无限debugger绕过,某意见反馈网站逆向分析

已于 2024-05-25 07:47:01 修改
阅读量642 收藏
点赞数
分类专栏: 爬虫 文章标签: json 前端 javascript 爬虫 python
于 2023-03-11 00:44:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43701894/article/details/129453273
版权

目标地址:aHR0cDovL3p3Zncuc2FuLWhlLmdvdi5jbi9pY2l0eS9pY2l0eS9ndWVzdGJvb2svaW50ZXJhY3Q=

点击下一页,即可抓包查看接口,但是一打开调试工具,马上开始debugger,点击下一步,又会被断到另一个 debugger 的位置,这种情况就是无限 debugger,无限 debugger 存在的意义就是防止一部分人进行调试,但事实上绕过无限 debugger 的方法非常简单,方法也非常多,以下介绍常用的几种绕过方法。

  1. Never pause here
    最简单快捷的方法
    neverPause.png

  2. Add conditional breakpoint
    同样右键选择 Add conditional breakpoint,输入 false 即可跳过无限 debugger,其原理是添加条件断点,不管前面代码的逻辑是什么,运行到 debugger 的时候必定是 true 才能执行,只需要将其改为 false,那么它就不执行了,其实Never pause here也是这个道理。

  3. 中间人拦截替换
    所谓中间人拦截替换,就是将原来的含有无限 debugger 的函数给替换掉,这种方法适用于知道无限 debugger 函数所在的具体 JS 文件,重写 JS 文件,使其不含有无限 debugger 的函数,利用第三方工具将原来的 JS 文件替换成重写过后的文件,这类工具有很多,例如浏览器插件 ReRes,它通过指定规则,可以把请求映射到其他的 URL,也可以映射到本机的文件或者目录,抓包软件 Fidder 的 Auto responder 功能,也可以实现替换,甚至新一点的谷歌浏览器地source面板都可以重写JS了。

绕过无限debugger后,这个网站的逆向就非常简单了,抓包结果如下
接口参数.png

json数据可以看到很简单,就是分页用的,url参数有几个像是加密的,直接全局搜索OPEN@,只有一处结果,下断,只需跟进execute函数,可以找到加密位置
加密位置.png
所有的逻辑都在addUrlAuth函数中,直接全盘扣出来

/**
 *  添加url 参数校验
 */
addUrlAuth: function (url) {
	var curUrl = url;
	if (this.isApiV2) {
		var sig = "";
		var chars = "0123456789abcdef";
		if (!LEx.isNotNull(__signature)) {
			var curTime = parseInt(Math.random() * (9999 - 1000 + 1) + 1000) + "" + Date.parse(new Date());
			sig = chars.charAt(parseInt(Math.random() * (15 - 15 + 1) + 10)) + chars.charAt(curTime.length) + "" + curTime;
		} else {
			sig = __signature;
		}

		var key = "";
		var keyIndex = -1;
		for (var i = 0; i < 6; i++) {
			var c = sig.charAt(keyIndex + 1);
			key += c;
			keyIndex = chars.indexOf(c);
			if (keyIndex < 0 || keyIndex >= sig.length) {
				keyIndex = i;
			}
		}

		var timestamp = parseInt(Math.random() * (9999 - 1000 + 1) + 1000) + "_" + key + "_" + Date.parse(new Date());
		var t = timestamp;
		t = t.replace(/\+/g, "_");

		var tkey = "";
		var tkeyIndex = -1;
		for(var i=0;i<6;i++){
			var c=timestamp.charAt(tkeyIndex+1);
			tkey +=c;
			tkeyIndex = chars.indexOf(c);
			if(tkeyIndex<0 || tkeyIndex>=timestamp.length){
				tkeyIndex = i;
			}
		}

		curUrl += "?s=" + sig;
		curUrl += "&t=" + t;
		curUrl += "&o=" + tkey;
	}
	return curUrl;
}

其中的__signature可以在html源码中找到,this.isApiV2也可以直接改为ture。

__如风__
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【JS 逆向百例】无限debugger绕过,某政民互动数据逆向.doc
10-22
【JS 逆向百例】无限debugger绕过,某政民互动数据逆向.doc
爬虫 js 调试 与 无线跳过debugger, Paused in debugger
风华浪浪的博客
11-08 1341
一、背景 做爬虫时,遇到js加密混淆时,需要调试js 代码; 有网站无法右键点检查,有的是无限debugg 、其中无限debugg居多,如果不能查看网络,抓取相应的包。就没有下文啦。 二、解决办法 第一种亲自尝试可行,第二种目前目前没有亲自尝试 第一种办法 Sources→XHR/fetch Breakpoints→取消勾选(没有也行) 2. 先点Activate breakpoints,再点Pause script execution 第二种办法 使用Fiddler替换响应中的debugger
爬虫解决--反调试之无限debugger
zhaojiafu的博客
08-20 4395
文章目录需求:方法一:对debugger编写断点false,使之失效。 需求: 对于一些网站,人家是不让使用前端调试,不然就无限出现debugger,然后自己也很无奈,说下我学到的俩个解决方法思路吧。 方法一:对debugger编写断点false,使之失效。 在debugger处,前面对应的行数右击,(记得指针在行数位置上,这个点我也弄了好久才弄出来),选择第三项 Add conditional ...
JavaScript逆向爬虫——无限debugger的原理与绕过
Liu_Bruce的博客
04-07 1112
debuggerJavaScript 中定义的一个专门用于断点调试的关键字,只要遇到它,JavaScript 的执行便会在此处中断,进入调试模式。但有时候,debugger 会被网站开发者利用,使其成为阻挠我们正常调试的拦路虎——无限 debugger
JS 跳过 debugger 的几种方法
爬楼梯的巨人的博客
02-21 2446
JavaScript无限debugger原理与绕过方法
JS 跳过 debugger 的几种方法,都在这了
前端人的博客
05-23 4015
前端写自动脚本中最常见的就是 debugger 的干扰,debugger 仅在调试模式中起作用,需要手动点击才会继续向下执行,这样我们的自动脚本也就卡住无法向下执行,本篇文章介绍几种跳过 debugger 的方法。 方法1:禁用所有断点 禁用所有的断点,会包含自己的断点也会被禁用掉,暂停了调试。 方法2:添加到 Ignore List 中 把需要忽略掉的断点被包含的文件,添加到忽略列表中,此时一部分的断点就会被跳过,使用 f5 刷新也不会影响。 鼠标放到 debugger 处,点击右键
关于某解析站的无限Debugger的分析
zhsworld的博客
03-04 1060
目标网站 aHR0cDovL3FxZTIuY29tL1ZpZGVvL2RlZmF1bHQuaHRtbA== 今天要分析的是一个视频解析网站,这一类网站大多都是借用别人写好的视频解析接口,再套上自己的 UI 就是一个新的解析站了,所以有时候解析服务一挂,很多类似的网站都用不了,而且这类解析的网站一般都有法律风险,不建议私自搭建(律师函警告) 我们今天主要是分析这个网站的反爬措施,看下有...
JS逆向-常见反调试之“无限Debugger”,怎么解决?
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
02-08 3443
把JS文件保存到本地进行修改,修改范围主要是将debugger相关代码删除或者改写,修改后使用chrome控制台或者fiddler,charles,mitmproxy等工具动态拦截并替换JS文件。,一般将反调试理解为“影响正常调试的都属于反调试”,其大致包括压缩混淆加密,无限debugger,控制台状态检测,蜜罐以及内存爆破。如果网页的定时debug时间为3000毫秒,那么就修改方法,当参数为3000时,就让它返回一个空方法,等于覆盖原有的定时任务。那么,对于遇到这种情况,要怎么解决呢?
绕过JavaScript debugger三种解决方法
wh445306
12-21 9816
最近网上挺火的一段加密混淆JS,格式化展开后有300多行,目的是解析生成一个cookie,不携带cookie,就不能加载网页源码,典型的反爬虫操作。 看后觉得好使的请记得点赞哦!烧鸡么么哒!谢谢:) JS会自动监视是否打开了调试器,如果打开了,就会调用下面这个很恶劣的递归死循环函数,从0开始累加调用,不断弹出debugger窗口,直到你电脑卡死,浏览器崩溃 第一种反调试解决方法: ...
HTTP Debugger Pro 网站开发工具 8.22
10-04
HTTP Debugger 是一款网站开发工具,用来测试和调试复杂的网站应用程序。HTTP Debugger 是一个可定制的代理服务器,能够实时跟踪显示浏览器和网站服务器之间的所有信息。 HTTP Debugger Pr
shangbiaojuruishu:商标局瑞数绕过与反爬学习
05-06
shangbiaojuruishu商标局瑞数绕过与反爬学习贴逆向好的js代码..剩下靠你们自己了需要返回cookie,否则无限跳转,文件夹中带有nginx静态服务配置增加2020年7月30号的逆向学习代码1.对代码格式2.处理控制流平坦化,减少对...
HTTP Debugger
07-23
网站开发工具,用来测试和调试复杂的网站应用程序。HTTP Debugger 是一个可定制的代理服务器,能够实时跟踪显示浏览器和网站服务器之间的所有信息。
ImmunityDebugger
05-23
ImmunityDebugger
浏览器控制台无限debugger与解决办法
Cloud1209的博客
11-29 7308
什么是无限debugger 某一天,我在用控制台检查network信息时 遇到了很怪的一幕,一旦打开控制台就会自动跳转到debug调试页面 firefox浏览器甚至会迅速奔溃 chrome中可以看到这样的代码 解决办法 好家伙,这种情况我还真是第一次见,怕不是写了个脚本无限debug。 既然如此,那我就跳过debug,直接禁止端点debugger 或者也可以直接禁用网站JavaScript,但这波AOE可能会导致网站内容不可用(慎用) 扩展 那么这段代码是怎么做到的呢,经过一番搜寻,发现了实现代码如
Android 中资源文件夹RES/RAW和ASSETS的使用区别
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-22 951
/ 读取res/raw/example.txt文件内容try {= null) {*res/raw:适用于简单的资源文件,文件名有严格要求,通过资源ID访问。1、优点:直接通过资源ID访问,性能较好。2、缺点:不支持复杂的文件夹结构,文件名有严格要求。3、适用场景:简单资源文件,如音频、视频、文本等*assets:适用于复杂的资源文件,支持文件夹层次结构,通过文件路径动态访问。通过合理选择和使用这两个文件夹,可以实现更高效的资源管理和访问,提升应用的组织性和性能。
【教程】使用 UnityWebRequest 进行 Post Json内容
Mr.River的博客
05-19 390
Unity 官方文档中使用来获取地址返回数据。与同样。但实际网络文章有一些篇幅以开头方式获取地址返回数据。这在官方文档中并未详细的提供说明描述。于是对于Post的使用方式出现了疑惑,即 何时使用两者?
过滤器 -- Filter
最新发布
标准都是留给不爱的人,爱的本质是自由意志的沉沦
05-24 118
其他过滤器的使用示例可以参考官方文档或其他相关资料。总的来说,这些过滤器可以帮助开发者在 Web 应用程序中实现各种横切关注点,提高代码的可重用性和可维护性。示例:实现一个 JSON 格式化过滤器,将控制器动作方法的返回值自动序列化为 JSON 格式。示例:实现一个全局异常处理过滤器,将所有未处理的异常记录到日志中,并返回友好的错误页面。示例:实现一个基于角色的授权过滤器,只允许具有特定角色的用户访问某个控制器动作方法。示例:实现一个日志记录过滤器,记录每个控制器动作方法的执行时间和参数信息。
微信小程序:获取经纬度
qq_41985405的博客
05-18 260
会报错:getLocation:fail require permission desc。
python-数据存储
m0_57852920的博客
05-21 326
使用场景:程序都把用户提供的信息存储在列表和字典等数据结构 中。用户关闭程序时,几乎总是要保存他们提供的信息。一种简单的方式是使用模 块 json 来存储数据。1.模块json 让你能够将简单的Python数据结构转储到文件中,并在程序再次运行时 加载该文件中的数据2.你还可以使用jsonPython程序之间分享数据。3.JSON数据格式是许多编程语言相互传递数据的通用格式4.通常使用文件扩展名.json来指出文件存储的数据为JSON格式。
js逆向之过无限debugger
05-15
无限debugger是一种常见的JavaScript逆向技巧,它可以绕过网站JavaScript 代码保护,使得黑客可以在网站上执行任意的 JavaScript 代码。具体步骤如下: 1. 打开浏览器的开发者工具(F12)。 2. 在 Sources 面板中找到要逆向JavaScript 文件,将代码复制到剪贴板中。 3. 点击 Sources 面板上方的 {} 按钮,将代码放入 console 中并执行。 4. 在执行代码的过程中,使用 `debugger;` 语句来暂停代码的执行,使得可以在执行过程中进行调试。 5. 在调试时,使用 `step over` 或 `step into` 等调试命令来单步执行代码,以便查看代码的执行过程和内部变量的值。 6. 如果需要继续执行代码,可以使用 `resume script execution` 命令恢复代码的执行。 需要注意的是,过无限debugger属于非法技术手段,不建议用于非法用途。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值