拼多多登陆 JS 密码字段加密解析

最新推荐文章于 2023-05-06 15:50:55 发布
最新推荐文章于 2023-05-06 15:50:55 发布
阅读量4.8k 收藏 6
点赞数 1
分类专栏: 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42329277/article/details/97045893
版权

个人博客网站

拼多多登陆 JS 密码字段加密解析

若有侵权请立即联系作者删除!!!

目标: X多多自动登录时对密码字段的加密

抓登陆包

网址 https://mms.pinduoduo.com/login

打开调试工具,随意输入一个账号密码点击登陆

原始数据

然后我我们看到一个 POST 请求

https://mms.pinduoduo.com/janus/api/auth

原始数据

可见密码是在 js 中加密好了之后进行 post 提交的 看这货最后一次加密应该是 base64 加密。

定位可疑加密处

利用 Search 与堆栈调试跟踪断点调试在3万行代码中找到可疑加密处

原始数据

查找可疑处并断点调试, 此处明显 RSA 加密三部剧特征!

  1. 实例化 new 一个对象
  2. 设置密钥
  3. 加密

原始数据

跟进方法

原始数据

分析代码

原始数据

判断可以将此 js 复写出来,摘写出加密方法,放到 HBuilder 中调试

原始数据

修改复写该部分, 并将加密的匿名函数改写,调用

头部补入

// 定义 navigator 与 window
var navigator = {};
var window = this;  // 等于当前对象

js代码尾部改写为调用模式,提供给 Python 使用

// 1. 将上面这一坨匿名函数掐头去尾留中间,将其暴露出来, 这样才能使这个匿名函数暴露出来。	
// 2. 改写 将 rt 解密对象,赋值给 JSEncrypt
JSEncrypt = rt
	
// 自己写一个 func 来调用加密, 摘抄加密处如何使用的即可
function test(text){
	var p = new JSEncrypt; // 上面刚刚得到的JSEncrpyt 正好new 一个赋值给 p
	// 经过测试 PublickKey 为固定值,摘抄即可
	p.setPublicKey("MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOJ3pYE2cYqdHAnQhd0akAQ6tKiepF6ZCXnYix8HyZJapWm5aeJRmXpWPaH2l+tZzgwOELJLu0BYk6eefWpd79Zm63+cSRdRqhgSv3/Anh4XVjBBewc26KUKMq5MWnEVCyjEDZSzUvCnDiVOl+Uid9tRRr1ZrBMKsXwSgjvge0NwIDAQAB"),
	password = p.encrypt(a)  // 适当改写
	console.log(password) // 打印
};
	
test('密码')

测试js是否能加密

原始数据

利用 Python 的 js2py 模块运行 js

with open("encryp.js", "r", encoding="utf-8") as f:
    self.context.execute(f.read())

ret = self.context.test('待加密的字符串')

原始数据

GitHub 代码

自此完成了提交登陆请求时对密码的加密,用此方法可对其他字段进行自行封装。

【拼多多】登陆参数解密

番茄西瓜汤
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS逆向加密——某多多anti_content参数加密
含笑
03-29 2454
某多参数加密 Cookie里面 :pdd_vds JSESSIONID Params里面:pageflip anti_content 多次测试发现,Cookie可以不携带,但是会频繁出现错误请求失败,所以还是主要分析Params的参数,page相信大家都懂的 ...
多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 多多api解密 多多anti_content参数逆向分析 多多JS anti_content参数加密解析 node 解密下载即有用
多多解密算法
LouisLee 的博客
07-15 1万+
Hi,大家好;我是叮当猫,工作缘故许久未更新博客啦;今天给大家带来了一点小福利哟;猜猜是啥?咳咳,看标题就知道啦吧,没错我今天就为了揭开夕夕旗下某站的JS加密算法,特地抽空录制了一套视频,献给大家;本套视频主要讲解如何从调试开始到最终完成整个算法破解工作;在此期间,我将教大家如何通过使用Chrome开发者工具快速定位到函数调用入口,掌握了调试后将继续引领大家进入js代码翻译过程 – 将混...
【JavaScript 逆向】多多 anti_content 参数逆向解析
Yy_Rose的博客
10-29 8880
多多 anti_content 参数逆向解析,补环境
JS逆向-PDD商家后台-手机号
哇哈哈
02-22 870
前言 该手机号加密方法主要为 webpack打包 一共有四种方法 根据返回参数解析 返回值为加密字段 在网页中经过处理后呈现正常值 解析 加密主函数 根据response中的返回值判断使用那个解密函数 将代码折叠可以看到 解密函数都在t.a上方 可以直接复制下来 四个方法中 CSO都很简单 function(e, t, n) { if ((t -= (e += "").length) <= 0) return e; n || 0 ===
网页版登录入口_多多商家登录网页版https;//mms.pinduoduo.com
热门推荐
weixin_39594312的博客
01-06 3万+
阅读本文前,请您先点击上面的蓝色字体,再点击“关注”,这样您就可以继续免费收到最新文章了。每天都有分享。完全是免费订阅,请放心关注。注:本文转载自网络,不代表本平台立场,仅供读者参考,著作权属归原创者所有。我们分享此文出于传播更多资讯之目的。如有侵权,请在后台留言联系我们进行删除,谢谢!小编整理分享商家后台商家管理后台http://www.xuecan.net/zhuanti/29879...
多多商家后台字体加密分析
jerry3747的博客
06-16 3003
多多商家后台字体加密
html:简易制作多多登录页面
astar2022的博客
07-22 1709
今日份博客已更新。
多多anti-token 字段加解密学习分析
qq_41155858的博客
09-17 2675
安卓逆向-多多anti-token 字段加解密学习分析
pdd的anti-token加密最新可用
qq_44130722的博客
05-06 883
最新anti-token解密可用
mysql字段加密
03-28
MySQL数据库字段加密,设置数据库字段类型,设置加密盐为全局变量
Rails实现字段加密存储
01-20
存储前,加密后再存储到数据库 读取后,利用 KEY 进行解密 实现 ActiveSupport::MessageEncryptor 是 Rails 基于 openssl 封装实现的一个类,可用于对一个对象进行加密、解密操作。例如: salt = SecureRandom....
javascript生成/解析dom的CDATA类型的字段的代码
10-30
javascript生成/解析dom的CDATA类型的字段的代码
django fernet fields字段加密实践详解
01-20
Fernet 用于django模型字段对称加密,使用 crytography 库。 官网帮助文档 1、先决条件 django-fernet-fields 支持Django 1.8.2以及更高版本,Python 2.7、3.3、3.4、pypy和pypy3。 测试了PostgreSQL、SQLite和...
scrapy 同时爬取多url方法实例
Zok的博客
11-16 1万+
案例 需求:爬取评论页面第1页到第10页内容 一共爬10个url 思路 递归调用parse 直到每个页面爬取完 方法 class QiubaiSpider(scrapy.Spider): name = 'qiubai' # allowed_domains = ['www.qiushibaike.com/text'] start_urls = ['https://ww...
requests模块基本使用、代理ip、session访问
Zok的博客
11-14 5686
python原生基于网络请求的模块,比urllib更实用 相比urllib优势 自动处理编码 自动处理post请求参数、并转码 简化cookie和代理操作 安装使用 pip install requests 代理IP http://www.goubanjia.com/ 注意!! 代理如果代理ip为http协议 那么post协议也统一http get与post参数 请求类型 ...
python爬虫三大解析数据方法:bs4 及爬小说网案例
Zok的博客
11-14 3507
bs4 python独有可以将html文档转成bs对象,可以直接调用bs对象的属性进行解析 安装 pip install bs4 本地html Beautiful(“open(‘路径’)”,‘lxml’) 网络html Beautiful(‘网络数据’, ‘lxml’) 常用属性和方法 class_='class避免系统冲突加 _'!!! from bs4 import Beautif...
最新美团token生成算法
Zok的博客
04-22 3303
觉得还不错的,加个星star GitHub 示例 测试2019年4月20日可用,餐饮板块token生成器
openldap的用户密码字段支持AES加密方式吗
最新发布
07-14
在OpenLDAP中,默认情况下,用户密码字段不直接支持AES加密方式。OpenLDAP使用哈希算法来加密存储密码,例如SSHA(Salted SHA)或SHA-256等。 如果你希望使用AES加密方式来存储用户密码,你可以考虑以下方法之一: 1. 使用OpenLDAP的密码策略(password policy)功能:OpenLDAP提供了密码策略(PPolicy)功能,可以通过配置密码策略,要求密码以明文形式传输到服务器,并且在服务器端进行加密。你可以配置密码策略,使其使用AES算法来加密密码。这样,即使密码在传输过程中是明文的,但在存储时会被加密。 2. 使用外部模块:OpenLDAP允许使用外部插件或模块来增强其功能。你可以尝试查找或编写一个适用于OpenLDAP的外部模块,该模块支持AES加密方式。 请注意,修改OpenLDAP的默认行为可能需要额外的配置和开发工作。在实施任何更改之前,请确保详细阅读OpenLDAP的文档和相关资源,并进行适当的测试和评估,以确保安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值