5_js逆向学习笔记之xhr断点调试法

最新推荐文章于 2022-08-14 02:42:51 发布
最新推荐文章于 2022-08-14 02:42:51 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: js逆向 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41814736/article/details/112263114
版权

示例网站:https://www.gm99.com/
学习目的:通过xhr断点来找到password的加密位置

1、打开网站,输入账号,密码。示例账号13111111111, 密码:123456。输入完成之后进行抓包分析
图1:
在这里插入图片描述
在这里主要说一个如何过滤xhr请求,不要使用浏览器调试工具Filter过滤工具栏下的XHR来进行过滤,因为不准确。在这个示例中如果选中XHR选项你就会发现过滤之后一个网络请求包都没。建议直接观察网络请求包(上图中的Initator选项是一个js文件)就可以使用本节所讲的xhr断点调试法。也可以根据异步请求的url路径来添加异步断点,当异步请求的路径包含/login/login3的时候就会被断住如下图所示
图2:
在这里插入图片描述
2、移动鼠标到如下位置
图3:
在这里插入图片描述
调用栈如下图:
图4:
在这里插入图片描述
首先排除jquery库中的调用栈,因为jquery是别人封装好的前端框架,该网站开发人员不可能修改框架,来实现对密码的加密,除非是像阿里这种大公司,因此要首先排除掉jquery库中的调用栈。首先在点击s.login所处的位置,如下图所示:
图5:
在这里插入图片描述
发现t中有密码的初始值,而断点处是正要发送登入请求,因此断点位置就应该password就已经加密过了,因此我们可以在s.prototype_login方法的开始处打上断点,并追踪密码的变化。
图6:
在这里插入图片描述
发现在183行密码由明文变成了密文,因此可以断定对password的加密就应该在g.encode()函数内,我们可以选中g.encode,这时候会出现g.encode代码的位置,点进去并在其内部打上断点。如下图所示
图7:
在这里插入图片描述
发现真正的加密就是this.jsencrypt.encrypt()这个函数,同样的方式进入这个方法的内部,打上断点如下图所示:
图8:
在这里插入图片描述
加密分析到此处,就可以结束了,当然也可以继续分析下去,本节的重点是如何找到加密位置,为以后的扣js打好基础。

程序小小白呀
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS逆向 | 分享一个小技巧和XHR断点的小案例
咸鱼学Python的博客
07-23 1625
你来了,来练手啊。咸鱼又来练手了,这次来研究下在搜索参数搜不到的情况下怎么办?(仅限XHR请求)有点经验的朋友肯定知道这次要用的就是 XHR BreakPoint。关于XHR Break...
3DES解密之网页解密(xhr断点及追栈)
m0_56471632的博客
10-25 1536
点点滴滴 本文只做技术研究学习,请勿用于非用途 本文只做技术研究学习,请勿用于非用途 本文只做技术研究学习,请勿用于非用途 项目直达 一、xhr断点调试 <1> 找到对应的包,复制请求地址域名后面的路径 <2> 我们点进源文件当中,选择xhr断点,点击右边的+ 号添加xhr断点,将刚第一步当中复制的路径填写进去 添加完成之后会产生这样的一个断点 <3> 重新返回页面点击 发送 ,则会断在这么一处地方,xhr断点就是断在发送请求的地方,其实堆栈追踪更快
js逆向心路历程(三):xhr的断点技巧,利用函数流
热门推荐
chaopicrawl的博客
08-22 11万+
第一个网站 https://translate.google.cn/ 前置步骤,不懂的话看回之前的文章https://blog.csdn.net/chaopicrawl/article/details/107935239 经过分析我们发现只有 tk q (q是翻译的词) 是变换的,而且直接复制url到浏览器是无访问的,这就说明了这个 tk 必不可少了 正常全局搜索发现有很多tk 然后 这个 url 又是 xhr 形式的 所以我们可以用 xhr断点技巧去断点 点击上方的 Sources 然后添加 xh
Js_调试xhr断点
进击的小程序员
12-15 1377
学习网址:https://www.gm99.com/ 找到login3,而且后面得是js文件,不是其他的document或者其他不可点击的文件。 但是结果是没有被断的。 1)通过xhrbreakpoints 进行过滤,也是支持正则表达式的。 2)network 面板进入发包函数 步骤:用户输入明文->经过一些方->加密函数->拼装封包->发包函数->浏览器的发包函数。 现在我们进入send的js,也就是找到了发包函数,然后我们要找加密函数,所以我们可以往前找。 进
JS断点调试
lemonguess的博客
07-25 731
Chrome的source调试 在Source选项中新建了一个Script snippet的JS文件 我们输入以下代码: function xx() { console.log(1); } function zhiyuan() { xx() } zhiyuan() 在console中调试如下: xx.call和xx.caller, 分别得到自身函数和上一级调用的函数(读上一层的栈) ...
xhr.zip_evidence5a8_thing1y8_xhr01_com_xhr11111.com_线性回归
09-15
本算采用相似搜索,和线性加权回归算,主要用于预测,而且效果好,
chrome浏览器如何断点调试异步加载的JS
11-23
在我们日常开发中,常常利用chrome强大的控制台Sources下面进行代码断点调试,但是通过$.getScript等异步加载JS的方式在Sources里面就是找不到,那如何进行debug断点调试呢?下面来一起看看。 这是我们用Sources断点...
transloadit_xhr:Transloadit的xhr文件上传实现
05-08
transloadit_xhr Transloadit的XHR(XmlHttpRequest)文件上传实现。 Transloadit的jQuery插件现在还支持XmlHttpRequest。 只需为formData参数提供true值或FormData对象,jQuery插件将使用XHR: $('#myForm')....
Oracle_SQL学习笔记[参照].pdf
10-11
Oracle_SQL学习笔记[参照].pdf
JavaScript学习笔记归纳.pdf
10-30
JavaScript学习笔记归纳.pdf
js逆向技巧分享
叶飘っ叶相偎 的博客
02-21 2141
当我们抓取网页端数据时,经常被加密参数、加密数据所困扰,如何快速定位这些加解密函数,尤为重要。本片文章是我逆向js时一些技巧的总结,如有遗漏,欢迎补充。 所需环境:Chrome浏览器 1. 搜索 1.1 全局搜索 适用于根据关键词快速定位关键文件及代码 当前页面右键->检查,弹出检查工具 搜索支持 关键词、正则表达式 1.2 代码内搜索 适用于根据关键词快速定位关键代码 点击代码,...
F12-开发者工具常用操作与使用说明之源代码sources
zhang_hai_cheng的博客
08-14 1万+
我们可以关联本地的一个文件夹,当在内容区域修改该文件夹中的内容时,会同步修改磁盘中的文件,适合实时修改项目文件,并会直接同步到编辑器中,也可以使用本地中的文件替换当前页面中的文件,适合在调试过程中实时修改代码,但不会保存到磁盘中,还可以新建代码段,主要用来执行一些预置脚本代码,这样可以不用每次都编写同样的调试代码,直接执行相应的代码片段即可,而且......
微信开发者工具调试之XHR:调试器下network的XHR是什么?
小福气的博客
07-17 2319
XHR,即通过XMLHttpRequest方发送的请求。 XHR只支持显示通过该请求从后台数据库中获取到的数据, 在使用本地存储的数据,调试时会用到。 本地存储:可以在不加载整个网页的情况下,从本地存储storage中获取存储的数据,实现对网页某部分的内容进行更新。 发送请求,成功获取到数据后,可以在XHR中看到数据,如下图: 当数据存储在本地后,可以在Storage中查看,如下图: 此时再进行页面加载,就不会再重新从后台数据库请求数据,XHR为空,如下图: ...
零基础学爬虫,必学的JS逆向打断点技巧
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
11-10 2万+
答:没有了
Ajax与Form表单
天宇龙腾的博客
10-23 411
1.ajax在提交,请求,接收时,都是异步进行的,网页不需要刷新。 from表单提交时是新建一个页面,哪怕是提交给自己本身的页面,也是需要刷新的,也就是表单是同步进行的。 这样就会导致表单请求一次数据就会进行一次页面跳转,当前浏览器的屏幕会进行刷新,也就是会闪一下,会造成不好的用户体验,但是其中填写的信息也会很容易丢失,而Ajax页面不会跳转,之前填写的信息也不会消失,不用再请求一次页面。 2.a...
使用Chrome调试JavaScript的断点设置和调试技巧
guijianchou123456的博客
11-22 4310
使用Chrome调试JavaScript的断点设置和调试技巧 投稿:hebedich 字体:[增加 减小] 类型:转载 时间:2014-12-16 这篇文章主要介绍了使用Chrome调试JavaScript的断点设置和调试技巧,需要的朋友可以参考下 你是怎么调试 JavaScript 程序的?最原始的方是用 alert() 在页面上打印内容,稍微
XHR的用详细解读
前端精髓
04-10 3万+
Ajax的使用方及细节知识点
神器——Chrome开发者工具(一)
gnsydss的专栏
01-04 1858
原文地址 这里我假设你用的是Chrome浏览器,如果恰好你做web开发,或者是比较好奇网页中的一些渲染效果并且喜欢折腾,那么你一定知道Chrome的开发者工具了。其实其他浏览器也有类似工具,比如Firefox下的firebug。本文将会详细讲述如何使用Chrome开发者工具,希望里面有些让你感到惊艳的东西!即使你不用Chrome,那么文中的某些内容也会相当有用。 首先啰嗦一下如何打开开发者工具
开发工具 | 浏览器开发者模式(F12) | XHR获取
Parksi的博客
04-08 1万+
前言 欢迎来到鄙人小站:Parksi Python作为一种十分受欢迎的语言,得益于活跃,强大的的第三方库十分合适用来开发爬虫。然而现在许多动态网页并不能通过类似requests库来进行爬取,而需要用到更高级的无头浏览器,然而还有一种捷径,或者说更彻底的方,寻找该网页获取数据的接口。 XHR XHR全称XMLHttpRequest XMLHTTP是一组API函数集,可被JavaScript、J...
什么时候用xhr调试
最新发布
07-28
回答: XHR(XMLHttpRequest)通常用于与服务器进行数据交换。在调试过程中,当需要从后台数据库中获取数据或者使用本地存储的数据时,可以使用XHR来发送请求并获取数据。特别是在微信开发者工具中,XHR可以用于显示通过该请求从后台数据库中获取到的数据,并且可以使用本地存储的数据进行调试。\[3\]因此,当需要调试获取数据的功能时,可以使用XHR来进行调试。 #### 引用[.reference_title] - *1* *2* [XHR和AJAX终于搞懂了!!](https://blog.csdn.net/weixin_39774491/article/details/111855598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [微信开发者工具调试之XHR:调试器下network的XHR是什么?](https://blog.csdn.net/m0_59850169/article/details/118801587)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值