js逆向-某岸网络登录参数

最新推荐文章于 2024-09-16 08:47:17 发布
最新推荐文章于 2024-09-16 08:47:17 发布
阅读量168 收藏
点赞数
分类专栏: js逆向 文章标签: javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46672080/article/details/126954908
版权

声明

本文仅供学习参考,请勿用于其他途径,违者后果自负!

前言

目标网站:aHR0cHM6Ly9wYXNzcG9ydC5pd2dhbWUuY29tL3Nzby9sb2dpbnBhZ2UuZG8=
接口:aHR0cHM6Ly9wYXNzcG9ydC5pd2dhbWUuY29tL3Nzby9sb2dpbi5kbw==
目标参数:s

参数分析

post请求,form data的数据是一个s。
在这里插入图片描述
今天逆向分析的目标,一起看一下这个s是如何加密生成。

在Init中找到堆栈,打上断点,重新请求。
在这里插入图片描述
可以在这里清楚的看到data: "s=" + c
此时的c已经生成。
在这里插入图片描述

所以接着向上找堆栈,向上一层就可以定位到c的生成。
在这里插入图片描述
接下来把把我们需要的代码扣下来做一些简单修改。
其中k是固定数组,直接拿下。
$wnd是window对象,在这里可以不要。

function getS(user, pwd) {
    const k =  [102, 55, 52, 53, 48, 101, 99, 51, 53, 56, 55, 50, 55, 101, 102, 99, 50, 51, 50, 57, 52, 50, 54, 100, 56, 56, 56, 102, 48, 54, 100, 52];
    var b = `{"identityId":"${user}","credential":"${pwd}","captcha":"","capId":"1c738643f73d4951835a63acb15e79d2","accountType":"PERSONALITY","gotourl":"","ls":"","pid":""}`;
    var d = btoa(b);
    var b = CryptoJS.MD5(d).toString() + b;
    var d = String.fromCharCode.apply(null, k);
    var d = CryptoJS.enc.Hex.parse(d);
    var b = CryptoJS.AES.encrypt(b, d, {
        mode: CryptoJS.mode.ECB
    }).ciphertext.toString();
    return btoa(b);
}

其中参数capId是服务器下发的一个变值,通过寻找发现是一个ajax请求。
在这里插入图片描述
通过搜索url也可以找到对应的数据包,这里不做多解释

然后使用了btoa库和crypto-js,这里就没有扣代码了。

最后验证结果。

在这里插入图片描述
在这里插入图片描述
完全一致,也就是说明我们的代码没有问题。

今天的目标就完成了。

Alt

逆向新手
关注
专栏目录
JS逆向-加密参数定位方法总结
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
05-29 1713
本文是该专栏的第50篇,后面会持续分享python爬虫干货知识,记得关注。笔者将目前常用的几种方法总结为上下两篇,可以说,每种方法都有其独特的运用逻辑,只有灵活运用这些加密参数定位方法,才能有效的提高逆向效率,感兴趣的同学记得关注。具体的使用方法,首先需要先找到请求接口地址,然后再进入lnitiator,点击第一个Request call stack参数,进入到JS文件之后,在跳转行上打上断点,紧接着刷新页面等待调试。举个例子,加密参数的目标关键词为sign,那么可以直接全局搜索sign
JS逆向-某招聘平台token
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
08-17 1861
本文是该专栏的第56篇,后面会持续分享python爬虫干货知识,记得关注。通常情况下,JS调试相对方便,只需要chrome或者一些抓包工具,扩展插件,就可以顺利完成逆向分析。而本文以某招聘平台为例,针对token参数被加密做js逆向处理。废话不多说,跟着笔者直接往下看正文详细内容。(附带完整代码)直接使用浏览器(笔者这里用的Google)按F12启动开发者工具,并刷新页面,知道了token的生成规律,接下来只需要在本地模式生成token的值即可。
JavaScript逆向实战:admin加密成WaQ7xbhc9TefbwK是什么加密算法?逆向思维考验、详细流程图解
提笔忘字的帝国
04-24 5955
js逆向实战学习,获取路由器后台加密方式
JS逆向 | 某车帝登录参数逆向
weixin_53318198的博客
01-30 841
JS逆向 | 某车帝登录参数account、password逆向
html调用js函数_python爬虫之简单入门级js逆向
weixin_39570777的博客
11-27 326
特别说明:本文针对逆向小白,大神请移步。简单解释js逆向:当我们抓取网页端数据时,如果请求参数是固定不变或者是上个请求返回的,那么我们用可以python直接模拟这个请求得到要爬取的数据。但是如果发现有些请求参数每次都会变化,而且在其他请求中也找不到这个参数,那么这个参数是哪里来的?要怎么才能得到这个参数?答案就是这些加密参数是由JavaScript(简称JS)生成的。所以想到得到这个参数...
js逆向 天翼云登录
m0_53227339的博客
09-04 476
郑重声明:本项目的所有代码和相关文章, 仅用于经验技术交流分享,禁止将相关技术应用到不正当途径,因为滥用技术产生的风险与本人无关。
JS逆向——借助playwright实现逆向
年轻就做四件事:挣钱存钱、见世面、交朋友、学本事。
06-02 2352
3.通过查看堆栈信息,我们可以找到参数由无到有的地方,e就是token,也是在这里生成的,其生成过程传入了this.$store.state.url.index跟a ,通过查看得知this.$store.state.url.index就是/api/movie而a就是页码*10。playwright支持js文件替换,/js/chunk-10192a00.243cb8b7.js是源文件路径,chunk.js是我们本地路径。这样加载js文件时会被替换我们本地的js.这样我们可以通过js注入来调用加密方法。
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
当我们在js逆向过程中需要找出某个特定参数是如何被加密或处理的,`ast-hook`可以快速遍历AST,查找与目标参数相关的表达式和语句。例如,我们可以设置一个hook,当检测到某个特定参数值时,它会返回该值生成的上...
js逆向--知乎(”人均月入过万“平台)参数x-zse-96逆向分析
Harden13_的博客
03-20 3632
知乎只需三个参数就能获取到数据(x-zse-96、x-zse-93、cookie),其中x-zse-93为固定值、cookie为身份认证信息,只有x-zse-96为动态变化。
JS逆向-B站评论数据w_rid参数和wts参数
Python进阶专栏《爬虫实战进阶》,《数据分析入门与实战》原创作者
06-02 922
本文是该专栏的第69篇,后面会持续分享python爬虫干货知识。本文以B站的评论数据为例,通过JS逆向获取其中的w_rid参数以及wts参数生成规律。具体的“逆向”思路逻辑,笔者将会详细介绍每个步骤,并且将在正文结合“完整代码”来详细介绍。废话不多说,具体细节部分以及详细思路逻辑,笔者将在正文结合完整代码进行详细说明。(附带完整代码)
爬虫中js逆向常见的数据加密方法
qq_51573030的博客
08-10 1843
js逆向中的数据加密方法,主要有MD5,sha1,AES,RSA等
Js逆向教程-09常见的加密方式
编辑编辑器
11-19 2689
最后的最后由本人水平所限,难免有错误以及不足之处, 屏幕前的靓仔靓女们 如有发现,恳请指出!你轻轻地点了个赞,那将在我的心里世界增添一颗明亮而耀眼的星!
JS逆向案例:破解登录密码
算法channel
06-21 3341
本人不是专业IT人员,但是对python爬虫这块非常感兴趣,在抖音上看了zhen老师的python全栈直播课程,果断选择加入zhen老师的VIP大家庭,给zhen老师投稿发文章还能挣钱,50元。废话不多说,进入主题。最近在学习JS逆向方面的知识,由于之前做过12306的自动抢票软件,因此对12306情有独钟????,接下来就给大家介绍一下12306用户登录密码的参数破解办法。首...
js逆向中常用的加密算法的python实现
Xzike的博客
03-24 2785
js逆向中常用的加密算法的python实现SHA256base64 SHA256 import hashlib str_input = '123456'.encode('utf-8') str_out = hashlib.sha256(str_input).hexdigest() base64 import base64 str_input = '123456'.encode('utf-8') str_out = base64.b64encode(str_input).decode(encoding =
JS逆向——微博登录接口参数分析
m0_46639364的博客
04-12 2762
web端登录页:aHR0cHM6Ly93ZWliby5jb20vbG9naW4ucGhw 首先抓包:随意输入账号密码。打开开发者工具会发现,输入完账号密码之后会分别发一次get请求。 第二次请求的响应结果比较重要,在后面做逆向会用到,首先请求头中携带参数su: MTU3MTIzNDU2Nzg=,是由用户名进行了base64编码而来。该请求响应如下图: exectime: 7 nonce: "OT1XYI" pcid: "gz-578eb0e9e0cecca273279e66ad49add8c260" pu
js实现弹窗登录参数校验
12-13 1025
代码: <%-- Created by IntelliJ IDEA. User: 黄秋平 Date: 2019/11/27 Time: 16:18 To change this template use File | Settings | File Templates. --%> <%@ page contentType="text/html;char...
js中【Worker】相关知识点详细解读
2301_79858914的博客
09-11 885
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
使用 uni-app 开发微信小程序的详细指南
最新发布
2301_79685859的博客
09-16 493
uni-app是一个使用 Vue.js 框架开发跨平台应用的前端框架。开发者通过编写一套代码,可以生成多端应用,包括 H5、iOS、Android、微信小程序、支付宝小程序、字节跳动小程序等。
精通网络爬虫:实战JavaScript逆向到深度学习验证码破解
"52讲轻松搞定网络爬虫" 是一个全面介绍网络爬虫技术的课程,旨在帮助学习者从基础知识出发,逐步掌握包括JavaScript逆向、App逆向解密、深度学习识别验证码、网页智能解析、异步爬取以及反爬取在内的最新爬虫技术。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值