js逆向工具-v-jstools插件自动补环境

已于 2023-08-23 07:42:12 修改
阅读量1w 收藏 80
点赞数 12
分类专栏: js逆向补环境案例入门 文章标签: javascript 爬虫 js逆向 补环境
于 2023-08-23 01:45:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43411585/article/details/132440165
版权

目录

一、反爬参数如图

图片

二、知识点提前Get

  • 1.cookie一般是两种,要么服务器生成,要么js生成,可通过如下方式判断
    在这里插入图片描述

  • 2.为啥要补环境:简言概括下,是因为我们知道这个js文件代码内容会生成我们想要的参数,但是放到本地nodejs环境下运行不出结果,因为缺少浏览器环境特有的一些window/document/navigator/localstorage等参数,所以我们需要把这些缺少的浏览器环境补上,让这份js代码在本地nodejs环境下也能运行出结果来。请看这个图10秒钟
    在这里插入图片描述

  • 3.补环境分三部分,上中下,在最上面放好你补的环境参数,中间部分放好js代码,最下面部分放生成的目标参数,补环境的好处就是我们完全不用考虑内部的算法逻辑,让它能正常跑起来输出就行
    在这里插入图片描述

三、v_jstools安装

  • 1、下载地址 https://github.com/cilame/v_jstools 来自v佬开源开发,大赞
    图片

  • 2、安装如图:打开 chrome://extensions/ , 然后把解压后的文件夹拖进去就可以
    在这里插入图片描述

  • 3、然后这里把他固定住
    图片

四、详细分析流程

  • 1.先点击打开如下两个开关,然后打开配置页面
    图片

  • 2.如下插件配置详情,勾选上总开关,DOM开关,以及常用的挂钩,然后关掉该配置页面
    图片

  • 3.直接看视频-缺啥补啥的方法补环境:https://www.bilibili.com/video/BV1FN4y1d7av/ 或者星球文章 后,我们知道生成cookie的js代码,如图hook到了cookie,然后堆栈回溯查看定位到具体的js文件内容
    在这里插入图片描述

  • 4.所以我们先在vscode里面新建一个js文件,把js代码和希望输出的函数写好,还是三部分,第一部分待补的环境,后面将插件生成的临时环境放过来,第二部分js代码也就是我们上个文章介绍的生成cookie的js文件,第三部分生成cookie的调用是我们手动添加的函数
    在这里插入图片描述
    在这里插入图片描述

  • 5.我们继续回到浏览器里面,先清掉缓存cookie
    图片

  • 6.然后刷新网页,在滑动鼠标下滚下,防止无法正常生成临时环境,如下弹出,代表环境参数已经生成好
    图片
    图片

  • 7.我们回到vscode里面,在刚刚新建的js文件里面ctrl+v粘贴刚刚生成的临时环境,放在最上方
    图片

  • 8.接下来,我们运行下已经补好环境的js文件,最后发现可能会出现如下几种情况:生成的补环境之间能用;已经能生成正常cookie但是不能用;完全生成不出cookie结果值;所以这里适不同情况调试;接下来我会讲两种一种是直接能用的,一种是需要调试才能出结果的情况,大概率大家使用插件的时候也会遇到这个情况

  • 1)生成的补环境直接能用
    图片

  • 2)已经能生成正常cookie但是不能用,一直是固定的
    图片

  • 3)完全生成不出cookie结果值
    图片

方法一:本案例操作流程之-生成临时环境-直接可以用的情况

  • 1.我们还是按之前的步骤清掉缓存,打开插件的勾选项,然后这里唯一要注意的点就是需要勾选script断点,然后用它生成的临时环境
    图片

  • 2.刷新网页后,跳到目标生成cookie的js文件被断住的js后,我们取消script断点,直接下一步调试过去
    图片

  • 3.这时候点击插件的生成临时环境,可能会报错如下,生成的临时环境无法保存至剪贴板
    图片

  • 4.多点击几次生成临时环境就可以了,我们把它复制到本地js文件里面
    图片

  • 5.ctrl+v粘贴到本地js文件中,运行能生成正常cookie,但是程序处于卡死无法退出状态
    图片

  • 6.ctrl+s保存文件后,再次运行,这个时候已经能正常生成cookie值了,但是同样出现了我们上一篇文章介绍的虽然出来了cookie值,但是无法中断程序退出的现象,就是run后不能自动停掉程序,这时候我们可以尝试将setInterval()定时函数给置空试试,这是因为setinterval不会清除定时器队列,每重复执行1次都会导致定时器叠加,最终卡死你的网页(具体的大家可以调试看看)
    图片

  • 7.我们在js代码的最上方的位置添加setInterval = function(){}将定时器置空即可,这时候能正常生成cookie了,并且把日志输出置空var v_console_log = function(){{}}
    在这里插入图片描述

  • 8.接下来我们验证下这份通过插件补的环境,与js代码生成的cookie最终能不能用,用python调用js文件试试,如下我们调用js生成的cookie验证,发现能成功拿到cookie,这说明我们用插件补环境也能用,而上面插件补环境我们只做了两个操作置空定时器,把日志输出关掉即可,接下来分析调试过程中,可能你生成的临时环境不能用的解决方法
    图片

方法二:本案例操作流程之-生成临时环境-不可以直接用,需要调试补下
  • 1.勾选Caught Exceptions,即使所发生运行时异常的代码在 try/catch 范围内,Chrome 开发者工具也能够在错误代码处停住,这里就不详细介绍了,大概思路如下
    在这里插入图片描述

五、文章与视频

十一姐
关注
  • 12
    点赞
  • 80
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
v-jstools插件 - hook+自动环境
老鹰的博客
06-24 1422
我们每次逆向扣完代码存放在 nodejs 上是运行不出结果的,因为缺少浏览器环境特有的一些 window/document/navigator/localstorage 等参数,所以我们需要把这些缺少的浏览器环境上,让这份js代码在本地nodejs环境下也能运行出结果来。环境可以分为三部分,上中下三层。环境的好处就是我们完全不用考虑内部的算法逻辑,让它能正常跑起来输出就行。
网页 js 逆向分析 ( v_jstools )、jshook ( 安卓上用js实现Hook )
热门推荐
freeking101的博客
12-02 2万+
网页 js 逆向分析( v_jstools )、安卓jshook( 用Js实现Hook )
JavaScript 逆向工程:环境框架的重要性与实践
最新发布
朴拙科技的博客
07-15 599
JavaScript逆向工程中,环境框架是一个至关重要的步骤。它涉及到在逆向过程中模拟或充目标代码的运行环境,确保代码能够被正确执行和分析。本文将探讨环境框架的重要性,并提供一些实践技巧。
太赞了!发现一个JS逆向神器!
路人甲Java
01-09 1233
昨天在群里,看见有Python圈子里的朋友晒了张图,是其用Python技术兼职赚钱的接单记录,在了解详情后我大为震撼,竟然有人单靠Python爬虫做副业就能半个月赚4W多!可仔细想想,春节即将到来,现在正处于Python爬虫接单的高潮期,各类甲方对爬虫服务的需求量其实已经很大了,给出的报酬也很丰厚。所以对掌握企业级爬虫技术的朋友来说,兼职接单赚4W多似乎也简单。当下各领域对爬虫服务的需求量虽说很大...
js逆向——内存漫游工具
wegvsdv的博客
05-24 1190
工具通过代理,对网页的js代码进行劫持,然后篡改代码,并通过注入的hook逻辑,捕获所有变量的改变。最终实现, 可以==通过变量的值来反向查找到所属的变量==。是的主要是在逆向的时候找加密和解密的位置
qxVm js环境框架
逆向笔记
04-21 2834
浏览器中组成字符串, 保存到本地, 具体可以看 (https://mp.weixin.qq.com/s/lDlylUGWS2qtCGBh-1RKFQ)微信公众号: y小白的笔记(https://mp.weixin.qq.com/s/GGqecHvqN54IzL3ap5c28A)三个参数 (需要运行的目标js, 需要导出的目标函数, 个人配置)因为是前期版本, 所以并没有加入dom解析,属性的方法时间。目前的设计思路以及实现的方式,检测点相对来说是比较少的。qxVm优化方向(当然新版都是已经实现的)
js逆向调试工具,集成常用js加密函数,前端js几种加密集合
03-07
js逆向调试工具,集成常用js加密函数,前端js几种加密集合
JS逆向工具清单
tyyua_21的专栏
05-21 240
一个超级全的爬虫工具库,能解析请求地址、参数、头部、cookie格式化等超全的在线模拟加解密工具逆向的时候可以使用他模拟加解密算法能够模拟各种JavaScript节点树、方便调试混淆代码还原操作Tampermonkey,又称作油猴,篡改猴,允许用户自定义并增强网页的功能。v 神出品的用于快速调试 JS 代码的插件,内置 dom 对象 hook、pac 代理、AST 解混淆、代码模板等强大功能。把远程 css 文件或者 js 映射到本地的文件上,通过修改本地文件进行调试和开发。
探索JSreverse:一款强大的JavaScript逆向工程工具
gitblog_00001的博客
03-28 724
探索JSreverse:一款强大的JavaScript逆向工程工具 项目地址:https://gitcode.com/downdawn/JSreverse 项目简介 JSreverse 是一个专为JavaScript开发者和安全研究人员设计的在线逆向工程工具。它利用先进的算法和技术,帮助用户解析和理解复杂的JavaScript代码,让调试、分析和优化变得更加简单。通过提供直观的界面和丰富的功能,J...
js逆向工具的使用
DJ_joker的博客
04-27 1513
开启这个Overrides 的时候要勾选红框里面的东西;在page里选择save for Overrides 的时候要确认页面已经加载完了。XHR/fetch Breakpoint 的功能就是在send之前打断点。chrome Devtools 也叫谷歌调试工具
使用v_jstools环境
Awesome_py的博客
11-28 975
js环境
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
v-jstools-main
02-09
chrome插件 ast
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 805
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
推荐开源项目:v_jstools - 强大的JavaScript工具
gitblog_00047的博客
03-25 710
推荐开源项目:v_jstools - 强大的JavaScript工具库 项目地址:https://gitcode.com/cilame/v_jstools 在现代Web开发中,一个高效的工具库可以极大地提升开发效率和代码质量。今天,我们要向您推荐一个非常实用的JavaScript工具库——v_jstools。这是一个由cilame维护的项目,旨在提供一系列通用且功能丰富的工具函数,帮助开发者解决日...
js逆向工具-油猴Tampermonkey脚本hook案例
十一姐的博客
11-24 1万+
目录一、油猴下载与安装二、油猴脚本免费使用网站三、油猴脚本编写介绍四、油猴hook之js逆向案例1、定位pre参数加密位置 一、油猴下载与安装 油猴:Tampermonkey 是一款免费的浏览器扩展和最为流行的用户脚本管理器, 可以通过不同的“脚本”实现数十甚至上百个功能,比如视频去水印,去广告,js逆向定位加密参数生成位置等 下载与安装:下载.crx插件 ,安装:谷歌>右上角>更多工具>扩展程序,直接将crx文件拖入如下图页面 二、油猴脚本免费使用网站 Greasy Fork:提
JS逆向之浏览器环境(一)
Wxc的Blog
03-16 1万+
JS逆向之浏览器环境(一) 简介 今天分享是是浏览器环境检测以及node js环境 我们点击检测设备信息看发出的请求,可以看到是sign和data 这个data看起来像base64,我们试一下,发现不是 分析加密位置 可以看到经过混淆了 我们选中看一下 那我们接下来就知道了,要逆向的两个参数变量 _0x392f2d _0xd9e63f 我们直接把整个文件拷贝到webstrom里,看一下这两个变量在哪里定义的,可以看到在这 由于我们只需要这两个变量,所以下面的代码可以删除了,变成这样
js 逆向分析的神器 --- v_jstools
墨鱼菜鸡
07-11 1523
From:https://mp.weixin.qq.com/s/LisYhDKK_6ddF-19m1gvzg 1、下载和安装插件 这是一款浏览器插件,功能非常的nice 工具地址:https://github.com/cilame/v_jstools 浏览器打开上面的网站后,点击 code 按钮,选择 DownloadZIP 选项,将文件下载下...
JS逆向环境学习笔记(较杂)
Xzike的博客
10-09 3776
JS逆向环境下载使用vm2检测环境的一些点参考 下载使用vm2 vm2可以理解为一个纯净的脱离Node的V8环境,相当于重新启动了一个进程,然后在进程中不允许加载Node中的一些东西,禁止了一些Node中的特性,是一个相当于V8的沙箱环境。 npm install vm2 检测环境的一些点 node环境中有process,而V8环境或者浏览器环境中没有process。 任何canvas指纹都存在一定得误杀率,所以厂商不会去对canvas指纹做强校验,因为不同浏览器canvas底层实现代码不同;其次即
v-jstools使用
08-19
v-jstools是一个用于JavaScript项目的代码规范检查工具。它基于ESLint和Prettier等工具,帮助开发者在编写代码时保持一致的风格和规范。 要使用v-jstools,首先需要确保你的项目已经安装了Node.js和npm。然后,可以按照以下步骤进行操作: 1. 在项目根目录下打开终端或命令行界面。 2. 运行以下命令安装v-jstools: ``` npm install -g v-jstools ``` 3. 安装完成后,可以在项目中创建一个配置文件,例如`.vjslintrc.json`,用来定义代码规范和风格。 4. 在配置文件中,你可以自定义ESLint和Prettier的规则。你可以参考官方文档来了解更多有关配置的信息。 5. 配置文件创建完成后,你可以在终端中运行以下命令来检查项目代码的规范: ``` v-jstools lint ``` 6. v-jstools将会根据配置文件中定义的规则,对项目中的JavaScript代码进行检查,并给出相应的警告或错误信息。 除了lint命令外,v-jstools还提供了其他一些有用的命令,如fix(自动修复代码中的一些常见问题)、format(格式化代码)等。 请注意,使用v-jstools之前,建议先备份你的项目代码,以免不小心对代码进行了意外的修改。 希望以上信息能够帮助到你,如果有任何疑问,请随时提问!
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值