3.2_js逆向学习笔记之dom事件与断点调试

最新推荐文章于 2023-11-23 14:01:16 发布
最新推荐文章于 2023-11-23 14:01:16 发布
阅读量497 收藏 1
点赞数
分类专栏: js逆向 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41814736/article/details/112238245
版权

实例网站:https://www.gm99.com/
目的:运用dom事件调试找到登录时的password的加密位置与方式

1、打开网站,输入相应的账号、密码、验证码。这里以账号:13511111111, 密码:123456 验证码:1111示例。F12抓包,如下图所示:
在这里插入图片描述
发现只有两个网络请求,一个是校验验证码的,另一个是重新请求图片验证码的,并没有登录的包,因此这里应该是先校验验证码,验证码输入正确才发送登录请求。因此后面的步骤都要输入正确的验证码。

2、输入正确的验证码,重新抓包,结果如下图所示:
在这里插入图片描述
找到正确的登录时的请求地址为:

https://passport.gm99.com/login/login3?callback=jQuery171001304440358984471_1609823153903&encrypt=1&uname=13111111111&
password=NYWRTnAL3qXi5CzFwp%252Buia7NjktabzsgXyctoV3mZ4Y0%252BH8cTUruvsIYg7i26ebon2y%252BSy7gMcpFU0V5leyiCFwnWBbBd0N9rgNLQDu1A9Xph6OoQXkh4rmXFOAFsSP5aTr7IW21sxRCzTDOwlgZ4a2HRcT8cna4x0uy723G5Io%253D&
remember=checked&
ckcode=yd8x&
_=1609827516361

发现该请求的请求方式是GET请求,password被加密放在查询字符串之中,接下来我们就要采用dom事件定位法来找到password的加密位置。

3、将开发这工具调到Elements选项卡,并且选中右侧的Event Listeners选项卡之中,并且审查元素登入按钮

如下图所示:
在这里插入图片描述
发现登入按钮有MSG_CLICK、MSG_EXPOSURE、click、error、load、scroll等事件,初步猜测登录对应的网络请求应该就在MSG_CLICK或者是click事件中。

4、点击click事件发现有上图几个click事件,依次remove(鼠标移动到该事件上会自动出现remove选项)相应的事件,点击网页上的登入按钮,发现只有在删除最后一个’a#login-btn.login-btn’的click事件,登录操作才会失效,因此确定登录的网络请求就在这个事件之中,因此打开这个事件的位置。如下图所示:
在这里插入图片描述
发现在4248行有个url就是校验验证码的url地址,猜测应该在这里做的应该就是发送校验验证码的url,于是在在4251行打个断点,单步执行,发现确实发送了校验验证码的请求,并在下面的函数中发现有password的存在。

并在password处打上断点。

如下图所示:

在这里插入图片描述
发现k.login()函数中传递了一个对象,包含了uname, password而且password还未加密,于是猜测这个函数就是发送登录请求的方法,因此找到k.login()的位置,打上断点如下图所示:在这里插入图片描述
继续单步调试,发现了在183行处,密码被加密了,因此判断这个位置就是加密password的位置。你也可以在函数g.encode()函数内部继续打上断点,找到具体的加密位置,这里都不在赘述

总结:在本例中也可以使用搜索password关键词来进行定位。

程序小小白呀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js逆向实战之DOM事件断点调试
01-06
JS 逆向实战之 DOM 事件断点调试JavaScript 逆向领域中,DOM 事件断点调试是一种非常重要的技术手段。通过这种技术,我们可以对目标网页的DOM事件进行断点调试,从而获取更多关于事件触发和处理的信息。在本文...
JS逆向】一键hook dom节点脚本
weixin_44862184的博客
09-02 1678
用了V神插件的功能之后,有感而发。自己也模仿着写了一个hook脚本,目前hook了大部分dom节点相关的方法、值,每当JS调用dom节点方法或者值的时候,就会打印在控制台。我将鼠标事件以及Object也一起hook了,这样就能更愉快的分析了~
Hook+jsdom 解决cookie逆向
老鹰的博客
11-23 1501
前言 记录下如何破cookie逆向 目标 目标网址:https://q.10jqka.com.cn/ 目标接口:http://q.10jqka.com.cn/index/index/board/all/field/zdf/order/desc/page/2/ajax/1/ 对抗:cookie反爬虫处理,关键字v,如图 解决步骤 1、JS中关键字查找 如上,我们找到了关键字 v,那么接下来就用hook搜查 点击F12,打开 开发者工具,选择Console直接输入hook代码 (function () {
Js逆向中的DOM 跟BOM 浏览器引擎 以及伪造浏览器环境
weixin_44236034的博客
03-23 662
javacsript是通过访问BOM(Browser Object Model)对象来访问、控制、修改客户端(浏览器),由于BOM的window包含了document,window对象的属性和方法是直接可以使用而且被感知的,因此可以直接使用window对象的document属性,通过document属性就可以访问、检索、修改XHTML文档内容与结构。因为document对象又是DOM(Document Object Model)模型的根节点。可以说,BOM包含了DOM(对象)
JS逆向04之xhr断点webpack抠代码,图文并茂,导出加密函数。
西北一条虫的博客
09-04 699
说明: 本文只针对新手入门了解,高手绕道。 只做技术性研究,请勿用于非法渠道。 目标 https://www.gm99.com/ 前言 1、首先准备Chrome内核浏览器,我用的360极速版浏览器。 2、打开目标网址,按F12或者网页空白处右键审查元素(有的浏览器叫检查),打开开发者调试工具。 3、基础性不了解得看下之前简单得文字,这里不做过多描述。 正式开始 1、随意输入账号密码,点击登录,查看登录请求发现password:被加密。如下图: 2、懂一点前端应该可以看到这个用的jquery里面有个ajax
JS逆向之浏览器补环境(一)
热门推荐
Wxc的Blog
03-16 1万+
JS逆向之浏览器补环境(一) 简介 今天分享是是浏览器环境检测以及node js补环境 我们点击检测设备信息看发出的请求,可以看到是sign和data 这个data看起来像base64,我们试一下,发现不是 分析加密位置 可以看到经过混淆了 我们选中看一下 那我们接下来就知道了,要逆向的两个参数变量 _0x392f2d _0xd9e63f 我们直接把整个文件拷贝到webstrom里,看一下这两个变量在哪里定义的,可以看到在这 由于我们只需要这两个变量,所以下面的代码可以删除了,变成这样
js 逆向学习笔记之阿里系cookie.docx
03-31
JavaScript逆向是指通过对前端JavaScript代码的分析与修改,来理解其内部逻辑或破解某些限制的过程。随着Web技术的发展,JavaScript逆向已经成为网络安全领域的重要组成部分之一。在实际工作中,逆向JavaScript代码...
js 逆向学习笔记之瑞数 4 代 .docx
03-17
### JS逆向学习笔记之瑞数4代 #### 背景介绍 瑞数4代是一种网站保护技术,主要用于防止网站被爬虫抓取数据。它通过动态生成页面内容、混淆JavaScript代码等手段来增加爬虫抓取难度。本文将根据提供的文档内容,对瑞...
安卓逆向学习笔记之定制内核体验内存断点的威力.docx
最新发布
05-01
### 安卓逆向学习笔记之定制内核体验内存断点的威力 #### 一、引言 在安卓逆向工程领域,对于开发者而言,掌握如何利用内存断点技术进行深入分析是至关重要的技能之一。本文将围绕“安卓逆向学习笔记之定制内核...
js 逆向学习笔记之加速乐cookie加密.docx
04-03
### JavaScript逆向技术详解:加速乐Cookie加密案例分析 #### 一、背景介绍 随着互联网技术的不断发展,网站安全成为了不容忽视的重要问题。为了保护用户数据的安全性,很多网站采用了复杂的加密技术来防止数据被...
javascript调试之DOM断点调试法使用技巧分享
10-26
在开发中,偶尔会遇到类似这样的问题:页面上的一个DOM元素被改了属性,但是我们却不知道是哪个脚本更改的
Js逆向教程25-BOM DOM过检测
编辑编辑器
01-08 1380
最后的最后由本人水平所限,难免有错误以及不足之处, 屏幕前的靓仔靓女们 如有发现,恳请指出!你轻轻地点了个赞,那将在我的心里世界增添一颗明亮而耀眼的星!
JS逆向 - 某乎搜索接口x-zse-96参数分析
m0_51159233的博客
04-14 1366
本文介绍了某乎x-zse-96的js逆向流程,以及本地实现
js逆向_2断点的学习
qq_51182221的博客
09-11 611
js逆向的终极目的是什么?不就是将加密数据解密嘛。 我们的目标就是,用网站的js代码,在本地也能进行加密解密,得到和浏览器一样的数据。 在进行断点的学习之前有必要知道一下,网站的代码的运行时间轴: 加载html——加载js——运行js初始化——用户触发了某个事件——调用了某段js——加密函数——给服务器发送信息(先创建XHR对象,再将XHR发send至服务器)——接收到服务器返回的数据——解密函数——刷新网页渲染 从时间轴中我们看到了,我们需要通过断点去获得与服务器交互的数据 断点: 1.DOM断点 这类断
python爬虫逆向DOM断点
weixin_43459158的博客
11-29 905
网站链接 aHR0cDovL2dnenkuendmd2IudGouZ292LmNuLw== 网站分析 网站源码中显示的跳转链接是这样的。 但是把这个链接拿出来访问,返回的是403。 真实的链接是这样的,并且并没有走任何接口去加密。 那么要找到这个加密方法的话,就需要用到DOM断点了。 因为是点击触发的事件,所以要进入click里的这个地方。 然后在可疑的位置打上断点。 最后点击链接跳转,发现就能断到加密的位置了,参数和加密,也就一目了然了。 在控制台上打印下所需要的ccc参数和s参数,结果如下。
G妹游戏解密password
lingyuncelia的博客
08-28 935
https://www.gm99.com/
Js_调试xhr断点
进击的小程序员
12-15 1419
学习网址:https://www.gm99.com/ 找到login3,而且后面得是js文件,不是其他的document或者其他不可点击的文件。 但是结果是没有被断的。 1)通过xhrbreakpoints 进行过滤,也是支持正则表达式的。 2)network 面板进入发包函数 步骤:用户输入明文->经过一些方法->加密函数->拼装封包->发包函数->浏览器的发包函数。 现在我们进入send的js,也就是找到了发包函数,然后我们要找加密函数,所以我们可以往前找。 进
python爬虫js加密_python爬虫加密问题05:js加密之美丽说password
weixin_39784460的博客
12-03 244
美丽说password加密:该案例仅用于学习,请勿商用,和非法用途,一些后果与本人无关,请在查看后立即删除!!!思路:1.模拟登陆2.找到对应的这些值和方法可以看到些方法都在这一层,直接对这些代码进行复制,按照对对应的加密方式稍作修改。结果:window = this;navigator = {};var n = function(e, a) {return e << a | e &g...
3.1_js逆向学习笔记dom事件断点调试
weixin_41814736的博客
01-04 1956
js调试之dom事件断点调试 实例网站:http://www.xinshangmeng.com/xsm2/?Version=2020121900 目的:分析password的加密方式 1、打开这个网站,输入相应的账号、密码、验证码。这里以账号:13511111111, 密码:123456 验证码:1111示例。F12抓包,发现登录请求是以下链接: http://login.xinshangmeng.com/login/users/dologin/dfaup?jsonp=jQuery17201513695
JavaScript调试技巧:断点与逆向工程解析
- **DOM事件断点**:在事件处理函数附近设置断点,适用于早期介入代码执行。 - **XHR断点**:在发送请求时触发,靠近加密函数,可用于快速定位问题。 #### 3.1.1 DOM事件断点 这种断点在执行序列中较早出现,与加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值