js逆向-某多多anti_content参数分析

最新推荐文章于 2024-05-09 05:45:34 发布
最新推荐文章于 2024-05-09 05:45:34 发布
阅读量964 收藏 2
点赞数 1
分类专栏: js逆向 文章标签: javascript 开发语言 爬虫 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46672080/article/details/128410482
版权

声明

本文仅供学习参考,请勿用于其他途径,违者后果自负!

这里写目录标题

前言

参考:https://blog.csdn.net/m0_51159233/article/details/123910391
https://www.bilibili.com/video/BV1eK411R7m4/?spm_id_from=333.788.top_right_bar_window_history.content.click&vd_source=10c884d9220b52b21952d6916facf586
目标网站:aHR0cHM6Ly9tb2JpbGUueWFuZ2tlZHVvLmNvbS8=
目标参数: anti_content

参数分析

打开F12开始抓包,我们将首页中的推荐商品一直向下翻,直到找到如下接口,里面就有我们需要逆向的参数anti_content
在这里插入图片描述

在这里插入图片描述
确定过目标后,直接搜索。
在这里插入图片描述

逆向分析

结果不多直接点进去,搜索得出五个结果。因为不确定哪个是需要的,都打上断点,然后继续往下翻页面。
在这里插入图片描述
在这里断下来了,为了不必要的干扰可以把其他的断点都清除掉。
在这里插入图片描述
r = e.sent。而e.sent就是anti_content,通过分析这一行代码可以看到将e.sent赋值给r,然后又将r赋值给anti_content,这样就得出了结果。

在寻找e.sent的生成的时候发现了at.a.getAntiContent这个函数,通过函数名就知道这个函数生成了我们需要的参数,在这里打下断点,重新断下。

F11单步跟栈。
在这里插入图片描述
这里用了较多的promise,所以跟栈的时候需要耐心一些。

在这里插入图片描述
在跟到这一步的时候发现给了很多明文的提示,在关键的地方打下断点继续跟进。

在漫长的跟栈过程中,直到这个地方才得到我们所需要的结果。
在这里插入图片描述
需要的部分简化出来如下:

e[n(558, "[k*i")](Le)

在这里插入图片描述
通过console输出发现返回的是参数函数,也就是Le()函数。
往上翻了翻发现是一个webpak打包的js文件,
在这里插入图片描述

扣代码

对于webpack就是那几大件:分发器、所需模块、导出函数。
把这几个东西给搞好,基本就成了。

将整个文件全部拷贝到本地,找到所需的代码,适当的修改。

整理完后结果:

在这里插入图片描述

想要使用也很简单,设置一个全局变量作为导出函数。

window.xxx = Le

前文得知Le最终返回的结果就是anti_content,所以这样设置一个全局变量然后调用就可以了。

运行之后发现抱错。
在这里插入图片描述

通过搜索得知这是一个浏览器的属性
在这里插入图片描述这里贴上查询链接:https://developer.mozilla.org/zh-CN/docs/Web/API/

遇到本地执行有问题时,将代码放到浏览器中运行一下。这样做的好处时浏览器拥有所需的全部环境,遇到环境问题直接降维打击。

在这里插入图片描述
可以看到浏览器没有任何问题,我们运行代码希望是本地能够直接运行而不是一直挂一个浏览器。所以剩下的内容是直接补环境。

有两种方式可以完成:
         1、使用jsDom;
         2、手动补环境;

使用jsDom之前要先安装。

npm install jsdom

然后在文件开头放上如下代码:

const jsdom = require('jsdom')
const {JSDOM} = jsdom
const dom = new JSDOM('<!DOCTYPE html><p>hello world</p>>');
window = dom.window
document = window.document
XMLHttpRequest = window.XMLHttpRequest

这样就完成了,非常简单快捷。第二种就是手动补,缺什么补什么,更加考验耐心。

总结

1、大量使用promise,增加了调试难度;
2、使用了webpack将代码拆分;
3、检测了浏览器指纹(属性)

逆向新手
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS逆向加密——某多多anti_content参数加密
含笑
03-29 2531
某多参数加密 Cookie里面 :pdd_vds JSESSIONID Params里面:pageflip anti_content 多次测试发现,Cookie可以不携带,但是会频繁出现错误请求失败,所以还是主要分析Params的参数,page相信大家都懂的 ...
anti_content不难,我手把手教大家研究透拼夕夕的anti_content,请看我的逆向解析过程。拼刀刀店铺后台用到anti_content,pdd的wap网站也用到anti_content
逆向先驱者
06-04 3207
作为逆向工作的你和我,对技术有向往和追求的,我们通过要实现反反爬工程来挑战自我,为的是超越自我。各大搜索引擎用到了爬虫技术实现网络数据的抓取,通过抓取的数据进行分析来方面我们检索想要的数据。分析问题,一定要找一个切入点,我们一般用谷歌浏览器打开网址,打开开发者工具,找到一个跟输入内容有相应回应的请求地址,例如search_suggest?本文展示的内容目的是为了学术研究,按理脱敏工作做得非常到位,希望大家学会本领不要攻击任何人的服务器,一定要遵守互联网各项正确的规则,一定要遵守法律法规。
最新PDD商家端Anti-Content参数逆向分析与纯算法还原_pdd anti_content(3)
最新发布
2401_84297455的博客
05-09 1065
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
JS逆向 - pdd的anti_content参数分析
m0_51159233的博客
04-02 8887
文章旨在学习和记录,若有侵权,请联系删除 文章目录前言一、抓包二、逆向1. 定位js2. 跟堆栈3. 扣代码4. 补环境总结 前言 目标网址:aHR0cHM6Ly9tb2JpbGUueWFuZ2tlZHVvLmNvbS8= 目标参数anti_content 目标特点:promise异步回调、js混淆、webpack、环境检测 一、抓包 下拉商品列表页,抓包找接口,确定目标参数。 二、逆向 1. 定位js 通过initiator定位js文件,下断点。 2. 跟堆栈 往下跟,目标还是通过参数传进来的.
pdd (拼多多) 爬虫 js 解密 anti_content 参数解密及全站抓取代码思路实现.zip
03-01
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的工作流程包括以下几个关键步骤: URL收集: 爬虫从一个或多个初始URL开始,递归或迭代地发现新的URL,构建一个URL队列。这些URL可以通过链接分析、站点地图、搜索引擎等方式获取。 请求网页: 爬虫使用HTTP或其他协议向目标URL发起请求,获取网页的HTML内容。这通常通过HTTP请求库实现,如Python中的Requests库。 解析内容: 爬虫对获取的HTML进行解析,提取有用的信息。常用的解析工具有正则表达式、XPath、Beautiful Soup等。这些工具帮助爬虫定位和提取目标数据,如文本、图片、链接等。 数据存储: 爬虫将提取的数据存储到数据库、文件或其他存储介质中,以备后续分析或展示。常用的存储形式包括关系型数据库、NoSQL数据库、JSON文件等。 遵守规则: 为避免对网站造成过大负担或触发反爬虫机制,爬虫需要遵守网站的robots.txt协议,限制访问频率和深度,并模拟人类访问行为,如设置User-Agent。 反爬虫应对: 由于爬虫的存在,一些网站采取了反爬虫措施,如验证码、IP封锁等。爬虫工程师需要设计相应的策略来应对这些挑战。 爬虫在各个领域都有广泛的应用,包括搜索引擎索引、数据挖掘、价格监测、新闻聚合等。然而,使用爬虫需要遵守法律和伦理规范,尊重网站的使用政策,并确保对被访问网站的服务器负责。
最新PDD商家端Anti-Content参数逆向分析与纯算法还原_pdd anti_content(1)
2401_84281655的博客
04-29 1006
H5目前这个参数好像是已经不再做校验了?所以再去分析的话意义并不大了。而且它那个界面真的是巨难用!为此,我单独去注册了一个商家版的!只为还原最真实的场景。目前最新的是0aq开头的,相比较于早期的老版本不再需要参数去参与加密,纯算法扣出来还原之后可在本地Node环境下直接调用生成,并且算法通用于所有接口…
Vue进阶(三十三)Content-Security-Policy(CSP)详解
IT全栈 华强工作室
09-05 6156
跨域脚本攻击(XSS)是最常见、危害最大的网页安全漏洞。XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行,因为浏览器信任其内容来源,即使有的时候这些脚本并非来自于它本该来的地方。为了防止它,要采取很多编程措施(比如大多数人都知道的转义、过滤HTML)。很多人提出,能不能根本上解决问题,即浏览器自动禁止外部注入恶意脚本?这就是"内容安全策略"(,缩写CSP)的由来。CSP。
某电商的anti_content分析
weixin_41586984的博客
01-24 1497
多多anti_content
多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 拼多多api解密 拼多多anti_content参数逆向分析多多JS anti_content参数加密解析 node 解密下载即有用
代码 - anti_content带环境运行代码
04-02
这个压缩包文件包含的两个JavaScript文件,"anti_content全环境.js" 和 "anti_content补环境.js",显然是为了在不同的环境条件下运行,并提供了一种学习和练习环境配置的方法。 首先,"anti_content全环境.js" ...
pdd商家后台API anti-content 加密参数
12-27
可用于pdd 商家后台 调取API接口的加密参数 补过环境 直接调用 get_anti_content()
PDD 商家后台 anti-content 加密参数
02-21
补过环境可 可用nodejs直接调用 get_anti_content() 最新版anti_content亲测可以用 浏览器环境调用 可自行去掉环境直接使用 php 也可以直接调用
Review_Reverse:2019年末总结下今年做过的逆向,整理代码,复习思路。 拼夕夕Web端anti_content参数逆向分析 WEB淘宝sign逆向分析; 努比亚Cookie生成逆向分析; 百度指数data加密逆向分析 今日头条WEB端_signature、as、cp参数逆向分析 知乎登录formdata加密逆向分析 KNN猫眼字体反爬 Boss直聘Cookie加密字段__zp_stoken__逆向分析
05-12
Welcome to Review_Reverse :waving_hand:2019年末逆向复习系列轻JS逆向分析“攒经验”项目系列公众号目前已迁移,所有的文章可以去我的CSDN和掘金查看。关于逆向析相关实实战案例的案例,目前已推出如下系列2019年...
生意参谋数据data,拼多多加密系列参数(anti-content,crawlerInfo),唯品会加密参数compassS破解
qq_31795679的博客
10-23 6245
1.生意参谋数据data解密 在我们请求访问生意参谋的时候,我们可以看见有一些数据返回的结果已经是加密之后的数据了,变成了一些我们不认识的文本数据,类似于下图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20191023145541989.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,s...
某航空网站promise异步定位js逆向解析
码王吴彦祖的博客
02-02 1157
针对这种请求,一般加密都是在请求拦截器中,通常定位到加密的有两种方式,找到响应拦截器,因为响应拦截器一般和请求拦截器在一块地方,第二种就是找到请求拦截器,这里就简单讲第一种方式。跳转到A函数之后, 发现就是用一些随机字符串和时间戳,以及一些固定加密参数去使用标准加密算法进行加密,因为加密代码没有任何混淆,所以,破解也很容易。加密其实也很简单,加密完成后,直接组装成python请求代码,成功拿到响应结果。并且上方这块就是请求拦截器了,也能找到加密的位置,加密的参数来自于A函数。
JS逆向】【16.Promise对象】回调函数,then函数,链式应用,Promise与Ajax请求(详细笔记)
weixin_43612602的博客
01-05 1453
Promise对象 1. 为什么使用 promise 2. promise 的好处 3. promise 的三种状态 4. 回调函数 5. 基本语法 resolve函数的作用 reject函数的作用 Promise.then Promise.catch Promise.all Promise.any Promise.race Promise.allSettled Promise.finally 案例1 6. promise执行流程 7. 链式应用 案例 8. Promise与Ajax请求 原生 Ajax j
前端 ES6 之 Promise 实践应用与控制反转
老司机的后备箱
02-10 804
首先 Promise 也是一个类或构造函数,是 JS 原生提供的,和我们自定义的类一样,通过对它进行实例化后,来完成预期的异步任务处理。Promise 接受异步任务并立即执行,然后在任务完成后,将状态标注成最终结果(成功或失败)。Promise 有三种状态:初始化时,刚开始执行主体任务,这时它的初始状态时pending(进行中);等到任务执行完成,这时根据成功或失败,分别对应状态 **fulfilled(成功)**和rejected(失败),这时的状态就固定不能被改变了,即。
JavaScript基础——Promise函数
goldgirly的博客
11-20 1351
异步操作 JavaScript的异步处理可以用回调函数,回调函数的使用就是确保一段代码执行完毕之后再执行另一段代码的方式 function doHomework(subject, callback){ console.log("start my " + subject + " homework."); callback(); } function finish(){ console.log(...
js中Promise的原理及实现
CC_Together的博客
04-11 3913
手写Promise
多多 Anti-Content:
08-21
多多的Anti-Content是一个参数,用于对拼多多的内容进行加密和解密。关于拼多多的Anti-Content参数的具体解释和使用方法,有一些可用的API和代码片段。根据引用,可以通过对拼多多的API进行逆向分析来解析Anti-Content参数的加密方式。根据引用,可以通过查找拼多多的SearchViewUI.js文件中的anti_content关键字,定位到相应的代码位置进行调试。而根据引用,可以通过使用window.rose()方法来获取anti_content的值,并在代码中进行相应的操作。综上所述,拼多多的Anti-Content参数用于加密和解密拼多多的内容,在具体实现中需要参考相关的API和代码片段。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [拼多多anti_content参数加密逆向JS 最新可用](https://download.csdn.net/download/qq_40609990/85346660)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【JavaScript 逆向】拼多多 anti_content 参数逆向解析](https://blog.csdn.net/Yy_Rose/article/details/127508765)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值