JSFuck加密-保姆式教学

最新推荐文章于 2024-07-26 08:00:00 发布
最新推荐文章于 2024-07-26 08:00:00 发布
阅读量5.1k 收藏 16
点赞数 5
分类专栏: web逆向 文章标签: 机器学习 python 数据挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49859373/article/details/122193344
版权

文章目录


前言

目标站点:aHR0cDovL3NwaWRlci53YW5nbHVvemhlLmNvbS9jaGFsbGVuZ2UvNA

背景:本题主要考验的是JSFuck的逆向能力

提示:以下是本篇文章正文内容,下面案例可供参考


一、JSFuck是什么?

jsfuck源于一门编程语言brainfuck,其主要的思想就是只使用8种特定的符号来编写代码。而jsfuck也是沿用了这个思想,它仅仅使用6种符号来编写代码。它们分别是(、)、+、[、]、!。

简单的举两个例子

!![]      // true    变形为 (true+[])[+[]]
!![]+[]   // "true"  变形为 ("true")[+[]]
+[]       // 0       最终变形为 ("true")[0]


二、使用步骤


1.页面分析

多次翻页后,推断出请求数据加密参数为_signature


2.定位加密位置

通过最简单的搜索方式,我们大致推测,箭头指向的位置就是加密的位置。

3.堆栈跟踪

1.进入断点window.get_sign(),直接映入眼帘的就是JSfuck的源码。

 2.将代码复制到我们js调试工具当中,根据()分别拆分成4部分,我们一一去浏览器进行解密

 

3.解密完成后,可以看到就是AES加密 ,唯独需要注意的就是图中click的位置,他会有一个window.document.onclick 的点击事件检测,我们直接在浏览器中输入查看,他自身到底是什么,我输入后返回的是null,他这值会对应下面的iv和key的生成判断。

 4.在执行的话,他会报错先是没有定义Cryptojs,仍然我们通过搜索的方式就可以直接将js抠出来。

然后执行即可完成加密

        


总结

1.当我们遇到带有自执行的jsfuck代码需要直接忽略掉自执行的(),否则会出现以下情况。

 

 2.当我们遇到带有eval(**JSfuck代码**),这样的执行语句,我们需要直接扣括号内部的代码,要不然仍然无法正确解密

正常浏览器即可实现解密,也可以去指定的解密站点

例如:de4js | JavaScript Deobfuscator and Unpacker

js代码段

var window = {};
var CryptoJS = CryptoJS || (function (Math, undefined) {

    var crypto;

    // Native crypto from window (Browser)
    if (typeof window !== 'undefined' && window.crypto) {
        crypto = window.crypto;
    }


*************省略*************************



(function () {
    let time_tmp = Date.now();
    let date = Date.parse(new Date());

    let click = null ;
    let key_tmp;
    let iv_tmp;
    if (!click) {
        key_tmp = date * 1234;
    } else {
        key_tmp = date * 1244;
    }
    if (time_tmp - window.time < 1000) {
        iv_tmp = date * 4321;
    } else {
        iv_tmp = date * 4311;
    }
    const key = CryptoJS.enc.Utf8.parse(key_tmp);
    var iv = CryptoJS.enc.Utf8.parse(iv_tmp);

    (function tmp(date, key, iv) {
        function Encrypt(word) {
            let srcs = CryptoJS.enc.Utf8.parse(word);
            let encrypted = CryptoJS.AES.encrypt(srcs, key, {
                iv: iv,
                mode: CryptoJS.mode.CBC,
                padding: CryptoJS.pad.Pkcs7
            });
            return encrypted.ciphertext.toString().toUpperCase();
        }
        window.sign = Encrypt(date);

    })(date, key, iv);
})();


function get_sign() {
    return window.sign

}

console.log(get_sign())

学狙人。
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS逆向加密-Cryptojs库AES/DES/RSA等代码
十一姐的博客
09-25 7592
目录一、crypto-js1、导入MD5包 一、crypto-js CryptoJS (crypto.js) 是谷歌开发的一个纯JavaScript的加密算法类库,可以非常方便的在前端进行其所支持的加解密操作 目前crypto-js已支持的算法有:MD5、AES、DES、base64、RSA等加密 本地需安装node环境,然后再安装crypto-js库: npm install crypto-js 1、导入MD5包 md5加密 var CryptoJS = require("D:\\Software
猿人学题库十四题——js_fuck核心代码加密
含笑
01-02 1070
猿人学题库十四题——js_fuck核心代码加密 1. 首先 进入 浏览器的开发者工具, 查看 网页Network的请求,多点击几次,查看请求的参数变化,可以看到 就俩个参数 page: 页数 uc: 加密的参数 (每次请求都是不一样的) POST 请求,返回数据是对应的上的 2. 解析请求参数 想找到请求的JS函数,可以在 请求的Initator栏目里面的找到 js 方法行数 点击跳转进去后,可以看到[][(![]+[])[!+[]+!![]+!...
【教程】JavaScript代码混淆及优化
m0_74760716的博客
03-27 1494
本文将介绍常见的JavaScript代码混淆技术,包括字符串转十六进制、Unicode编码、Base64加密、数值加密、数组混淆、花指令、逗号表达式、控制流程平坦化和eval执行。通过对这些混淆技术的理解和应用,可以提高代码的安全性和保护知识产权。通过本文的介绍,我们了解了JavaScript代码混淆的常见技术和优化方法,包括字符串转换、加密算法、数组混淆、控制流平坦化等。在实际开发中,选择合适的混淆方法并结合代码优化,可以提高代码的安全性和保护知识产权,促进项目的顺利进行。
利用ChatGPT-4o 来快速了解 js-deobfuscator 反混淆代码的逻辑
王森的博客
05-16 833
在探索Electron asar 解压过程过程中,接触到了obfuscator混淆压缩技术,这也是一项老技术了额,也是较为简单的混淆加密方式,在没有使用webpack打包的情况下,用这个更简单方便,总还是有些人望而生畏的。后来在github找到了不过跟作者沟通后,发现这个在线工具也是使用的同样的代码,所以这里还是回过头来解读下作者的源码是怎么运行的,以及还有哪些坑需要填,填坑我最爱!
前端代码保护大揭秘:JScrambler、JSFack、IpaGuard等五大JavaScript加密混淆工具详解
2301_79527140的博客
04-01 475
本篇技术博客将介绍五款常用且好用的在线JavaScript加密混淆工具,包括 jscrambler、JShaman、jsfack、freejsobfuscator 和 jjencode。通过对这些工具的功能及使用方法进行详细解析,帮助开发人员更好地保护和加密其 JavaScript 代码,提升网站的安全性和保密性。通过本文介绍的五款常用 JavaScript 加密混淆工具,开发人员可以选择适合自己项目需求的工具,加固 JavaScript 代码的安全性,防止恶意攻击和信息泄露。
JavaScript混淆工具选择与使用指南
m0_74760716的博客
03-27 495
js混淆工具是一种能够将js代码转换成难以阅读和理解的代码的工具,通常用于保护js代码的安全性和版权,防止被恶意修改或盗用。js混淆工具可以通过变量重命名、字符串加密、死代码注入、控制流扁平化、代码转换等方式实现代码的混淆。js混淆工具是保护JavaScript代码安全性和版权的利器,选择合适的工具对代码保护至关重要。开发者应根据需求和场景选择合适的js混淆工具,以提高代码的安全性和稳定性。
crypto-js —— 加密标准的 JavaScript 库
热门推荐
Lyrelion的博客
02-19 1万+
crypto-js —— 加密标准的 JavaScript 库
Js逆向教程-12FuckJs
编辑编辑器
11-20 1106
我们的目的为了让js代码运行起来。可以不需要解密,将代码扣出来运行就可以。任何一个js类型的变量结果 加上一个字符串 ,只会变成字符串。所以这个调试起来很麻烦 只能单步调试 还是用解密工具解密。通过这种特性 可以组合成各种各样的加密方式。这个的原理就是将各种字符串加起来。2个值通过|运算会变成0或者1.jsfuck有对应的解密工具及。我们这里只是讲解js的混淆机制。可以看到只有这3种字符。
TS使用crypto-js进行加密
仗剑走天涯的博客
03-26 6773
TS使用crypto-js进行CBC加密,解密
node.js aes-256-cbc 加密 解密
____
05-13 4112
需求 使用 node.js 进行AES 加密解密,代码如下 代码 // Nodejs encryption with CTR const crypto = require('crypto'); const algorithm = 'aes-256-cbc'; const keyStr = '2ba27190770c3203a3094b1d212f5e2f' const ivStr = keyStr.substr(0, 16) const keyByte = Buffer.from(keyStr) const
JavaScript的加密算法类库:crypto-js
02-06
JavaScript的加密算法类库Crypto-js是前端开发中用于安全数据处理的重要工具,它提供了一系列的加密和解密功能,使得开发者无需后端支持就能在浏览器环境中实现数据的安全传输和存储。这个库支持多种常见的加密算法...
crypto-js.js(AES加密
06-09
js最全加密库,里面包含支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法。详细操作使用,请参考我的文章链接:...
aesJS.zip,包含aes.js和crypto-js.js
06-02
`aes.js` 和 `crypto-js.js` 是两个JavaScript库,它们允许在浏览器环境中实现AES加密和解密操作。 **aes.js** `aes.js` 是一个专门针对AES加密的JavaScript实现,可能包含了对AES算法的各种模式(如ECB、CBC、CFB...
POSTMAN RSA加密 - forge.js
07-08
POSTMAN RSA加密是一种在Postman测试工具中使用RSA加密技术的方法,主要涉及到JavaScript库Forge.js。Forge.js是一个强大的开源加密库,提供了多种加密算法,包括RSA(Rivest-Shamir-Adleman),这对于安全地传输...
crypto-js.4.0.0
01-15
此资源为构建好的crypto-js.4.0.0版本,下载后可直接使用Script标签引入所需加密算法。支持:MD5 SHA-1 SHA-256 AES Rabbit MARC4 HMAC HMAC-MD5 HMAC-SHA等算法
机器学习(二十三):决策树和决策树学习过程
weixin_45733884的博客
07-25 338
下面是数据集,输入特征是耳朵形状、脸形状、是否有胡子,输出结果是是否为猫下图是决策树,根据耳朵形状、脸形状、是否有胡子这几个特征,建立决策树,从根节点一步步预测结果。上图中,每一个椭圆形和矩形是树的节点。最顶上的节点是树的根节点。除了最底下一层的节点外,其余节点(椭圆形)为决策节点。最底下一层的节点为叶节点。
嵌入式C++、MQTT、数据库、Grafana、机器学习( Scikit-learn):智能建筑大数据管理平台(代码示例)
嵌入式极客小张
07-25 1397
系统利用微控制器和传感器进行环境监测,通过MQTT等物联网协议传输数据。数据存储方面,采用InfluxDB、MongoDB和PostgreSQL等技术,确保对时序数据和结构化数据的高效管理。大数据处理使用Apache Hadoop和Spark,实时分析通过Apache Flink实现。数据分析与机器学习采用Python和深度学习框架(TensorFlow、PyTorch),而数据可视化则借助Grafana和Tableau等工具。云平台如AWS和Azure提供基础设施支持,提升系统的可扩展性和可靠性。
基于Python的二手房价格分析与多种机器学习房价预测
最新发布
迷茫与徘徊只会让你陷入绝境,欢迎私信博主,带你开始提升变现价值!
07-26 1229
二手房市场存在以下特点:二手房比起新房,虽有很多优势,但也存在着很多不足。比如与新房交易相比,由于政府政策的不断完善,手续也在更加复杂繁琐。此处略网络爬虫,也被称为网页蜘蛛或者网络机器人,更官方的名字叫数据采集,英文一般称作Spider[24]。这个软件或者脚本能够在一个特定的规则下,自动地捕捉和处理数据。网络爬虫的基本工作原理如图2.2所示。通用爬虫技术其实现过程如下:(1) 首先,获得原始 URL,分析目标网站,构建新的种子 URL。(2) 将新构建的 URL插入到要捕获的队列中。
crypto-js 文件加密
08-04
引用[1]中提到了使用crypto-js库进行加密的方法。具体来说,可以使用AES加密算法对数据进行加密。在加密过程中,需要提供一个AES密钥(AESKey)和待加密的数据(value)。加密的过程包括以下几个步骤: 1. 将AES密钥转换为UTF-8编码的格式。 2. 根据AES密钥的前16位生成一个偏移量(iv)。 3. 将待加密的数据转换为UTF-8编码的格式。 4. 使用AES算法和指定的加密模式(ECB)、填充方式(Pkcs7)对数据进行加密。 5. 将加密后的数据转换为Base64字符串并返回。 具体的加密方法如下: ```javascript const encryption = (value: string, AESKey: string) => { let key = CryptoJS.enc.Utf8.parse(AESKey); let iv = CryptoJS.enc.Utf8.parse(AESKey.substr(0, 16)); let srcs = CryptoJS.enc.Utf8.parse(value); let encrypted = CryptoJS.AES.encrypt(srcs, key, { iv: iv, mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7, }); return CryptoJS.enc.Base64.stringify(encrypted.ciphertext); } ``` 引用[2]中提到了使用crypto-js库进行解密的方法。解密的过程与加密相反,需要提供AES密钥(AESKey)和待解密的数据(value)。解密的过程包括以下几个步骤: 1. 将AES密钥转换为UTF-8编码的格式。 2. 根据AES密钥的前16位生成一个偏移量(iv)。 3. 使用AES算法和指定的解密模式(ECB)、填充方式(Pkcs7)对数据进行解密。 4. 将解密后的数据转换为UTF-8编码的格式并返回。 具体的解密方法如下: ```javascript const decryption = (value: string, AESKey: string) => { const key = CryptoJS.enc.Utf8.parse(AESKey); let iv = CryptoJS.enc.Utf8.parse(AESKey.substr(0, 16)); const decrypt = CryptoJS.AES.decrypt(value, key, { iv: iv, mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7 }); return CryptoJS.enc.Utf8.stringify(decrypt).toString(); } ``` 引用[3]中提到了crypto-js库的简介。crypto-js是一个纯JavaScript的加密算法类库,可以方便地在前端进行各种加解密操作。它支持的算法包括MD5、SHA-1、SHA-256、AES、RSA、Rabbit、MARC4、HMAC、HMAC-MD5、HMAC-SHA1、HMAC-SHA256、PBKDF2等。使用时可以引入整个crypto-js库,也可以单独引入需要使用的算法文件。 你可以通过以下方式下载和使用crypto-js库: 1. 下载地址:https://github.com/brix/crypto-js/releases 2. 引入crypto-js.js文件: ```html <script src="crypto-js.js"></script> ``` 综上所述,你可以使用crypto-js库进行文件加密操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值