AES是两种常见的加密算法,用于保护数据的安全性。本文将深入探讨这两种算法以及如何在原生JavaScript环境中实现它们的加密和解密功能。 首先,RSA(Rivest-Shamir-Adleman)是一种非对称加密...
RSA算法演示.rar
04-05
RSA算法是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,是目前最广泛使用的公钥加密算法。它结合了大整数因子分解的数学难题,为数据传输提供了强大的安全保护。在此RAR压缩包中,...
JS逆向-同顺问财hexin-v参数
yinyunan1210的专栏
12-04 1274
进一步观察,发下每次请求的hexin-v参数,跟cookie里的v字段值一模一样。最终发现同顺的问财里头,可以拿到计算好的结果,那就写个爬虫呗。通过上图,可以看到t就是我们的目标,继续往上看,可以跟踪到D函数中的rt.update()仔细观察3处有个参数hexin-v,就是我们这次的目标了,每次请求都会改变。既然已找到目标,那可以用rpc直接调用,也可以直接扣代码再补环境了。考虑到法律问题,就不放源码了,最终的js文件如下图。至此,已经找到实现的地方了,接下来只要实现就行。
JS逆向-补环境之同顺cookie中的v参数
Hamsung
02-07 2219
JS逆向-补环境之同顺cookie中的v参数
顺数据获取思路及算法
qq_43704986的博客
04-14 1581
顺爬虫 js逆向经验分享 ob混淆 jsvm 控制流
python模拟登录密码加密_【Python模拟登录】RSA加密与重放方式登录 -以模拟登录博客园为例...
weixin_39646695的博客
12-08 686
上次的登录是最基本的,全部是明文,而且在浏览器中就可以看到POST的数据。接下来我们来个稍微难一点的–模拟登录博客园(http://www.cnblogs.com)登录特点:用户名密码都进行了RSA加密,且在浏览器中无法看到POST数据图1如上图,在post数据中不能显式看到POST内容。模拟登录步骤既然浏览器调试功能无法探测到POST数据,那么采用Fiddler试试看,这是一款网络抓包工具,很好...
网络爬虫js逆向解决网站登录RSA加密问题,不使用selenium如何实现登录,session维持登录状态请求爬取
weixin_47481982的博客
11-01 1460
记录中大网校破解登录后爬取的方法:使用工具:打码平台(超级鹰)分析此请求,得知没有data,保持状态登录需要服务器知道是这个用户对应请求的相应验证码,所以要用session来维护状态获取到后验证码保存下来。
SpringSecurity利用RAS加密对登录账号密码请求明文加密
wangtao753的博客
06-21 2904
1:场景 在用户登录时,只要对浏览网页有点基础的人都知道,打开浏览器控制台,可以在请求抓包块中可以获取到post请求的头部信息,而我们用户登录的账号密码恰恰就保存在这里,加入没有加密的话,别人可以爬取到用户的信息,一点都不安全,所以纠结问题,我们在请求中对账号密码全部加密传后台解密,这样这个问题就解决了,思路就是这么个逻辑,而具体怎么实现就是我们接下来要讲的问题;如下 2:技术点 采用springsecurity实现用户认证和授权,RAS非对称加密对数据进行加密 3:技术描述 RAS简称非对称加密,安全系数
测试老鸟整理,Postman接口测试MD5+RSA加密自动登录(超全总结)
分享测试知识
11-10 1573
使用场景大多数项目都有登陆权限认证,需要先登录获取token再用这个token作为请求头请求接口。每次测试接口都需要先调登录接口,再给每个请求设置请求头。有点麻烦,根据这个配置完成之后每次只需要先调一下登录接口,其它接口就直接请求就行了,不需要再管请求头。实现步骤1、登录接口登录接口采用MD5+RSA加密先将系统用户名及密码配置在postman环境变量中调用接口获取公钥,并在该接口tests里面设置将本次公钥放进postman环境变量中});
爬虫:破解同顺网js加密动态生成请求中所需要的cookie
weixin_41406913的博客
11-27 9062
看了半天帖子都是都是通过selenium破解js加密的,个人感觉用selenium破解js加密效率太低,而且繁琐,根据目前业务需求就自己研究了一下同顺的js加密。
C/C++实现RSA算法详解及源码分析
"这篇课程设计报告详细介绍了RSA密码算法的实现,包括算法的原理、数论基础、各个环节、安全性分析以及C/C++语言的代码实现。报告还涵盖了RSA在实际应用中的现状,如在硬件和软件领域的应用,特别是在互联网安全中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值