土巴兔登陆pwd分析

最新推荐文章于 2024-08-28 14:58:40 发布
最新推荐文章于 2024-08-28 14:58:40 发布
阅读量220 收藏 1
点赞数 1
分类专栏: js逆向 文章标签: javascript 开发语言 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46672080/article/details/127624001
版权

声明

本文仅供学习参考,请勿用于其他途径,违者后果自负!

前言

目标网站:aHR0cHM6Ly93d3cudG84dG8uY29tL25ld19sb2dpbi5waHA=

接口:aHR0cHM6Ly93d3cudG84dG8uY29tL25ld19sb2dpbi5waHA=

参数分析

抓包看到有两处加密,分别是val和pwd。
在这里插入图片描述
由于该请求不是xhr,所以没有办法在这里下xhr断点。只能通过搜索关键字去找加密的文件,搜索password会发现有很多js文件。通过观察js文件的名字,发现了端倪。
loginAndReg.js命名的文件很可疑,跳入该文件继续搜索关键字。

一共7处,分别打上断点,重新请求。
在这里插入图片描述

断点断在133行,此时的usernum还是明文,F8跳到下一个断点,发现此时已经将密码的val设置为密文,val函数中的值是一个函数。看名字就知道是一个rsa加密,直接将明文传入生成密文。然后将密码设置为密文。

136行发现username也是同样操作,都是将加密后的结果设置为密文。

既然加密函数找到了,直接跳进观看加密逻辑。

在这里插入图片描述
将加密后的结果进行编码。

先把内层的函数拿下来,encodeURIComponent是js的自带函数直接使用就可以了。
在这里插入图片描述

继续跳入就可以看到rsa的全部逻辑都在这里了,直接cv到本地。
在这里插入图片描述
navigator未定义,直接在开头定义一个。

 navigator = {};

重新加载代码发现window未定义。
在这里插入图片描述

同理,在开头定义一下。

window = this;

重新加载发现没有问题了。

然后把加密函数写一下

function rsaString(str) {
    return encodeURIComponent(RSAUtilszb.encryptfun(str));
}

重新加载,运行。
在这里插入图片描述

最后得到结果。

这里只是将pwd进行了加密,username的加密也是一样的,将参数改变一下即可。

逆向新手
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwd命令是什么的缩写_pwdpwd命令的简单用法
weixin_35890173的博客
12-28 1万+
pwd在不同行业有不同的意思:在web开发中,程序员常用pwd表示密码(password)的缩写。在Linux系统中,pwd命令用作显示工作目录的复路径名称,全称是“PrintWorkingDirectory”。在科研领域,pwd可看作是“PeopleWithDisabiliy”的缩写,意思是残疾人制。pwd还可以表示压力随钻监测系统或者物理媒介相关层。关于pwd在Linux系统中作为命令使用,有...
语言-易语言音悦台登陆P1_P2及pwd获取
06-29
在“易语言-易语言音悦台登陆P1_P2及pwd获取”这个主题中,我们主要关注的是如何使用易语言来解析网络登录过程中的关键数据,包括P1、P2以及pwd的获取。这些通常是加密或哈希过的参数,用于验证用户的身份和密码。 ...
Python3登陆土巴兔装修网,解决RSA加密!
爬遍所有网站
11-04 299
前言 在这里我就不再一一介绍每个步骤的具体操作了,因为在爬取老版今日头条数据的时候都已经讲的非常清楚了,所以在这里我只会在重点上讲述这个是这么实现的,如果想要看具体步骤请先去看我今日头条的文章内容,里面有非常详细的介绍以及是怎么找到加密js代码和api接口。 分析土巴兔装修网 先进行一次登陆,然后在开发者工具里面查找一下有参数的链接,搜索关键词username或者password看看有没有。 我们搜索发现,val和password参数被加密了,val猜测应该就是账号了,要不然的话账号就没有被传
Java中的RSA加解密工具类:RSAUtils
weixin_34228662的博客
03-23 685
本人手写已测试,大家可以参考使用 package com.mirana.frame.utils.encrypt; import com.mirana.frame.utils.log.LogUtils; import org.apache.commons.codec.binary.Base64; import javax.crypto.BadPaddingException...
JS逆向之基础定位技巧
onejane
12-04 3974
篇幅有限 完整内容及源码关注公众号:ReverseCode,发送 冲 当我们拿到一个网站时,首先就是抓包定位加密参数的实现,本文将通过常用的定位方案结合实际案例完成对加密参数的分析。 搜索关键参数 这是最常见也是最简单的定位方案,F12打开网站控制台后,Ctrl+Shift+F打开搜索面板,比如搜索password参数或者submit函数 password:`,`password=`,`password =`请求url,搜索方法`var submit`或者`function submit`或者`subm
RSA加密、解密、签名、验签的原理及方法
wangshowtime的博客
02-19 1355
RSA加密、解密、签名、验签的原理及方法 一、RSA加密简介 RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。 二、RSA加密、...
pwd命令 显示当前路径
01-09
pwd命令是“print working directory”中每个单词的首字母缩写,其功能正如所示单词一样,为打印工作目录,即显示当前工作目录的绝对路径。 在实际工作中,我们经常会在不同目录之间进行切换,为了防止“迷路”,...
linux操作系统pwd的基本语法
08-14
"Linux操作系统pwd命令的基本语法详解" Linux操作系统中的pwd命令是非常有用的,它告诉你当前所在的目录,从根目录(/)如何到达。特别是对于或许会在目录的切换间容易糊涂的Linux新手而言,pwd命令可以拯救他们。 ...
linux中pwd命令使用详解
01-11
Linux中用 pwd 命令来查看”当前工作目录“的完整路径。 简单得说,每当你在终端进行操作时,你都会有一个当前工作目录。 在不太确定当前位置时,就会使用pwd来判定当前目录在文件系统内的确切位置。 1.命令格式:...
简单的js逆向教程
热门推荐
学习python
02-26 1万+
其实做web端的爬虫,最常见到的就是js逆向方面的问题,既是重点也是难点,所以加强这方面的学习才是提升我们业务技能的重要突破点。接下来讲一下两个小实例,看一下基础的js逆向的破解(浅层篇)。 第一种加密情况: ①分析请求: 先打开目标网站---》打开控制台---》切换至XHR 然后刷新一下就会看到下面的情况 这里要解决的有两个: 返回的密文 请求中的token 接下来定位加密位...
vue ref和reactive区别
灰海
08-25 1531
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
python12 中,No module named‘distutils‘错误
qq_43557600的博客
08-27 3963
python12 “ No module named'distutils' ”,​ 安装 pip install setuptools ,解决 ​
jQuery基础——DOM
m0_54066656的博客
08-27 1140
JQ基础——DOM操作
2024前端面试题-js篇
FormAda的博客
08-22 1179
是数组的一种迭代方法,主要用于对数组中的每一项执行给定的函数。它只是简单地对数组进行遍历,没有提供跳出循环的机制。基础数据类型:string,number,boolean,null,undefined,bigInt,symbol。在规定的时间内没有触发事件,就执行函数,如果在规定的时间触发了时间久重新开始计时。当异常被抛出时,正常的流程被打断,可以通过。函数执行一次后,在规定的时间内不再执行。块捕获异常,从而实现停止迭代的效果。执行顺序:同步代码->微任务->宏任务。引用数据类型:Object。
Ant-Design-Vue快速上手指南+排坑,操作详细步骤
liyy614的博客
08-23 1104
总的来说,掌握Ant-Design-Vue的基本使用并不复杂,但是要想充分利用其提供的功能,就需要深入了解每个组件的详细用法,以及如何合理地整合到你的项目之中。Ant-Design-Vue是一款基于Vue.js的UI组件库,它不仅提供了丰富的高质量组件,还支持灵活的配置选项,使得开发者能够快速构建出既美观又功能强大的前端应用。例如,当你首次注册Ant Design Vue时,需要确保Vue实例已经正确创建并且版本兼容。再如,在按需引入组件的时候,配置正确的webpack策略可以避免不必要的资源请求。
vue全局参数
qq_34631220的博客
08-24 509
其它页面如果想监听改变。
浏览器精度问题
m0_46281382的博客
08-25 598
浏览器如何解析后端返回的long类型的数据
JavaScript 错误 - Throw 和 Try to Catch的使用
逆风优雅的博客
08-23 812
trycatchthrow上面的代码 因为 try中 没有adddlert这个方法,或者这个方法有误,这时,代码会执行catch部分。JavaScript 实际上会创建带有两个属性的Error 对象name和message。
echarts组件——饼图
最新发布
weixin_42255789的博客
08-28 147
饼图
ubuntu pwd
06-04
在Ubuntu中,pwd命令是用来显示当前工作目录的命令。 当你在Ubuntu系统中工作时,会有一个默认的工作目录,也称为当前工作目录。 当你打开终端窗口时,默认的工作目录是用户的home目录。 如果你想知道当前工作目录的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值