JS逆向 | 某天下房地产网站登录逆向分析

最新推荐文章于 2023-09-20 21:30:00 发布
最新推荐文章于 2023-09-20 21:30:00 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: JS逆向 文章标签: js 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53318198/article/details/122765570
版权

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如果侵权到了您的权益,请立即联系我删除!

目标网站:aHR0cHM6Ly9iai5mYW5nLmNvbS8=

本次逆向的目标为登录时的加密参数pwd,如下所示。

全局搜索pwd:,发现2个比较可疑的位置:

点进文件对应位置下断点,再重新登录一次,在这里断住了。

that.password.val()就是我们输入的密码明文,那key_to_encode是什么呢?

显然,key_to_encodeRSA密钥,但在当前文件并没有搜到,全局搜索一下试试。

在这里找到了定义key_to_encode的位置,在这之前还进行了个setMaxDigits(129)操作,现在还不知道它的作用是什么,先点进去看一下。

setMaxDigits只是进行一些定义操作,把这段代码复制到本地运行,然后会报错,根据报错提示补上对应的变量或者方法就行了。

解决了setMaxDigits的问题,然后再把定义key_to_encode的方法RSAKeyPair扣下来,运行得到的结果如下:

到此我们就拿到了RSA的密钥,再将encryptedString方法扣下来,就能实现pwd参数的加密方法。

最后用python模拟登陆试试。

返回Success,说明参数加密是对的。

需要注意的是,每次加密的结果都是不一样的,如果加密完的值不变,说明扣错了。
另外登录得用实际的账号密码去登录,不然无法验证参数加密是否是正确的。

一氵间
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript逆向 猿人学 js混淆 回溯 逆向学习
03-12
JavaScript逆向是指通过分析和理解经过混淆的JavaScript代码,以及对代码执行过程的回溯和逆向学习,来揭示代码的真实意图和功能。猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、...
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
这段代码中的setMaxDigits(131);是什么意思?代码是这样的:setMaxDigits(131); var formData = $("#loginForm")....
weixin_35750483的博客
01-17 232
setMaxDigits(131); 意思是设置数字的最大位数为131. 这句代码可能属于一个类库或框架中的代码,用于设置数字精度的上限。
C#Winform雷速网站逆向分析
11-16
雷速网站
MmEwMD分析
sergiojune
01-22 7343
今天我们来看看这种反爬混淆,仅仅提供学术交流首先搜一下这个关键字:MmEwMD就不截图了什么也搜不到。调用堆栈看一看,先看第一个重度混淆 断点看看我们发现他是hook了 请求的对象,断...
Python Tkinter模块详解(后续持续补充)
月辰的博客
07-25 9239
声明:该文章是个人学习中写的,目的是总结及当作工具参考,有一定的借鉴成分,后续若有新发现则补充 目录 Tkinter简介 创建组件基本语法 Tkinter组件汇总 Variable 类 常见参数详解 anchor——表示文本的位置 background(简称bg)——背景色 foreground(简称fg)——前景色 font——字体 布局管理器 pack grid p...
javax.script.ScriptException: ReferenceError: “window“ is not defined in security.js at line number
查拉图斯特拉面条的博客
09-21 1116
使用jmeter执行加密登录接口的测试遇到的问题。 问题记录: 今天使用jmeter执行加密登录接口的测试,因为测试环境的应用包是以前的老版本(可能有两年了),所以需要替换加密文件:security.js //jmeter JSR223 预处理程序 load("security.js"); //pwd1 = vars.get("passwd"); function RSA(){ va...
逆向某联盟RSA登录
自信人生二百年,会当水击三千里
04-20 659
RSA逆向登录setMaxDigits()
JS到PHP使用RSA算法进行加密通讯
Linvo's blog
06-12 1万+
我们平时做用户登录表单提交,用户名密码都是明文直接POST到后端,这样很容易被别人从监听到。注:包括使用MD5等哈希函数处理后的数据,这里也算做明文(现在MD5爆破网站已经很多了~)。对安全性要求较高的网站,比如银行和大型企业等都会使用HTTPS对其进行加密通讯。但是由于效率原因,使用HTTPS的代价是及其昂贵的,对于访问量稍大的网站就会造成严重的性能瓶颈。解决方法一般只能采用专门的SSL硬件加速设备如F5的BIGIP等。所以很多网站选择了模拟SSL的做法,使用RSA来对密码等安全信息进行公钥加密,服务端用
Python爬虫从入门到精通:(44)JS逆向:试客联盟的逆向分析_Python涛哥
tao5090694的博客
11-09 1794
我们来看下试客联盟的逆向分析,切换到密码登陆。 JS代码解析 我们进行抓包。经过分析,我们看到密码可能在这个js里实现 点进去后,我们发现源码里有一段var key = new RSAKeyPair("10001",'',rsa_n);,那我们就怀疑这个可能就是密码的实现方式。我们打断点验证一下,果然停留在了这里。我们来看下这一部分源码: setMaxDigits(131); var formData = $("#loginForm").serializeArray();
某房产平台登陆逆向分析之接口流程分析
m0_58399594的博客
07-18 1161
近日,阿爬发现某平台的登陆流程较为有难度,于是想挑战一下,看是否能走通流程。 于是经过一定时间的分析,对它的登陆流程做出一下分析,供大家一起学习学习。 整体流程我分三个部分: 一.第一部分是登陆前初始化信息接口,主要做登陆和验证接口前的基本数据传递 二.第二部分是滑块验证接口,整个流程是走某验的滑块验证流程,做人机交互验证 三.第三部分是最终验证接口,验证输入的手机验证码以及账号是否正确
ReferenceError: XXX is not defined 错误及解决办法
A_Zeng_的博客
06-08 6万+
ReferenceError: XXX is not defined 错误及解决办法 我这里是报错是忘记了引入此方法所在的js文件 , 解决办法: 引入所需的js文件, 此错误 另外一种情况就是 jQuery引入先后顺序不对,要先引入jQuery文件 ...
爬虫 极简壁纸 逆向分析 js逆向 交流学习
12-14
然而,对于极简壁纸的逆向分析,我们往往知之甚少。 本文旨在探索极简壁纸的逆向分析方法,从技术层面揭示其设计原理。首先,将介绍逆向分析的概念和意义,以及其在软件领域的应用。其次,将分析极简壁纸的文件结构...
Javascript逆向分析+Cookie加密+补环境+逆向学习
最新发布
02-22
当涉及到 JavaScript 的逆向分析时,通常会涉及到反混淆(deobfuscation)技术,因为很多恶意代码或者保护代码都会被混淆以隐藏其真实用途。反混淆技术包括解码编码的字符串、还原混淆的变量名和函数名等,帮助我们...
爬虫 js逆向,调用js 第三方库报错:execjs._exceptions.ProgramError: ReferenceError: crypto-js is not defined
weixin_41354919的博客
05-07 1万+
没学过js,刚刚学习爬虫接触 js逆向,觉得很是复杂,又要懂一点js代码,然后写成 python 处理处理,觉得很麻烦,其实就是懒,上网一找,python 有个CryptoJS 的 三方库,只要把 js 代码稍微修改一下,就可以直接调用,很是方便。然后把JS 解密的部分全部复制进去,运行-------当 JS 代码需要调用 js的模块的时候,会报错,比如:发现报错execjs._exceptions.ProgramError: ReferenceError: crypto-js is not d...
javascript报错:ReferenceError: $ is not defined解决办法
热门推荐
草莓蛋糕人
09-04 6万+
js报错:ReferenceError: $ is not defined。 在运行刷新项目界面时,通过浏览器控制台发现错误ReferenceError: $ is not defined,如下图所示: 部分界面代码如下: 解决方法: 我们不难发现script位置有问题,因为$是jquery产生的对象,js是根据引用标签分块顺序进行的,所以要将jquery.js放在最前面,如修改为...
编码问题一网打尽
wangjieest的专栏
10-22 1万+
字符集与编码问题小结 大部分内容copy自网络,我只是整理在一起 2012/10/11 编码的引入 ASCII 有人用 0x41 代表a,有人用 0x81 表示。语言不通,不同的计算机无法交流。美国人很早发现了这种问题,为便于交流指定了编码标准,于是有了: ASCII(American Standard Code for Information) ASCII码是7位编码,但由于计算机基
对话框编程1
weixin_33910385的博客
09-07 249
在环境VC6.0完成 新建一个MFC单文档应用程序工程,取名MyDlg,然后插入一个新Dialog,对话框资源也有一个类CDialog. CDialog The CDialog class is the base class used for displaying dialog boxes on the screen. Dialog boxes are of two types:...
爬虫Js 逆向案例四网易云音乐评论
记录学习过程,欢迎讨论交流~
09-20 1154
Js 逆向案例四网易云音乐评论
js逆向之字节系列某量算数jsvmp算法分析及深度还原
01-03
JS逆向工程是一种通过分析JavaScript代码,对其进行深度还原和逆向分析的技术。在这个过程中,有一项重要的工作就是对JSVMP(JavaScript Virtual Machine Profiler)算法进行分析。 JSVMP算法是一种针对JavaScript虚拟机的分析工具,它可以帮助我们深度了解JavaScript代码在虚拟机上的执行过程。通过对JSVMP算法的分析,我们可以得到更多关于JavaScript代码中数值计算的信息,包括算法的具体实现和原理。 首先,我们需要对JSVMP算法进行深度分析,了解其内部的运行机制和原理。通过对JSVMP算法的分析,我们可以了解其在对JavaScript代码进行数值计算时所采用的具体算法和优化方式。 接着,我们需要对JSVMP算法进行深度还原。这一过程可以帮助我们还原出JavaScript代码在虚拟机上的执行过程,包括代码的执行路径、数据流和变量状态等信息。通过对JSVMP算法的深度还原,我们可以更好地理解JavaScript代码的执行过程和行为。 总的来说,通过对JSVMP算法的分析和深度还原,我们可以更加深入地了解JavaScript代码在虚拟机上的执行过程,包括其中涉及的数值计算算法和优化方式。这对于进行JS逆向工程和对JavaScript代码进行优化和性能调优都具有重要的意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值