简单的js逆向教程

最新推荐文章于 2024-04-26 17:15:20 发布
最新推荐文章于 2024-04-26 17:15:20 发布
阅读量1.2w 收藏 61
点赞数 11
原文链接:https://cloud.tencent.com/developer/article/1481421
版权

其实做web端的爬虫,最常见到的就是js逆向方面的问题,既是重点也是难点,所以加强这方面的学习才是提升我们业务技能的重要突破点。接下来讲一下两个小实例,看一下基础的js逆向的破解(浅层篇)。

第一种加密情况:

①分析请求:

先打开目标网站---》打开控制台---》切换至XHR

然后刷新一下就会看到下面的情况

 这里要解决的有两个:

  • 返回的密文
  • 请求中的token

接下来定位加密位置

②定位加密位置与分析加密

按照之前的套路,我们第一步是要搜索加密参数名token

打开search,搜索参数名就找到我们要的token了。

 按照搜索的结果文件名,不难发现是第二个结果,点击打开可以找一下token的生成代码。

 

var token = md5(String(page) + String(num) + String(timestamp));

这段代码我们可以用js实现也可以用python。

偷懒一点用python实现token加密算法:

 接着按照请求里看到的参数生成token试试

 现在有了token参数之后接下来看看这个解密是怎么搞:

右键查看源代码发现了这个:

 图中ip列表的位置是没有数据的,只有id ip_list,这是唯一值,所以值的再搜索一下。

 追进去之后就可以看到下面的代码了:

打上断点,执行两步可以看到decode_str 后就开始出现我们需要的数据了,所以这里的decode_str就是我们要的解密方法:

 我们复制到编辑器里调试运行一下:

 

 可以看到Base64未定义,我们追进去把Base64的算法复制出来:

 

 再次运行,根据提示缺失window对象,根据之前的方式是缺啥补啥,但是我们接下来分析一下这里调用的方法:

 这里调用的是String.fromCharCode方法,我们替换一下再次运行:

 可以看到这里就解出来了。

第二种加密情况:

分析请求

这次要分析的网站不同上一个的是,这次网站使用的是cookie加密,cookie的有效期过了之后就会返回一段js

 使用有效的cookie请求我们需要的数据就再返回的网页中,所以我们只要解决这段js就好了。

 分析加密

把返回的js复制到编辑器里格式化,可以看到代码分为两个部分:

参数定义部分:

 函数执行部分:

 直接执行没得出结果,为了方便知道这段代码发生了什么,我们复制到浏览器console里看看:

为了方便观察,我们把第二段的eval修改为console.log

可以看到这段代码写入了cookie

 继续分析,我们把这段cookie相关的代码复制出来执行一下:

 可以看到这里成功生成了一段cookie值和我们在网页上看到的一样!

 到这里就分析完了。

 

Danker01
关注
  • 11
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
JS逆向入门教程p1 浏览器设置 常用工具
m0_61634551的博客
06-26 998
http编程语言(网络apidavaScript)逆向(js逆向 安卓逆向 ios逆向 PC逆向)调试图像识别下载城南Post助手、fiddler、wireshark(鲨鱼)抓包工具;通过进程抓包f12配置推荐,实验功能全部关闭时间线上的分配检测:js的运行时间线关闭时间线:V8(JavaScript引擎) node.js=v8+js+扩展先看值,再看对象(当看不到值,可以尝试查看对象)程序 栈 (代码的运行流程)a方法调用b方法ba。
JavaScript 逆向调试常用技巧
Logic_luo的博客
03-26 1484
以chrome浏览器为示例(可按 f12 快捷键打开或鼠标右键选择“检查”):Elements:元素面板,用于查看或修改当前网页 HTML 节点的属性、CSS 属性、监听事件等等,HTML 和 CSS 都可以即时修改和即时显示。Console:控制台面板,用于查看调试日志或异常信息。另外我们还可以在控制台输入 JavaScript 代码,方便调试。
逆向基础】JS逆向入门:小白也可以看懂
liaozp88的博客
06-04 8182
出于对数据安全的考虑,现代化的网站/APP通常会对数据接口做加密处理。而分析这些接口的加密算法并实现模拟调用的过程就叫做「逆向」。逆向对于爬虫工程师来说是一个永远绕不开的话题,也逐渐成为各企业招聘时,JD 中的一个必备技能要求。本文就以某在线翻译网站接口加密参数分析为案例,分享一下网页爬虫的逆向原理、分析思路和分析过程。本文通过一个案例分享了爬虫逆向的原理和思路,由于案例比较简单,仅通过在网页 JS 资源文件里直接搜索关键词就能找到对应的加密算法。
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释
最新发布
2401_84139192的博客
04-26 1131
大家好,我是辣条哥!今天给大家上点难度,不然总觉得辣条哥太菜了!我们今天聊聊JS逆向,首先JS逆向是指对使用JavaScript编写的代码进行逆向工程,以获取代码的逻辑、算法或者进行修改。假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。现在我们想要绕过这个验证,直接登录到网站。1.打开网站登录页面,按下F12键打开开发者工具。
JS逆向、破解、反混淆、反浏览器指纹——JS补环境框架
YeJinYang的博客
05-23 1万+
JS补环境框架,过浏览器指纹,重写webrtc
js逆向技巧分享
叶飘っ叶相偎 的博客
02-21 2167
当我们抓取网页端数据时,经常被加密参数、加密数据所困扰,如何快速定位这些加解密函数,尤为重要。本片文章是我逆向js时一些技巧的总结,如有遗漏,欢迎补充。 所需环境:Chrome浏览器 1. 搜索 1.1 全局搜索 适用于根据关键词快速定位关键文件及代码 当前页面右键->检查,弹出检查工具 搜索支持 关键词、正则表达式 1.2 代码内搜索 适用于根据关键词快速定位关键代码 点击代码,...
解决TOKEN已过期,TOKEN加密的js逆向模拟
朴拙科技的博客
10-04 1595
{“code”:10004,“count”:null,“data”:null,“message”:“TOKEN已过期”}’
2_js逆向学习笔记-js基础
weixin_41814736的博客
01-04 621
js基础 js的组成: EDMAScript:制定了一些JavaScript的标准 DOM:文档对象模型:DOM可以把html看作文档树,通过DOM提供的api可以操作这个文档树 BOM:浏览器对象模型:通过BOM可以操作浏览器窗口比如弹出框、控制浏览器跳转 BOM: window对象:不但充当全局作用域,而且表示浏览器窗口,它有如何属性和方法: window对象的属性: closed:窗口是否已被关闭,值为true或者false defaultStatus:设置或返回窗口状态栏的默认文本
7天JS逆向实战讲解教程-视频教程网盘链接提取码下载 .txt
03-03
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下。 ...
最新X货APP逆向教程
06-01
【X货APP逆向教程详解】 在移动应用开发和安全分析领域,逆向工程是一种重要的技术,用于理解软件的工作原理,查找潜在的安全漏洞或优化性能。这篇教程关注的是对"X货APP"的逆向分析,该应用的版本为v7.20.1。逆向...
Python-Python3爬虫实战JS加解密逆向教程
08-10
总结来说,"Python-Python3爬虫实战JS加解密逆向教程"涵盖的内容包括但不限于:使用Selenium进行动态内容抓取,JavaScript逆向工程,理解并应用加密算法,处理混淆代码,以及应对验证码和IP限制等。掌握这些技能将使...
发条JS调试工具,JS逆向神器
08-30
这个调试器的好处是,可以很方便格式化JS代码,然后输入你要调试的字符,然后点击运行,可以当场拿到结果,等到结果ok了的话,就可以用python 的pyexecjs执行。实用性比较强,如果安装的时候碰到系统提示非法性,...
2021年最新巫妖易语言+js逆向+安卓逆向hook培训教程
02-02
这是某资源论坛公布的不...2021年最新巫妖易语言+js逆向+安卓逆向hook培训教程(修复画质声音不同步不加密版),课程主要讲解的内容是易语言+js逆向+安卓逆向hook,课程是2020年11月底刚培训结束的,也是目前最新的课程
JS逆向学习笔记
sinat_28371057的博客
02-13 1149
JS逆向学习笔记 寻找深圳爬虫工作,微信:cjh-18888 文章目录 JS逆向学习笔记 一. JS Hook 1. JS HOOK 原理和作用 原理:替换原来的方法. (好像写了句废话) 作用: 可以去Hook一些内置的函数, 例如Debugger, setInterval,JSON.stringify等等 2.JSHook 检测与过检测 原理: 其实就是检测代码是否和原来的相等. 绕过手段: 修改Function的.
JS逆向---获取某知名外卖平台数据(_token)
m0_61720747的博客
08-30 3833
JS逆向---获取知名外卖平台加密数据(_token) 本文将对一大家都用过的外卖平台的 _token参数进行逆向解析,源代码放在末尾,可自行使用。 下列文章分为四个部分: 第一步:找到主体加密函数 第二步:分析加密函数 第三步:调试、补充JS代码和伪装环境 第四步:调用程序............
JS逆向 | 用简单案例说点给新手看的一点东西
咸鱼学Python的博客
02-20 1411
点击上方“咸鱼学Python”,选择“加为星标”第一时间关注Python技术干货!建议收藏 | 最全的 JS 逆向入门教程合集今天这个网站我们要分析的字段其实很简单,老手跳过即可。这个网...
爬虫做js逆向分析的思路
热门推荐
毛毛腿的博客
03-07 2万+
1. 为什么要做逆向 正常我们访问一个网站是由html css js 文件组成的,下图是某网站的正常访问。 当然我们也可以看到是谁调用了这个请求执行了什么(2图为某网站登录链接) 分析URL 我们可以看到这个链接他的请求参数,传输方式等。我们可以看到左图和右图的差距;同样的请求方式和fromdata会有这样的差距。如果有些经验的同学就会去找相关js了 如何快速查找js 我们可以在搜索查...
一个简单js逆向案例
gklcsdn的博客
04-11 1820
文章目录1. 网址2. 加密参数3. 解密逻辑 1. 网址 http://zhaopin.baidu.com/ 2. 加密参数 刷新页面,在ajax请求里有一个token参数 3. 解密逻辑 全局搜索token 在出现的js文件中依次查看 因为我已经测试过了,目标参数就在箭头所指的js文件中 点击进入该js文件,继续搜索token 定位到指定位置 可在控制台对值进行测试 很明显,就是将z...
python爬虫简单js逆向(破译js
weixin_44397410的博客
11-23 1万+
python爬虫简单js逆向(破译js) 内容简介 一、找到包含所需数据的ajax数据包 二、通过浏览器工具进行关键字定位 三、分析相关js文件,找出具体实现方式 1、getApiKey()函数 2、encryptApiKey()函数 3、encryptTime()函数 4、comb()函数 5、查找不一致的原因 ...
python js 逆向教程
09-26
### 回答1: 我没有具体的指导,但是可以给你一些建议:首先,可以研究一些已经实现的逆向JS的解决方案,然后根据你的需求来实现你所需要的功能;其次,可以在网上搜索一些关于Python和JS逆向教程,并且结合实践来掌握这些技术;最后,可以在社区中寻求帮助,可以得到其他更有经验的人的建议。 ### 回答2: Python和JavaScript是两种常见的编程语言,逆向工程指的是通过分析和理解已编译的代码来了解其内部机制和工作原理。下面将简要介绍关于Python和JavaScript逆向教程。 对于Python逆向来说,首先需要了解Python的字节码和内部数据结构。可以通过使用dis库来反编译Python代码并查看生成的字节码指令,进而分析其执行过程。另外,还可以使用反汇编工具来反编译Python的.pyc文件,以便更深入地研究其运行机制。 在JavaScript逆向教程中,首先需要学习JavaScript的语法和基本概念。然后,可以使用开发者工具来查看JavaScript代码的执行过程和调试信息。此外,还可以使用JavaScript反编译工具来将经过压缩或混淆的JavaScript代码还原为可读性较高的形式,以方便分析和理解。 不管是Python还是JavaScript逆向,重要的是要有良好的编程基础和对底层机制的理解。通过阅读相关文档、学习逆向工程技巧,并进行实践和实际项目中的应用,可以逐渐掌握逆向工程的技能。 总结起来,Python和JavaScript逆向教程涉及到反编译字节码、反汇编.pyc文件、使用开发者工具和反编译工具等技术。通过学习相关知识、实践和实际项目应用,可以逐步掌握逆向工程的技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值