boss直聘__zp_stoken__逆向分析

最新推荐文章于 2024-04-29 15:57:51 发布
最新推荐文章于 2024-04-29 15:57:51 发布
阅读量1k 收藏 25
点赞数 20
文章标签: python node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44697518/article/details/138172770
版权

声明

本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!

目标网站 

aHR0cHM6Ly93d3cuemhpcGluLmNvbS93ZWIvZ2Vlay9qb2I/cXVlcnk9SmF2YSZjaXR5PTEwMTI4MTYwMA== 

zp_stoken

跟踪__zp_stoken__的由来
清空cookie,click关键字,单步执行,找到security-check 没有cookie的话,都会走一下这个security。

code = new ABC().z(seed, parseInt(ts) + (480 + new Date().getTimezoneOffset()) * 60 * 1000)

数据参数分析

找到生成,发现异常返回俩个参数seed和ts 然后拿着这个俩个参数生成令牌,进行请求数据

还原分析

可以看到很像阿里的混淆,但是套了层真假函数 去除真假函数以后,看到多层switch嵌套 继续还原多层到一层switch 还有一些常用的赋值引用操作,全部还原成果图

解决流程思路 

逆向流程
识别目标页面和逆向目标:首先,需要确定你要逆向的目标页面,可能是一个包含加密逻辑或者安全检测的页面。然后,分析页面的结构和 JavaScript 代码,识别出需要逆向的部分。
分析逆向目标:通过查看页面源代码和相关 JavaScript 文件,分析逆向目标的加密逻辑、安全检测代码或其他需要绕过的内容。理解这些代码的运行方式和逻辑是解决问题的关键。
识别检测点:识别出导致逆向失败的检测点或限制条件。这些检测点可能是基于特定对象属性的存在与否、特定值的比较等条件。
生成环境补丁:根据检测点的分析,生成补齐缺失对象属性的补丁代码。这可能涉及创建一个包含所有必需属性的模拟环境或对象,以模拟原始环境的行为。
测试和验证:最后,测试修改后的 JavaScript 代码,确保逆向目标的功能仍然可用,并且成功绕过了检测点。这可能需要多次调试和验证,直到达到预期的结果。

控制流混淆是一种将Javascript代码的控制流路径模糊化的技术,以增加代码的复杂性和混淆程度,从而增加代码的逆向分析难度。以下是一些常见的控制流混淆技术:

  1. 条件判断混淆:通过使用多个嵌套的条件判断语句,使代码的执行路径变得复杂。例如,将条件判断语句拆分为多个小的条件判断,并使用逻辑运算符混合它们,使得代码的执行路径不易跟踪。

  2. 循环混淆:通过多层循环嵌套和无用的循环迭代,使循环的执行流程变得复杂。例如,将循环嵌套在条件判断语句的内部,或者使用无用的循环迭代来迷惑分析人员。

  3. 函数调用混淆:通过将函数调用嵌套在其他函数中,或者将函数作为参数传递给其他函数,使函数调用的关系变得混乱。例如,将函数调用放在字符串中,或者将函数调用的结果赋值给不同的变量来迷惑分析人员。

  4. 代码的重排和扁平化:通过改变代码的顺序和结构,使其更难以阅读和理解。例如,将代码块的顺序打乱,将多个代码块合并成一个较长的代码块,或者使用无用的语句来填充空白。

  5. 动态代码生成:通过在运行时生成代码,使代码的结构变得动态化。例如,将代码片段存储在字符串中,然后使用eval()函数或者new Function()函数来执行这些代码,以增加代码的混淆程度。

我这里因为还原大量的控制流,文件上的检测点一目了然,我选择用补环境去解决以便应付,补齐缺少的对象属性,即可即可生成__zp_stoken__进行请求。
直接放出最终请求成功图!

番外

考虑到用文字描述还原复杂,我将会在星球用视频讲解思路,欢迎来捧场!
另外5.20号之前星球会涨价,还没来的兄弟赶紧了!
联系我有优惠券进星球哦!!!
加我请备注来意!
加我请备注来意!
加我请备注来意!

Next-Target

  1. 后期思路是讲补环境去通杀某音ab,xb,xhs全参等等,尽量避免用插桩分析还原算法去对抗jsvmp脏活。
  2. 阿里140
  3. 主动调用Android-Wechat文本信息

最近想法

我开了个知识星球,把将本期的思路已放到了里面,有需要的小伙伴可以自行去取,jd的参数,阿里bxet纯算、快手滑块,Pdd—Anti,ikuai,b站login之-极验3文字,某音ab,瑞数456vmp补环境等等,主要是某些大佬加我问成品,很多人都打着白嫖的手段去加我好友为目的,问完基本就以后没有任何的交集,这样的交好友雀氏没有任何意义。不如我直接开个星球,里面直接放我逆向的成品以及逆向的思路,这样大家各取所需,我也有点收益,意义更明确点,免得浪费大家的时间。星球如果你们遇到了什么问题的话,也可以直接提出来,我肯定以我最大的能力去回答,后续的话,随着知识星球的作品越来越多,涨价是必然的。至于一些没有特殊难点的站或app,我会直接把思路以及成品到星球里面,同时也欢迎各位大佬的技术合作,有技术,有想法的一起交流成长。

我系阿柒_
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python行业分析】BOSS直聘招聘信息获取之使用webdriver进行爬取
06-14 897
进行网页数据爬取的方式有很多,我前面使用了requests模块添加浏览器的cookies来对页面数据进行爬取的,那我们是不是可以直接使用浏览器来获取数据呢,当然是可以的。 使用selenium.webdriver爬取boss招聘数据 python操作浏览器 自动化测试软件
爬虫进阶:Scrapy 抓取 boss 直聘、拉勾心得经验
happyJared
09-28 5167
关于使用Scrapy的体会,最明显的感受就是这种模板化、工程化的脚手架体系,可以说是拿来即可开箱便用,大多仅需按一定的规则套路配置,剩下的就是专注于编写跟爬虫业务有关的代码。绝大多数的反反爬虫策略,大多有以下几种: 忽略robots.txt协议 添加随机请求头,如cookie、user-agent等 sleep休眠 控制并发请求数、设置页面下载延迟 验证码识别(靠谱) 使用ip代理池(最靠谱) ...
爬取BOSS直聘招聘数据(详情页数据+__zp_stoken__逆向)
xiugtt6141121的博客
04-01 820
Boss直聘逆向
最新版(xx)直聘cookie(__zp_stoken__)破解
m0_72754589的博客
12-24 1017
本文采用的是rpc的远程调用。
2020最新BOOS直聘爬取保姆式教程,你值得拥有!
爬遍所有网站
08-19 1496
前言 来到BOOS直聘 搜索python 打开控制台,查看请求发现,页面数据不是动态加载 所以直接复制当前页面链接进行爬取,经过多次的爬取之后 。。。。。。。 失策失策,以前爬取别的网站从没有这么严格的反爬虫机制,没到到翻车了。。 偷偷告诉大家一个小技巧:虽然被禁止访问了,但登录后就又可以访问了,嘿嘿!可惜我当时不知道,事后才发现,可惜。 现在这样只能使用IP代理了 使用IP代理参考以下文章 Python爬虫避坑IP代理教程避坑(reuqests和selenium
爬虫-招聘系列2----boss直聘
热门推荐
郑德帅
12-23 1万+
1.采集数据网站:boss直聘 为避免打广告嫌疑,自行前往官网查看 2.网站分析 搜索条件较上一篇51要多一点,但是提交参数原理都是一样的 那么我们就下抓取职位为python,范围为全国的数据,其他也不限 对网站数据查看,都在源码里 3.对构造url,请求 url: https://www.zhipin.com/c100010000/?query=python&am...
自我学习-逆向解析BOSS直聘cookie字段 _zp_stoken__加密
qq_39960370的博客
05-20 4512
郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。 如有侵权,请联系本人删除 1. 学习背景 最近这段时间在学习 node 爬虫, 通过网上教程爬取猎聘网数据,是我产生兴趣, 最为目前中国最火的招聘软件,BOSS直聘自然而然成为了我的首选. 配合着网上一些案例,我开始了学习,然而遇到了一些问题: 在获取到页面数据时获得了如下信息, <div class="data-tips">
最新boss直聘 __zp_stoken__ 生成
qq_57325259的博客
02-27 2344
直聘,逆向,补环境
某招聘网站2024/4/29新版token生成分析 (一)
最新发布
yuyudad的博客
04-29 696
有些网站加载的动态html可以先尝试开发者工具中的替换来固定html 让动态的html变成静态的 更有便于跟踪定位。在&3 结果还是0 ·····下面同理 第一层算出的结果是0-0-3-3 按照结果进入分支内看看。大家对与ast的评价都是褒贬不一 但是你看那个大佬不会ast的 我的建议是能学就学。可以看到最后 判断的是Z 而Z的内部就是代码的本体,当然还有干扰项。
爬虫-反爬一:boss直聘cookies反爬怎么治
m0_48486617的博客
06-16 9198
文章目录絮叨一下分析开撸 絮叨一下 boos直聘,想必对于找工作的同志都非常熟悉,以其'招人快 人才多 匹配准 公开透明'等优点位居行业的前沿,,,当然我不是来打广告的,我是来安排他的. 今天就用scrapy框架配合selenium进行岗位,薪资.待遇,公司 等信息进行爬取 分析 boss直聘网站: www.zhipin.com 他的反爬还是很讨厌的,信息都是用cookies渲染生成的,cookies时效很短,很快就失效了,快速访问还会封掉你的ip ,封了ip第一反映就使用代理吧,使用代理你就会发现,会提
python脚本爬取boss直聘JD信息
01-09
python利用requests+bs4爬取Boss直聘数据
Review_Reverse:2019年末总结下今年做过的逆向,整理代码,复习思路。 拼夕夕Web端anti_content参数逆向分析 WEB淘宝sign逆向分析; 努比亚Cookie生成逆向分析; 百度指数data加密逆向分析 今日头条WEB端_signature、as、cp参数逆向分析 知乎登录formdata加密逆向分析 KNN猫眼字体反爬 Boss直聘Cookie加密字段__zp_stoken__逆向分析
05-12
Welcome to Review_Reverse :waving_hand:2019年末逆向复习系列轻JS逆向分析“攒经验”项目系列公众号目前已迁移,所有的文章可以去我的CSDN和掘金查看。关于逆向析相关实实战案例的案例,目前已推出如下系列2019年...
最新Boss直聘-zp-stoken-加密算法
09-13
文件内包含加密JS算法文件,Python脚本加密参数调用且代码含详细注释
python爬取boos直聘python招聘信息
09-17
python爬虫的一个练习,
Tieba_Sign-Go---Copy:百度贴吧 云签到
04-08
Sign-Go---Copy完成后 $GOPATH/bin (GOPATH默认为:~/go) 目录下因该有可执行程序 Tieba_Sign-Go---Copy ,如果没有请手动build3、将需要签到的贴吧账号的cookies(需要BDUSS和STOKEN两项)放到txt后缀的文件里,...
Python爬虫—破解JS加密的Cookie
wq10_12的博客
08-03 1842
在进行网站数据爬取时,很多网站会使用JS加密来保护Cookie的安全性,而为了防止被网站反爬虫机制识别出来,我们通常需要使用代理IP来隐藏我们的真实IP地址。本篇文章将介绍如何结合代理IP破解JS加密的Cookie,主要包括以下几个方面:什么是Cookie什么是JS加密的Cookie什么是代理IP破解JS加密的Cookie的方法及实现如何使用代理IP进行网站数据爬取首先,我们来了解一下什么是Cookie。
Boss招聘网站的反反爬机制详解
山东大葱哥
04-26 8963
近日出于学习的目的对某Boss网站的反爬机制进行了分析和逆向,终于完全搞定了,记录总结下方便日后学习! 本代码请仅用于 纯技术研究的 用途,请勿用于商业用途或 非法用途,如果因使用者非法使用造成的法律问题与本作者无关! 涉及技术 核心js加密文件进行了全逆向,爬取方案不需要浏览器参与,纯 python+js 即可! 本爬取方案最终通过Python实现了完全自动化爬取职位信息列表页,并存储到...
使用java网络爬虫爬取BOSS直聘岗位信息
shy_taode的博客
05-30 2302
一、目的 得到招聘网站中自己想要的相关数据 对HTML进行清洗,保留想要的数据并导出到Excel 二、java实现过程 导入相关架包 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <version>1.16.18</version> </depen
逆向protobuf
09-11
逆向protobuf是指通过分析已有的序列化代码和.proto文件,来还原出protobuf协议的结构和字段信息的过程。逆向protobuf的目的是为了理解和解析这些结构,以便在逆向工程或其他领域中使用它们。 在逆向protobuf的过程中,可以通过查找url或使用hook的方式来定位.proto文件,然后对其进行分析。通过分析.proto文件,可以还原出protobuf协议中定义的消息结构、字段类型和字段名称等信息。 逆向protobuf的重要性在于可以帮助我们理解和解析使用protobuf协议进行通信的应用程序的数据格式。通过逆向protobuf,我们可以了解到应用程序中使用的消息结构和字段含义,从而可以更好地理解和分析应用程序的工作原理。 逆向protobuf也可以用于反向工程,例如在逆向工程中,我们可以通过逆向protobuf还原出应用程序的数据结构,从而更好地理解应用程序的逻辑和功能。 总而言之,逆向protobuf是一种通过分析序列化代码和.proto文件来还原出protobuf协议的结构和字段信息的过程,它可以帮助我们理解和解析应用程序的数据格式,从而更好地理解和分析应用程序的工作原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值