五矿集团params逆向分析

已于 2022-11-15 14:26:25 修改
阅读量845 收藏 2
点赞数 1
分类专栏: 爬虫逆向分析 文章标签: 爬虫 javascript webpack
于 2022-11-08 14:20:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45541986/article/details/127746215
版权

内容仅供参考学习

 

目标

网址:https://ec.minmetals.com.cn/open/home/purchase-info/

 

分析

  • 打开调试工具,点击页面发送请求,在调试工具可以看到发送2个xhr
     
     
    在这里插入图片描述
     
     
    观察一下可以看到第一个请求无加密字段,且返回了一串字符串;而第二个请求携带了一个字符串,返回是明文数据。
    我们直接看第二个, 进入Initiator,寻找加密位置,从下图地方,很容易看出这是个webpack文件:
     
    在这里插入图片描述
     
     
    继续往下看,直接在这打上断点
     
    在这里插入图片描述

 
 
此时的url是public,我们按F8,进入下一轮断点
 
在这里插入图片描述
 
此时我们可以发现data值已经出现,继续找生成位置,最终在这找到加密位置:
 
 
在这里插入图片描述
 
在这里可以看到r就是public接口返回的数据,在这里看,可以知道是加密公钥。
 
其中加密字段在被赋值b前添加了sign和timeStamp2个键值对,很明显timestamp是个时间戳,无需探究。
sign是由u()方法对e进行了处理,进入方法内部,可以看到应该是个MD5加密,魔改没魔改暂时看不出来,可以尝试研究一下,对相同的字符串加密,然后用在线工具加密一下,看看是否相同。
接下来就是抠代码了。

 

剥离 JS 加密代码

 
我尝试了2种方法:正常的webpack操作处理和直接纯抠

  • webpack处理非常难受,而且要抠好多行代码,我(算是)花了一天时间整的但是没整完就放弃了,环境补的也很费劲。不是很推荐。
     
  • 直接纯抠的话呢就要容易的多,也不需要补环境:
    在这里插入图片描述
    就抠了2000多行数据。webpack那种抠键值对,要抠1000多个,人都废了,js代码20w行。。。。电脑带不动

js代码:https://download.csdn.net/download/weixin_45541986/87019081

一位路过的程序员
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中国五矿集团params逆向js文件
11-15
手抠JavaScript代码,params生成
中国五矿 爬虫逆向 解密 Py代码获取数据 2023版
搞定 Python
08-19 1746
可以看到a参数如下,其中sign 是密文 f()(JSON.stringify(e))这里可以看到是使用了webpack的打包模式 我们在v = t("9816") 打上断点。至此我们的sign参数就是一个MD5加密的 JSON.stringify(e)如果直接进入函数看调试比较麻烦,所以我们可以网上看到t=new v["a"]接下来我们复制encryptLong函数 以及t = new v["a"]那v是什么呢,我们在网上看可以看到v = t("9816")可以看到这里的r就是后端传送过来的密钥。
JS逆向案例】某五矿网站请求参数逆向分析
m0_70423491的博客
09-16 1497
五矿网站参数param逆向
中国五矿集团有限公司采购电子商务平台
weixin_42587620的博客
01-10 1865
进入这个请求的这个文件里面,然后搜索。这里这个加密点需要注意,里面东西很多。
JS逆向hook通用脚本合集
z_ipython的博客
03-06 2749
JavaScript eval() 函数的作用是计算 JavaScript 字符串,并把它作为脚本代码来执行。如果参数是一个表达式,eval() 函数将执行表达式。如果参数是 Javascript 语句,eval() 将执行 Javascript 语句,经常被用来动态执行 JS。Cookie Hook 用于定位 Cookie 中关键参数生成位置,以下代码演示了当 Cookie 中匹配到了 v 关键字, 则插入断点。
五矿集团param加密定位分析
一只小爬虫的博客
04-21 490
写一篇实战的逆向文章 只提供逆向思路不提供源码只可用于学习研究 禁止商用。
js逆向——webpack扣法
sin_0119的博客
03-19 4374
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
Python爬虫与一汽项目【三】爬取中国五矿集团采购平台
weixin_33935777的博客
04-09 518
网站地址:http://ec.mcc.com.cn/b2b/web/two/indexinfoAction.do?actionType=showMoreCgxx&xxposition=cgxx 本来以为这是个老老实实的get请求,谁知道在翻页的时候发现提交请求的方式是post, 好在首页用get方式可以轻松获取到html源码,没有像之前的东方电气那么烦人。 在这里采用了简单的post...
中国五矿集团战略发展规划
12-11
中国五矿集团战略发展规划》是一份详尽的指导性文件,旨在描绘中国五矿集团未来的发展蓝图,为企业的长远发展提供明确的方向和策略。这份文档深入探讨了如何有效地利用人力资源、物力资源、财力资源以及各类外部...
五矿金融保险板块发展研究分析.doc
12-25
五矿金融保险板块发展研究分析.doc
平煤五矿热害分析及对策
06-21
结合平煤五矿热害情况,以己15-23220工作面为例,通过热源分析,建立井下热源主次图,确定围岩散热、空气自压缩和机电设备散热为主要热源,三项之和在总放热量中所占比例高达99.01%。提出了平煤五矿宜采用地面制冰井下...
网页爬虫WebPack模块化解密(JS逆向
z_ipython的博客
04-26 4747
然后重写 window[“webpackJsonp”] 数组的 push( ) 方法为 webpackJsonpCallback( ),也就是说 window[“webpackJsonp”].push( ) 其实执行的是 webpackJsonpCallback( ),window[“webpackJsonp”].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要。所有的资源都是通过JavaScript渲染出来的。
JS逆向案例分享----prototype的妙用
weixin_45387160的博客
02-12 888
prototype的妙用
python爬虫入门(二)之Requests库
2302_79795489的博客
07-05 197
1、requests库让我们可以通过python代码去构建和发送HTTP请求2、第三方库,要先安装python终端,输入pip install requestssuccessfully installed:安装成功requirement already satisfied: 说明已经安装过,无需再安装若没有pip(python包管理工具)则可以先去http://pip.pypa.io/en/stable/installation/学习下载安装3、
Java基础:爬虫
weixin_65752158的博客
07-04 916
Pattern:表示正则表达式Matcher:文本匹配器,作用按照正则表达式的规则去读取字符串,从头开始读取。在大串中去找符合匹配规则的子串。通过Pattern p = Pattern.compile("正则表达式");获得 通过Matcher m = p.matcher(str);获得 (m要在str中找符合p规则的小串)其中, m为Matcher对象, p为正则表达式规则, str为要验证的字符串. boolean b = m.find(); 表示拿着文本匹配器从头开始读取,寻找是否有
Python网络爬虫:Scrapy框架的全面解析
jkoij23的博客
07-07 1638
Scrapy是一个功能强大且灵活的开源网络爬虫框架,它提供了一种高效的方式来爬取网站并提取所需的数据。本文将深入探讨Scrapy框架的核心概念、使用方法以及高级技巧,帮助你更好地理解和应用Scrapy进行网络爬虫的开发。
基于Python实现爬虫+协同过滤算法的招聘信息推荐系统
软件开发实战项目分享
07-03 1361
本系统采用了Python语言的Django框架,数据采用MySQL数据库进行存储。结合B/S结构进行开发设计,功能强大,界面化操作便于上手。本系统具有良好的易用性和安全性,系统功能齐全,可以满足招聘信息管理的相关工作。 本系统综合网络空间开发设计要求。目的是将传统管理方式转换为在网上管理,完成招聘信息管理的方便快捷、安全性高、交易规范做了保障,目标明确。招聘信息推荐系统可以将功能划分为管理员功能和用户功能。
[SWPUCTF 2021 新生赛]ez_unserialize
最新发布
liaochonxiang的博客
07-08 127
将结果直接通过get请求提交即可得到flag。得到一个robots.txt目录。根据代码构造php序列化对象。
XX集团战略发展规划(三).ppt
12-25
XX集团战略发展规划(三).ppt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值