声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!
目标网站:
aHR0cDovL3Bhc3Nwb3J0LjU4LmNvbS9sb2dpbg==
输入错误账号密码、抓包得知password、token、fingerprint被加密。
直接搜索token的值,发现其就在之前的请求响应中,参数简单,直接构造即可。
fingerprint同理,也在之前的请求响应cookie中。这里的finger2其实都是浏览器的环境信息,复制使用即可,或者看最后我的分析。
全局搜索username,这里第三个JS文件比较可疑,进入再搜索username
可以看到这里为参数的构成方法,我们在password前面打上断点,重新点击登录,成功断下。可以看到password为n.encrypt()这