五矿集团param加密定位分析

最新推荐文章于 2025-03-25 14:09:18 发布
最新推荐文章于 2025-03-25 14:09:18 发布
阅读量660 收藏
点赞数 1
分类专栏: 爬虫 逆向 文章标签: 爬虫 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44781464/article/details/130290866
版权
文章探讨了如何通过分析网络请求和使用xhr断点来逆向工程一个网站的加密过程。重点在于识别加密函数入口,特别是d函数,它涉及到了param参数的生成。在index.js文件中找到了加密逻辑,其中t.setPublicKey是一个关键步骤。虽然没有提供完整代码,但指出只需补充相关对象的方法和属性即可完成加密过程。
摘要由CSDN通过智能技术生成

写一篇实战的逆向文章 只提供逆向思路不提供源码

只可用于学习研究 禁止商用

目标网站

https://ec.minmetals.com.cn/open/home/purchase-info/

请求分析

点击翻页按钮 观察请求 发现请求都是成对出现的

首先访问了 open/homepage/public接口 返回了一个字符串
第二次访问了 /open/homepage/zbs/by-lx-page 接口 得到了明文

请求成对出现
请求成对出现 /public接口和by-lx-page接口

第一次请求

第一次请求(public接口 )返回了一个字符串

请添加图片描述
第二次返回了明文

by-lx-page接口分析

观察数据包 发现在请求体中有一个param参数

请添加图片描述
解决了这个param这个网站就搞定了

逆向参数

首先打上xhr断点 跟堆栈 最后确定 d函数就是加密函数的入口
请添加图片描述
请添加图片描述

n 为明文 但是执行e.call(t, n)之后 就是我们需要的param参数
请添加图片描述

然后单步执行进入到函数内部查看加密逻辑

请添加图片描述
这个就是加密函数 其中 A.prev = A.next 恒等于4 所有直接走case4

return n = A.sent,
r = n.data,
t.setPublicKey(r),
a = b(b({}, e), {}, {
    sign: f()(JSON.stringify(e)),
    timeStamp: +new Date
}),
s = t.encryptLong(JSON.stringify(a)),
A.abrupt("return", s);

所以 这一段就是加密函数 在index.js当中
请添加图片描述

如果没有定位到 直接在index.js 搜索 t.setPublicKey

JS代码

代码这里就不粘了 因为太长了一直粘贴不成功

只需要将函数补完就行了 对象不需要补 只需要补全用到的对象的属性或者方法

webpack实战:某网站RSA登录加密逆向分析
吴秋霖的博客
09-12 8602
某网站登录RSA加密,深度分析webpack代码并构建完整的加密webpack代码!
【微服务】微服务中常用认证加密方案总结
congge
03-03 4574
常用的登录认证加密算法总结
五矿集团params逆向分析
weixin_45541986的博客
11-08 1047
五矿params逆向分析
中国五矿集团有限公司采购电子商务平台
weixin_42587620的博客
01-10 2455
进入这个请求的这个文件里面,然后搜索。这里这个加密点需要注意,里面东西很多。
JS逆向hook通用脚本合集
z_ipython的博客
03-06 3610
JavaScript eval() 函数的作用是计算 JavaScript 字符串,并把它作为脚本代码来执行。如果参数是一个表达式,eval() 函数将执行表达式。如果参数是 Javascript 语句,eval() 将执行 Javascript 语句,经常被用来动态执行 JS。Cookie Hook 用于定位 Cookie 中关键参数生成位置,以下代码演示了当 Cookie 中匹配到了 v 关键字, 则插入断点。
JS逆向案例】某五矿2024年网站请求参数逆向分析
2201_75645523的博客
07-10 1732
JS逆向案例】某五矿网站请求参数逆向分析js逆向分析,2024年最新某五矿网站逆向参数解密请求数据分析
中国五矿 爬虫逆向 解密 Py代码获取数据 2023版
搞定 Python
08-19 2292
可以看到a参数如下,其中sign 是密文 f()(JSON.stringify(e))这里可以看到是使用了webpack的打包模式 我们在v = t("9816") 打上断点。至此我们的sign参数就是一个MD5加密JSON.stringify(e)如果直接进入函数看调试比较麻烦,所以我们可以网上看到t=new v["a"]接下来我们复制encryptLong函数 以及t = new v["a"]那v是什么呢,我们在网上看可以看到v = t("9816")可以看到这里的r就是后端传送过来的密钥。
JS逆向案例:五矿招标数据采集
switch616的博客
07-12 2107
Webpack是一个流行的JavaScript模块打包工具,它能够将多个模块打包成一个或多个bundle,并且可以进行代码混淆和压缩,以提高加载速度和保护代码逻辑。对于爬虫技术人员来说,Webpack加密意味着需要更多的逆向工程技巧来理解和破解其生成的代码。
SpringBoot中_JAVA利用国密算法_实现内容的加密_解密--SpringCloud工作笔记180
添柴程序猿的专栏
06-26 2698
首先来看一下什么是国密算法:国密即国家密码局认定的国产密码算法,即商用密码。国密主要有SM1,SM2,SM3,SM4。密钥度和分组度均为128位。1、SM1 为对称加密。其加密强度与AES(高级加密标准,Advanced Encryption Standard)相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。2、SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比
Openlayers 教程 12 - 地图中的各种定位定位点、线、面以及图层等
linzi19900517的博客
03-17 6636
地图定位是非常常用的功能,本教程介绍定位到点、范围、图形要素 feature、图层 layer。
JS逆向学习】五矿(rsa加密
学海无涯
01-19 1684
至此,整个加密过程我们已经分析完毕,代码如下,需要注意的是。首先翻页观察网络请求,再次翻页发现仍然是两次网络请求,如下。看到应该是在上面位置初始化的,然后我们控制台打印下。加密的参数我们已经分析完了,接下来我们来分析。,然后把上述函数代码拷贝进来并补全参数,然后执行。加密,第一个接口就只是发起网络请求,返回。代码断住了,然后向上跟栈观察,得来全不费功夫。,像这种请求参数加密的,可以直接。为了验证下我们的猜想,我们新建个。加密本身,用于加密的对象。我们分析下上面的代码逻辑,位的时间戳,至此,用于。
五矿webpack流程分析 二 进行逆向
blackball9的博客
09-21 344
由于我们找到了加密位置可以直接把加密位置那块扣出来。往上看t的生成位置t = new d["a"]加密的地方是t.encryptLong。之后尝试运行对缺失环境进行补充。往下看 webpackmod。设置全局变量G接收o函数。
Python爬虫与一汽项目【三】取中国五矿集团采购平台
weixin_33935777的博客
04-09 595
网站地址:http://ec.mcc.com.cn/b2b/web/two/indexinfoAction.do?actionType=showMoreCgxx&xxposition=cgxx 本来以为这是个老老实实的get请求,谁知道在翻页的时候发现提交请求的方式是post, 好在首页用get方式可以轻松获取到html源码,没有像之前的东方电气那么烦人。 在这里采用了简单的post...
Python实现小红书app版爬虫
weixin_74305707的博客
03-24 390
简介:由于数据需求的日益增大,小红书网页版已经不能满足我们日常工作的需求,为此,小编特地开发了小红书手机版算法,方便大家获取更多的数据,提升工作效率。
python-selenium 爬虫 由易到难
2301_78696436的博客
03-22 1225
(2)将驱动文件exe放在py文件同级目录下 (4)元素定位 1.获取单个元素——元素不存在会报错 2.获取多个元素——返回列表(元素不存在返回空) 2、实战2:访问有道翻译,获取翻译后的内容 3、实战3:取当当网站商品信息 (1)内容获取 2.显式:特定条件下的等待:webDriverWait+until+(判断条件) 4、实战4:鼠标及键盘操作(动作链) 其他:滚动条,窗口截图 canny = cv2.Canny(blurred, 低阈值, 高阈值)
「0基础学爬虫爬虫基础之抓包工具的使用
2501_91087985的博客
03-21 594
上文中讲到了F12开发者工具、Fiddler、Charles这三款工具,正常爬虫工作中一些抓包需求这三款工具都能很好的解决,但随着爬虫的不断发展,反爬虫措施也不断增加。如近年来TLS指纹检测逐渐被应用到反爬虫中,在服务端与客户端建立连接时就可以检测到客户端是否是爬虫程序。
使用 Go Colly 更改用户代理以进行网络抓取
守城小轩的技术窝棚
03-25 789
1.1 Colly 是一款为 Gophers 打造的快速且优雅的取框架。它提供了简洁的接口,方便开发者编写各种类型的爬虫、抓取器或蜘蛛。借助 Colly,开发者能够轻松地从网站中提取结构化数据,这些数据可广泛应用于数据挖掘、数据处理或存档等领域。2.1 User Agent 是请求标头中的特殊字符串,服务器可通过它识别客户端的操作系统和版本、浏览器类型和版本等详细信息。2.2 对于普通浏览器,常见的 User Agent 字符串示例如下:Win64;Win64;x64;
分级反爬虫是什么?JAVA实现反爬虫策略
weixin_73093777的博客
03-25 942
因为你无法限制真实的用户,攻击者完全可以模拟真实用户的访问方式来获取你的网站数据,比如找 10 个用户,每人获取几百题。爬虫是有一定风险的,自己学习倒没问题,但是千万别给人家的网站造成压力了,搞不好就有破坏计算机系统的嫌疑了!对于一个简单的项目,如果主要的目的是反爬虫,而不是应对高并发大流量的请求,所以不需要结合 Sentinel 或 Hotkey 去精确统计流量。当然这招只能防菜鸟,因为请求头是可以很轻松地伪造的,只要通过浏览器自带的网络控制台获取到响应正常的请求头信息,就可以绕过检测了。
数据抓取的缓存策略:减少重复请求与资源消耗
最新发布
ip16yun的博客
03-25 489
本教程介绍了如何通过缓存策略优化数据抓取、使用代理 IP 以及设置 Cookie 与 User-Agent,从而更高效地采集知乎上的内容。希望初学者能够通过本篇文章理解爬虫中常见的优化方法,并能在实践中不断探索和完善自己的爬虫项目。遇到问题时请回顾本文的各个步骤,同时参考延伸练习进行深入学习。
* @param {Object} encryptionData 加密用户信息
11-21
在JavaScript或相关的加密库中,`@param {Object} encryptionData`通常表示这是一个函数或方法的参数描述,这里的`encryptionData`是一个对象,用于传递加密后的用户信息。这个对象可能是包含加密算法结果、密钥或者...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值