JS逆向 | 四库一平台响应数据加密

最新推荐文章于 2024-03-04 04:48:05 发布
最新推荐文章于 2024-03-04 04:48:05 发布
阅读量1.6k 收藏 9
点赞数 4
分类专栏: JS逆向 文章标签: js 爬虫 python 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53318198/article/details/122966023
版权

声明:本文只作学习研究,禁止用于非法用途,否则后果自负。如果侵权到了您的权益,请立即联系我删除!

前言

目标网站:aHR0cDovL2p6c2MubW9odXJkLmdvdi5jbi9kYXRhL2NvbXBhbnk=

抓包

抓包发现,响应数据是一串字符,说明被加密了。
在这里插入图片描述

寻找加密位置

下个xhr断点,翻页让断点断住,然后往回跟栈,走到这里。
在这里插入图片描述
虽然响应数据加密的,但整个流程肯定是先正常请求到数据,然后对响应数据进行解密,再渲染到页面上。这里我们需要关注onreadystatechange这个方法,因为里面出现了responserespnseText字眼。

但这个onreadystatechange是啥呢,菜鸟上的定义是这样的:
在这里插入图片描述
那这里的逻辑应该就是当readyState为4时就执行回调函数去解密响应数据。

在这里下个断点,然后单步调试,走到这个地方,
在这里插入图片描述
在这里插入图片描述
这个h就是解密的方法,进到h里面看看。

function h(t) {
    var e = d.a.enc.Hex.parse(t)
    , n = d.a.enc.Base64.stringify(e)
    , a = d.a.AES.decrypt(n, f, {
        iv: m,
        mode: d.a.mode.CBC,
        padding: d.a.pad.Pkcs7
    })
    , r = a.toString(d.a.enc.Utf8);
    return r.toString()
}

加密逻辑

h就是一个AES加密(笑),加密模式是CBCkeyiv在前面也有定义。

f = d.a.enc.Utf8.parse("jo8j9wGw%6HbxfFn")
m = d.a.enc.Utf8.parse("0123456789ABCDEF");

虽然这一看就是原生的AES,但为了保险,还是先拿在线网站验证一下。
在这里插入图片描述
的确是原生的AES,那就简单了,直接用python调库就完事了。

python代码:

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
import binascii


def decrypt(data):
    cipher = AES.new(key=KEY, mode=AES.MODE_CBC, iv=IV)
    decrypted_data = cipher.decrypt(binascii.a2b_hex(data))
    return unpad(decrypted_data, block_size=AES.block_size).decode('utf8')


KEY = 'jo8j9wGw%6HbxfFn'.encode()
IV = '0123456789ABCDEF'.encode()
raw_data = 'xxx'  # 太长,就不贴上来了
result = decrypt(raw_data)
print(result)

运行效果:
在这里插入图片描述
又水了一篇(bushi),咱们下回见。

一氵间
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
拼多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 拼多多api解密 拼多多anti_content参数逆向分析 拼多多JS anti_content参数加密解析 node 解密下载即有用
案例-某验四代滑块反爬逆向研究二
小程博客
11-25 158
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除!网址:vm环境跑出来很顺畅,导出node环境跑,报错,一看是检查了很多node中存在的属性,删掉就好了;缺口识别用ddddocr就好了。
【学习心得】响应数据加密的原理与逆向思路
qq_39780701的博客
03-04 1059
响应数据加密是常见的反爬手段的一种,它是指服务器返回的不是明文数据,而是加密后的数据。这种密文数据可以被JS解密进而渲染在浏览器中让人们看到。对于服务器响应给我们的看不懂的字符串,既然它能在浏览器中显示明文,那么说明前端JS代码里面一定有解密函数。
工商数据采集的10个经典方法
Enterprisbigdata的博客
11-28 2998
某些APP 和网站的参数是通过js加密的,比如商标网、裁判文书网、抖音快手等这些。(3)钓鱼网站爬虫技术:通过域名劫持技术,很多人heike去劫持银行网站、支付宝网站、充值交易的网站等,比如他们先做一个和银行一模一样的网站,功能和长相和银行的一模一样,这个网站我们称呼钓鱼网站,用户打开银行网址时候,其实已经被劫持走了,真正访问的是他们提供的钓鱼网站,但是因为网址是一样的,网站长相也是一样的,用户压根不会识别出来,等您输入银行账号密码后,您的银行卡的钱估计就自动被转走了,因为已经知道您的账号密码了。
爬虫 全国建筑市场监管公共服务平台(四库平台) 平台数据抓取
tngou的博客
12-03 516
经过几天的全国建筑市场监管公共服务平台(http://jzsc.mohurd.gov.cn)平台的研究,终于完成数据的完全抓取。陆陆续续差不多花费一周的时间进行软件开发和设计,然后爬取时间才不多20天时间,对所以企业信息进行完整的抓取数据如下: 其中在开发过程中遇到两个问题? 1、新版的API接口数据进行AES加密,解决方案《建筑资质爬虫抓取-全国建筑市场监管公共服务平台(一)入门密码篇...
四库平台网站的爬取
qq_39697564的博客
12-15 4041
1.序言 因为工作内容原因需要对四库平台全站数据进行抓取,这次爬取经历了两次方案进行抓取,现在一一记录下来。网站有多处反爬,今天在这里会对所有反爬与爬虫细节进行细化分析。 2.正文 首先打开网站 这里有个数据服务,点击进入就会有具体数据的列表页了。 今天只介绍企业数据如何进行抓取,因为其他的数据都是相同的手法,了解了一个其他的就知道了。我使用的是chrome浏览器,F12进行检查。 可以看见网站返回的内容都是进行加密的,这个时候我们就要进行查看其加密的方式是怎么样的了,这样才能进行解密。
爬虫 全国建筑市场监管服务平台(四库平台) 小程序数据抓取
tngou的博客
08-01 2563
原来发了几遍文章关于 全国建筑市场监管公共服务平台(四库平台)平台的网站数据采集和抓取: 建筑资质爬虫抓取-全国建筑市场监管公共服务平台(一)入门篇 建筑资质爬虫抓取-全国建筑市场监管公共服务平台(二)-接口篇 新版建筑市场(四库平台抓取最新信息(爬虫) 最近发现 建筑市场监监管平台推出了自己的小程序《全国建筑市场监管服务平台》。 在使用过程中,发现没有前端的辅助验证码,和一些访问的现在,于是就研究如何通过小程序来抓取数据,经过的学习和研究基本完成的数据的采集和...
JS反爬介绍以及环境的搭建
qq_51179608的博客
08-24 692
js逆向的初步了解
全国建筑市场监管公共服务平台JS逆向
paycho的博客
01-06 1534
全国建筑市场监管公共服务平台JS逆向https://jzsc.mohurd.gov.cn/api/webApi/dataservice/query/comp/list?pg=1&pgsz=15&total=450
Pythonjs实现逆向加密参数破解.zip
06-27
部分网站的 url 构成中含有加密参数,这些参数的加密方法写在了 JavaScript 中,而 js 通常经过了压缩,混淆和加密;本项目通过 AJAX 断点,hook 方法先寻找到加密入口,其次通过 playwright 将加密方法挂载到 ...
Javascript逆向分析+Cookie加密+补环境+逆向学习
02-22
JavaScript逆向分析、Cookie加密、补环境搭建、逆向学习等技术和方法相互交织,共同构 成了一个丰富而复杂的学习和研究领域。深入探索这些领域,将有助于我们更好地理解和运用JavaScript编程,提升自身的反混淆能力...
python爬虫: 1、记录捕获各网站的数据 2、逆向JS(请求数据加密响应数据解密)
11-16
python爬虫: 1、记录捕获各网站的数据 2、逆向JS(请求数据加密响应数据解密)
javascript逆向 猿人学 js混淆 回溯 逆向学习
最新发布
03-12
猿人学JS混淆是一种常见的JavaScript混淆技术,通过对代码进行重构、变量名替换、函数调用转换等手段,使得代码难以直观理解,增加了阅读和分析的难度。 在进行JavaScript逆向学习时,首先需要通过反混淆技术将混淆...
JS逆向-某四库平台
m0_51643196的博客
04-09 922
本文只用于学习研究,如造成其他影响联系博主删帖!!! 目标网站:aHR0cDovL2p6c2MubW9odXJkLmdvdi5jbi9zdXBlcnZpc2UvaW5kZXg= 废话少说,直接开始抓包 看到的响应结果是一串乱码 ,接下来开始寻找加密入口。 根据xhr来打断点, 点最后的堆栈跟进去, 打上断点刷新页面, 可以很容易找到加密入口, 这时候在此处追加断点,同时放开第一个断点跟进去, 然后单步追进去, 映入眼帘,参数t传进来就是那一堆乱码字符,进行一系列操作...
建筑市场数据四库平台)API接口开放
tngou的博客
03-08 3710
全国建筑市场监管平台四库平台)【http://jzsc.mohurd.gov.cn】已经关闭的老板,现在对数据采集的要求原来越高。经过自己的学习和整理发布的一个建筑市场数据四库平台)API接口开放 用于学习和交流 序号 接口 说明 1 https://www.tngou.net/openapi/v1/mohurd/comp 建筑企业接口 2 https://www.tngou.n...
某网站返回数据加密的还原
李玉峰的博客
07-14 2193
encrypt_data还原
助力小白常见JS逆向乱杀喂饭教程——Url加密
小詹学python的博客
03-26 571
专栏作者:战俘巡航,爬虫工程师,具有丰富的Python数据采集经验。最近,读者希望公众号能出一些JS逆向的干货教程,所以,安排!首先不知道能写多少简单易懂的逆向内容供小白们吸收学习,目前先...
JS逆向04之xhr断点webpack抠代码,图文并茂,导出加密函数。
西北一条虫的博客
09-04 668
说明: 本文只针对新手入门了解,高手绕道。 只做技术性研究,请勿用于非法渠道。 目标 https://www.gm99.com/ 前言 1、首先准备Chrome内核浏览器,我用的360极速版浏览器。 2、打开目标网址,按F12或者网页空白处右键审查元素(有的浏览器叫检查),打开开发者调试工具。 3、基础性不了解得看下之前简单得文字,这里不做过多描述。 正式开始 1、随意输入账号密码,点击登录,查看登录请求发现password:被加密。如下图: 2、懂一点前端应该可以看到这个用的jquery里面有个ajax
对请求响应数据进行加密解密传输
qq_44027353的博客
01-11 7005
文章目录项目需求背景加密方式具体代码 项目需求背景 本项目本来是围绕app相关的开发,接口都已经开发完了,在之后的需求提出来要在微信公众号也整一套,需要对微信这边的请求响应数据进行加密解密,还需要满足app这边的请求响应不动。 加密方式 和前端进行商量后,决定使用RSA+AES两种加密算法,因为AES对称加密的效率要比RSA效率高很多,实现的步骤是: 后端先生成RSA加密算法的公钥和私钥,私钥自己保存,存入redis中,然后将存入redis中的随机生成字符串的key和公钥给前端 前端生成ARS密钥 前端
加密算法js逆向安全控制实现
12-29
1. JS逆向工程:JS逆向工程是指通过分析和破解JavaScript代码来获取其内部逻辑和实现细节。这可以帮助您理解加密算法的实现方式和安全控制措施。 2. 安全控制实现:在加密算法中,安全控制是指保护密钥和加密数据的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值