逆向爬虫-sojson混淆反调加密

已于 2022-09-04 20:44:25 修改
阅读量2.8k 收藏 11
点赞数 3
分类专栏: 爬虫 文章标签: python 爬虫 js
于 2022-05-04 22:27:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44301439/article/details/124549916
版权

文章目录

一、 获取sojson代码

JS加密混淆

本次使用代码:

(function(w, d) { 
 w.info = "这是一个一系列js操作。"; 
 d.warning = "如果您的JS里嵌套了PHP,JSP标签,等等其他非JavaScript的代码,请提取出来再加密。这个工具不能加密php、jsp等模版内容"; 
 d.intro = "本工具由 www.jsjiami.com 提供接口。"; 
})(window, document);

本次代码配置:
在这里插入图片描述

二、sojson加密特点和原理

它可以为js代码添加加密混淆, 压缩成一行, 防止格式化, 死代码注入等属性。

  • 加密混淆:将代码中的所有标识符 (变量名, 函数名) 替换成没有意义的以下划线开始的十六进制数字,如 _0x546d, _0x28239d等。
  • 压缩成一行: 将原本多行的代码都写到一行。
  • 防止格式化:如果调试者希望借助 IDE 对代码进行格式化, 代码将无法正常运行, 陷入卡死状态。
  • 死代码注入:如果调试这对代码进行了格式化, 陷入的卡死状态就是注入的死代码导致的。

为什么能防止格式化呢,其实大致代码如下:

function a() {
    console.log('hello world');
}

if (a.toString().indexOf('\n')) {   // 代码中存在换行
    console.log('你格式化我了。')
    while (true) {
        console.log('等着卡死吧!!!')
    }
} else {    // 代码中不存在换行
    console.log('有本事就格式我。')
}

三、过sojson姿势方法

3.1、格式化正则释义

在这里插入图片描述

3.2、网页调试过sojson

遇到debugger; 点击单步运行
在这里插入图片描述
点击单步调试发现已经跳出debugger点击F8 发现又进入了debugger; 发现堆栈发生变化,可以看到有一个定时器
在这里插入图片描述
将定时器调用的方法置空
在这里插入图片描述
此时即可成功过掉debugger。
在这里插入图片描述
注: 一般不Hook定义的位置。因为本次去掉后下次还会创建所以一般Hook调用的位置

3.3、 静态文件替换过sojson

在sojson代码第一行加入debugger; 单步运行会发现会通过正则表达式来检验是否格式化。
步骤:

  • 找到代码中所有的正则表达式, 在正则表达式后面加上 debugger; 语句。
  • 放到浏览器中调试运行, 代码会在你加上的 debugger; 语句处暂停。
  • 观察正则表达式所测试的代码块, 一般可以看到 toString() 函数, 被 toString() 的函数就是sojson检测的代码块。
  • 将正则表达式检测的代码块都压缩到一行。

第一处断点正则:
在这里插入图片描述
在这里插入图片描述

第二处正则:
在这里插入图片描述

第三处正则
在这里插入图片描述
在这里插入图片描述
第四处正则
在这里插入图片描述
在这里插入图片描述
去除所有debugger;

爱吃辣椒的锅包肉
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sojson中的JS加密(aa)代码解密【sojson表情包加密代码解密】
芜湖~米汤来喽~
06-04 884
效果是在控制台打印“xk”,代码遵循从上往下执行,所以看哪一行代码运行后在控制台打印结果,经测试,在最后一行(22)行代码的时候显示的数据。22行的加密代码,说明上面都是铺垫直接看22行的构造,把22代码最大化展开。展开后,已经很明显了,“+”加号是为了拼接字符代码,直接丢控制台看看效果。看下面👇,有规律吧,47是单引号,157是字母o,所以只要编码一下就可以。返回了一堆\,和乱起八糟的数据,看不懂吧,不懂就问原则,找GPT老师。不用,高端的食材,往往只需要采用最朴素的烹饪方式,确定执行代码。
论文研究-基于反调和平均的张量形态学算子模型及其在彩色图像边缘检测中的应用.pdf
07-22
通过将HSV彩色空间下的三维向量利用二阶对称正定张量进行建模表示,提出一种基于反调和平均的彩色形态学算子。在此基础上,借助于张量相似性度量构造基于参考张量的形态学算子,该算子能够实现滤波的输入保持。通过...
十八:爬虫-JS逆向(下)
qiao_yue的博客
01-07 1995
本篇文章详细讲述了多种加密算法及fiddler抓包工具的使用,并在文末详细讲解了雪球网的代码案例
逆向爬虫27 sojson反调加密
weixin_40743639的博客
03-31 2892
反反爬之过sojson检测
逆向代码注入
最新发布
weixin_48636891的博客
02-13 1309
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I 标题:Ctrl/Command + S
JS混淆详解
2302_80280669的博客
12-30 491
开头定义了一个大数组,然后对这个大数组里的内容进行位移,再定义一个解密函数。后面大部分的值都调用了这个解密函数,以达到混淆的效果。这种代码即为ob混淆,不仅变量名混淆了,运行逻辑等也高度混淆,难以理解。例如:混淆前代码(如果没有特殊标记,都以此为混淆前代码)4,jsfuck混淆
Python 爬虫采集知识,JavaScript 压缩,混淆加密技术详解
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
03-29 5700
JavaScript 压缩,混淆加密技术详解 介绍 JavaScript 的重要性 为什么需要压缩、混淆加密? JavaScript 压缩 JavaScript 压缩的定义 JavaScript 压缩的原理 常见的 JavaScript 压缩工具 JavaScript 压缩的优缺点 JavaScript 压缩案例 JavaScript 混淆 JavaScript 混淆的定义 JavaScript 混淆的原理 常见的 JavaScript 混淆工具 JavaScript 混淆的优缺点 JavaScript
[007]爬虫系列 | so-json 过本地反调
GC怪兽的Blog
08-07 824
一、背景 js[最牛加密]:https://www.sojson.com/jsobfuscator.html 本文主要介绍如何过: 正则防止格式化 禁止控制台输出 死循环 setInterval函数 二、正文 2.1 禁止控制台调试 我们直接将加密后的代码复制到控制台运行,发现直接被debugger!!! 那么肯定是因为一些原因被识别出来被调试了!至于什么原因,这里不说明! 那我们现在直接从代码运行最上面开始进行调试,【即直接在最顶部加上debugger!...
JS逆向实战14——猿人学第二题动态cookie
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
05-26 562
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 目标网站 https://match.yuanrenxue.cn/match/2 网站分析 首先已经告诉了我们这个网站是动态cookie,所以我们首先打开devtools看看哪个cookie,然后我们用代码运行下 然后发...
2021年长安杯电子数据取证比赛复盘完整版(wp)
热门推荐
flyable的博客
08-29 1万+
2021年长安杯电子数据取证比赛复盘完整版(wp)
电力系统稳定器反调分析.pdf
09-01
然而,"反调"现象是PSS应用中面临的一个问题,即在增加机组原动机输入功率时,发电机无功功率不增反而减小,反之亦然。 本文《电力系统稳定器反调分析》探讨了PSS反调现象的原因和解决方案。早期的PSS设计多采用...
育儿早教——与你唱反调
01-01
"育儿早教——与你唱反调"的文档可能包含了各种具体的教育实例和策略,比如通过游戏和故事引导孩子逆向思考,或者如何在日常生活中设置适当的挑战,让孩子在面对困难时学会独立解决。这些内容可能涉及了认知发展、...
易语言程序调试反调试源码-易语言
06-13
5. **代码混淆**:通过对源代码进行混淆,增加逆向工程的难度,使调试变得困难。 6. **自保护**:创建自包含的保护机制,如自我校验、自我修复,以抵御调试。 这些技术可以单独或组合使用,以提高反调试的复杂性和...
螺旋锥齿轮切齿调整参数的精确反调 (2011年)
05-24
提出进行齿深控制的锥齿轮测量齿面切齿调整参数非线性最小二乘优化反调方法,并建立了反调优化的数学模型;采用该方法对磨齿后的某弧齿锥齿轮小轮进行反调计算,结果表明该方法能较为精确地获取锥齿轮副的切齿调整参数...
易语言-DLL调用EXE子程序命令
06-25
易语言是一种专为中国人设计的编程语言,它以简明直观的中文编程语法著称,降低了编程技术的门槛。在易语言中,DLL(动态链接库)调用EXE子程序命令是一项重要的技术,用于实现不同程序之间的功能共享和交互。...
电力系统稳定器反调效果的研究及验证.pdf
08-31
随着电力系统功率振荡模式变得越来越复杂,动态稳定性问题日益突出,研究PSS的反调效果及其抑制方法显得尤为重要。 PSS的反调现象是指在特定条件下,PSS的控制策略反而加剧了系统的不稳定性,这主要是由于PSS参数...
python爬虫逆向|某版本sojson加密逻辑分析与通杀
weixin_43459158的博客
02-14 892
某版本sojson加密逻辑分析
解密阿里巴巴加密技术: 爬虫JS逆向实践-1688 【JS混淆加密解析】
五包辣条的博客
11-04 6745
大家好,我是辣条。 这是爬虫系列的36篇,爬虫之路永无止境。 爬取目标 网站:阿里巴巴1688.com - 全球领先的采购批发平台,批发网 工具使用 开发工具:pycharm 开发环境:python3.7, Windows10 使用工具包:requests,urllib, time, re, execjs 重点学习的内容 JS混淆 正则表达式的使用 py执行js文件的应用 网页参数编码 页面分析 爬取:海量产地工厂,就上1688找工厂 .
jsonobject html转义,JSON 对象 | JSONObject - SO JSON在线教程
weixin_42439576的博客
06-10 207
当我们对象里有特殊的Key,或者不是字符串的Key,处理起来稍微有点麻烦。就上面的Demo,我们取name,那么就是json.name就可以取到“本兮”。其实很好理解这个点“.”就是类似于“的”的感觉,json的name。这么理解是不是很好理解?那么问题来了,如果JSON如下数据,你们可以试试。var json = {"1": {"name": "本兮","age": "22"},"2": {"n...
用Matlab编程求解阶跃响应性能指标 (上升时间、稳定时间、反调功率),要求适应matlab2018a版本
05-25
% 计算上升时间、稳定时间、反调功率 info = stepinfo(sys); rise_time = info.RiseTime; % 上升时间 settling_time = info.SettlingTime; % 稳定时间 overshoot = info.Overshoot; % 最大超调量 Mp = exp((-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值