js逆向-猿人学(14)备而后动-勿使有变

最新推荐文章于 2024-07-02 10:52:07 发布
最新推荐文章于 2024-07-02 10:52:07 发布
阅读量1.2k 收藏
点赞数 3
分类专栏: Js逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43582101/article/details/113253222
版权

猿人学爬虫比赛第十四题《备而后动-勿使有变》

地址: http://match.yuanrenxue.com/match/14

感觉还好吧,至少没有炸内存。
在这里插入图片描述

开无痕窗口,打开控制台,访问,分析数据包

在 http://match.yuanrenxue.com/api/match/14/m 接口中,有两个cookie参数
在这里插入图片描述

sessionid可以和13题一样,通过response-headers获取。

这个mz 需要看一下,首先该接口返回的response有js内容,先用工具尝试还原下。

工具地址:http://tool.yuanrenxue.com/deobfuscator

在这里插入图片描述
然后复制到编辑器中查看,复制出来的代码格式有点问题,需要自行修改下。

这里面没看出来什么东西,依旧出动我的扩展插件,如果还没有找到线索就得查源码了。

var code = function(){
    var org = document.cookie.__lookupSetter__('cookie');
    document.__defineSetter__("cookie",function(cookie){
        if(cookie.indexOf('mz')>-1){
            debugger;
        }
        org = cookie;
    });
    document.__defineGetter__("cookie",function(){return org;});
}

启动插件,清空cookie,刷新页面,等待拦截

在这里插入图片描述
点一下右边的sp,发现这个b64_zw就是cookie的mz。
在这里插入图片描述
b64_zw = G[’\x63\x57’ + ‘\x51\x54’ + ‘\x54’](btoa, z)

在这里插入图片描述
选中 G[’\x63\x57’ + ‘\x51\x54’ + ‘\x54’] 点过去
在这里插入图片描述

那么 :G[’\x63\x57’ + ‘\x51\x54’ + ‘\x54’] = function G(K, Y) {return K(Y);};

所以: b64_zw = G(btoa, z);

然后把代码扣下来就好了。
在这里插入图片描述

这样 mz 参数就生成了。

但是在接口 http://match.yuanrenxue.com/api/match/14 中,还有一个cookie参数 m。
在这里插入图片描述

老样子,改一下参数名,清除cookie,刷新页面,等待拦截
在这里插入图片描述
依旧没有让我失望,继续调试
在这里插入图片描述
点sp,跳到了13518行
在这里插入图片描述
复制到console中,可以发现这段就是生成m的方法了。
在这里插入图片描述

接下来就是分解这段,开始拼代码,删除无用的补充需要的,就不再写了。

考古学家lx(李玺)
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
JS逆向系列之猿人爬虫第14-而后-使有变
自成背后的博客
08-09 2114
JS逆向系列之猿人爬虫第14
猿人第十四而后-使有变
Mr_yuhan6的博客
08-26 184
里面包含了两个重要参数window['v14']和window['v142'],这两个参数在生成cookie中的m时要用m文件代码里有格式化检测,定时器,直接运行不能获取window['v14']和window['v142'],刚开始在做这道的时候我是用re正则匹配要用的js代码,分别是大数组,自执行还原大数组,解密函数,和两个window参数,贴上一张示例代码,下面代码,要补个window和一个调用函数。
JS逆向技巧总结
最新发布
qq_44624290的博客
07-02 886
总的来说,JavaScript 逆向可以分为三大部分:寻找入口、调试分析和模拟执行。下面分别进行介绍。
猿人库十四——js_fuck核心代码加密
含笑
01-02 1072
猿人库十四——js_fuck核心代码加密 1. 首先 进入 浏览器的开发者工具, 查看 网页Network的请求,多点击几次,查看请求的参数变化,可以看到 就俩个参数 page: 页数 uc: 加密的参数 (每次请求都是不一样的) POST 请求,返回数据是对应的上的 2. 解析请求参数 想找到请求的JS函数,可以在 请求的Initator栏目里面的找到 js 方法行数 点击跳转进去后,可以看到[][(![]+[])[!+[]+!![]+!...
猿人web端爬虫攻防大赛赛解析_第十四而后-使有变
仙路尽头谁为峰
09-11 1166
一、前言 一晃又一个月没写博客了,最近集中攻坚了一下,历经了无数次失败,终于把第十四整出来了。总的来说,这确实比较复杂,而且有很多坑,体现在调试、解析等诸多方面,着实考验爬虫工程师的逆向水平。不过这做完收获还是挺大,尤其是逆向过程中的一些调试环境检测,涨了不少知识。 二、总体逻辑分析 首先进入这主页,跟之前的要求基本一致,都是抓取当前页数字: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cBEzNOht-1631283301732)(https://raw.git
猿人14详解
__tian__的博客
02-19 839
使用ast解决猿人14
js逆向不用扣代码系列(3)—3分钟快速破解猿人14(巧过风控)
weixin_42156283的博客
11-25 950
网址:http://match.yuanrenxue.com/match/14 1.加密参数分析 进行翻页请求抓包 似乎是先访问http://match.yuanrenxue.com/api/match/14/m该链接,返回一段js混淆的代码,生成cookie后再访问列表页获取结果,然而我们不必理会其具体过程,直接进入到下一步分析。 2.更改js代码,并替换响应为本地文件 点击下图红框跳入 下面我们对上述图片红框内代码进行修改,并保存到本地,后用fidder替换http://match.yuanr
javascript逆向 猿人 js混淆 回溯 逆向
03-12
猿人JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向习时,首先需要通过反混淆技术将混淆...
Javascript逆向+猿人第二+态cookie+逆向
02-28
一般情况下,JavaScript 逆向分为三步: 寻找入口:逆向在大部分情况下就是找一些加密参数到底是怎么来的,关键逻辑可能写在某个关键的方法或者隐藏在某个关键的变量里,一个网站可能加载了很多 JavaScript 文件,...
python爬虫 - js逆向猿人第一源码加密.pdf
11-27
Python爬虫-js逆向猿人第一源码加密 在本文中,我们将详细介绍Python爬虫-js逆向猿人第一源码加密的解决方法。该问涉及到JS逆向、Python爬虫和加密技术等多个方面。 首先,让我们来了解问的背景。...
Javascript逆向分析 猿人 第四 雪碧图 样式干扰
02-29
本文涉及Javascript逆向分析,针对猿人第四中雪碧图样式干扰进行探讨。所有内容仅供习交流使用,严禁用于非法用途和商业目的。我们将不断优化内容,提供更丰富的解析和讨论,帮助大家更好地理解逆向分析技术。...
python爬虫 - js逆向猿人第三请求顺序验证+请求头验证.pdf
11-27
在这个问中,我们需要解析一个带有JavaScript编码的数据接口,并理解如何正确地构造请求来获取所需的信息。 首先,我们打开网页并尝试通过观察接口来理解其工作原理。在这个例子中,接口URL为`3`和`3?page=xx`,...
javascript逆向 js混淆 乱码增强 js逆向
03-08
习 JavaScript 逆向工程和混淆技术旨在加强对代码安全性的认识和保护。了解如何混淆 JavaScript 代码、增强其安全性,以及防止逆向工程是开发人员重要的技能之一。通过逆向工程,可以更好地理解代码运行原理,...
逆向-音乐家方大刚-快速定位hashMap
03-16
在这个场景中,"逆向-音乐家方大刚-快速定位hashMap"的标和描述可能指的是一个教程或讲座,由音乐家方大刚分享了他在逆向工程领域的经验,特别是关于如何在逆向过程中快速找到并理解HashMap的实现。...
猿人js逆向第二补环境js
05-21
猿人js逆向第二完整补环境js文件
JS逆向猿人第一源码
02-21
JS逆向猿人第一源码》 在IT领域,JavaScript逆向工程是一种重要的技能,它涉及到对JavaScript代码的分析、理解以及修改,常用于安全测试、漏洞挖掘和软件保护等方面。对于初者来说,熟悉并掌握这一技能至关...
猿蜕变14——别再聊AOP了,看这个就好了
hzldds2019的博客
06-08 261
看过之前的蜕变系列文章,相信你对mybatis有了应用方面的认识。但是这些要完成你的蜕变还不够,考虑到大家的基础知识,我们继续回到spring的话上来,我们一起聊一聊AOP。 每月底工厂君会根据后台记录筛选转发文章到朋友圈的前三位的朋友,给与奖励,第一名100元,第二名50元,第三名30元的现金奖励。 猿蜕变同样是一个原创系列文章,帮助你从一个普通的小白,开始掌握一些行业内通用的框架技术知识以及锻炼你对系统设计能力的提升,完成属于你的蜕变,更多精彩内容,敬请大家关注公主号猿人工厂,点击猿人养成获取!
猿人14而后-使有变
飞得更高肥尾沙鼠
07-23 525
猿人14而后-使有变
JS逆向:猿人爬虫比赛第十四详细解(上)
Python3 爬虫实战 1:应对特殊字体,爬取猫眼电影实时排行榜
11-21 3285
实战地址http://match.yuanrenxue.com/match/14 抓包分析地址栏输入 地址,按下F12并回车,发现数据在这里:没有加密参数,看看cookie字段:有三个加...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

考古学家lx(李玺)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值