JS逆向-请求参数验证(案例:七麦数据)

已于 2023-01-16 21:55:54 修改
阅读量1k 收藏 6
点赞数 2
分类专栏: 爬虫 文章标签: javascript python
于 2023-01-16 21:53:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69490628/article/details/128697555
版权

步骤

一、抓包 找关键字 参数里是否包含加密字段
二、找参数在JS的位置
1、搜索关键字
2、XHR断点
3、hook关键字)
三、扣JS
四、还原入口参数

前言:
此内容仅供学习交流使用,不用于商业用途,如果涉及侵权,请联系作者删除;

一、抓包

在这里插入图片描述

打开开发者工具,点一下免费加载一下数据,我们可以看到有我们想要的数据

请添加图片描述
查看请求参数,发现其中analysis参数是加密的,且每次点击都不同,可以判断是由js生成的

二、找参数

首先我们通过搜索关键词,并没有找到相关的参数
在这里插入图片描述
然后通过使用XHR断点,我们能来到了这里

在这里插入图片描述

接下里点击跳过下一个函数调用,大概走三步左右就能来到以下这个位置

在这里插入图片描述
可以看到这是一个回调方法,我们往里面走,点击进入下一个函数调用

在这里插入图片描述
此时t是一个返回的数据,但我们需要拿的是一个请求数据,所以继续往后面走,点击跳过下一个函数调用

在这里插入图片描述
可以看到这是一个响应的拦截器。因此我们往上拉,可以找到请求的拦截器,并且下断点

在这里插入图片描述
其中e就是我们想要的加密后的参数在这里插入图片描述
可以得出这是生成加密参数的函数,函数需要的参数分别是a和d

在这里插入图片描述

analysis =  i[jt](i[qt](a, d))

三、扣JS

在这里插入图片描述
大概30行左右就搞定了

四、还原参数入口

a = 'MTEyMDIzLTAxLTE1MzZjbmZyZWVpcGFk@#/rank/indexSnapshot@#12565779418@#3'
d = 'xyz517cda96abcd'

可见需要还原的参数为a和d

d经过测试是写死的
a经过以下地方声明
在这里插入图片描述

完整代码

import datetime
import requests
import execjs


def get_data(page, brand, device):
    '''
    :param page: The number of pages to be retrieved
    :param brand: ‘free’\'paid'\'grossing'
    :param device:'iphone'\'ipad'
    :return:
    '''
    url = 'https://api.qimai.cn/rank/index'
    headers = {
        "referer": "https://www.qimai.cn/",
        "sec-ch-ua": "\"Not_A Brand\";v=\"99\", \"Google Chrome\";v=\"109\", \"Chromium\";v=\"109\"",
        "sec-ch-ua-mobile": "?0",
        "sec-ch-ua-platform": "\"Windows\"",
        "sec-fetch-dest": "empty",
        "sec-fetch-mode": "cors",
        "sec-fetch-site": "same-site",
        "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36"
    }
    current_date = datetime.datetime.now().strftime('%Y-%m-%d')

    params = {
        "analysis": "ezUnVisSKEh6W3YbKQtwQSwILhA1PT9BfGM6Hi9UeBQ4DS4UIy1ZRm40NVx5FU4QAgoTVhNbVVIbJEIIBFdWVlxOT0wCAXdAVw==",
        "brand": brand,
        "device": device,
        "country": "cn",
        "genre": "36",
        "date": current_date,
        "page": page,
        "is_rank_index": "1",
        "snapshot": "19:46:01"
    }

    with open('06七麦数据接口.js', encoding='utf-8') as f:
        js_code = execjs.compile(f.read())
        analysis = js_code.call('get_data', page, brand, device, current_date)
        params['analysis'] = analysis

    resp = requests.get(url=url, headers=headers, params=params)
    print(resp.json())


for i in range(1, 4):
    get_data(i, brand='grossing', device='iphone')

最后

JS接口文件或更多探讨欢迎联系作者交流~~~~

汉斯鲁昂
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
js逆向案例一二
十一姐的博客
05-29 7012
目录一、请求参数|Cookie|Referer校验(⭐)1、案例1_有道翻译2、案例2_百度翻译3、案例2_建筑市场 一、请求参数|Cookie|Referer校验(⭐) 难度系数一颗星,简单的js逆向,适合初级新手练习,每个案例1小时内可完成破解 涉及到md5、aes、des、rsa,本地需安装node环境,然后再安装crypto-js库: npm install crypto-js 1、案例1_有道翻译 (1)案例网址: 点击网址 (2)案例反爬点:请求参数salt、sign、Its、bv
JS逆解析-七麦数据analysis加密分析
weixin_55957550的博客
01-25 1870
1.介绍: 要分析的网站是:七麦数据 -专业移动产品商业分析平台-关键词优化-ASA优化
js逆向分析---analysis参数分析
crayonjingjing的博客
05-17 766
analysis参数js加密之后的,需要对原代码进行逆向分析才能解密爬取。 js逆向分析的学习,参考B站关于music评论爬取的视频(https://www.bilibili.com/video/BV1Mf4y1s7ds?p=42),七麦网的分析,参考博客https://blog.csdn.net/weixin_43582101/article/details/122456609 这里以music评论为例记录下js逆向分析的流程。
七麦数据逆向爬虫 混淆加密全解析!
最新发布
weixin_52392194的博客
07-14 1201
数据分析领域,七麦数据作为一个强大的工具平台,为我们提供了丰富的数据资源。然而,其数据接口往往经过复杂的加密和混淆,增加了爬取的难度。今天,我们将带你一起深入探讨如何通过PythonJS逆向工程技术,破解七麦数据的加密逻辑,实现数据的获取。让我们一起开启这场挑战与乐趣并存的逆向爬虫之旅吧!
JS逆向 | 七麦数据analysis分析
weixin_53318198的博客
02-06 1850
声明:本文只作学习研究,禁止用于非法用途,否则后果自负。如果侵权到了您的权益,请立即联系我删除! 前言 这次来分析一下七麦数据的analysis加密。 有什么写的不好的地方请多多指教????。 目标网站:aHR0cHM6Ly93d3cucWltYWkuY24vYW5kYXBwL3NoZWx2ZXMvYXBwaWQvNTM4ODE3MA== 抓包分析 老规矩,还是先抓个包看看。 这一串字符串显然不是什么好东西????,这次分析的目标就是这个analysis。 加密分析 寻找加密位置 先打上xhr断点,然
爬虫js逆向之-七麦数据
m0_63533079的博客
05-07 2115
对加密参数进行逆向分析
js逆向 | 七麦数据analysis加密逻辑分析(最新)
放纵的Coder
08-23 1132
前言 没办法把公众号文章直接粘贴过来,想要看最新加密流程分析的直接去我公众号查看就行。 这里简单说下加密的实现逻辑 第一,使用拦截器,拦截请求url和请求携带的参数 第二,对参数进行排序并使用base64加密 第三,拼接加密后的参数、url、以及其他字符串,经过js加密后继续base64加密生成analysis。 其实也挺简单的!python实现起来也就几行代码! 对你有帮助,请扫码关注!感谢! 公众号:逆向旅行 微信号:fzcoder888888 定期分享Python进阶技术,爬虫 ...
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释)
热门推荐
五包辣条的博客
07-12 1万+
假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。
Python爬虫必备: 爬虫基础+js逆向+app逆向+案例
01-18
本资源包"Python爬虫必备:爬虫基础+js逆向+app逆向+案例"涵盖了Python爬虫的基础知识,JavaScript逆向工程以及移动应用(App)的逆向分析,旨在提供一套完整的爬虫学习路径。 首先,让我们深入探讨Python爬虫基础...
Python分布式爬虫与逆向进阶实战-视频教程网盘链接提取码下载.txt
09-07
- **JS逆向破解**:针对基于JavaScript的反爬机制,掌握逆向工程技巧,实现对动态脚本的破解。 #### 三、案例分析 课程中精选了20+案例,覆盖了不同类型的网站和应用场景,例如: - **电商数据抓取**:利用爬虫技术...
JS爬虫和逆向JS爬虫和逆向
06-17
因此,理解如何编写和分析JavaScript爬虫以及进行JavaScript逆向工程变得尤为重要。 1. **JavaScript基础**: - **变量与数据类型**:JavaScript是一种动态类型的编程语言,支持基本的数据类型如字符串、数字、...
JS逆向分享】某个网站社区信息,完整代码包含js文件
06-10
JS逆向工程,全称为JavaScript逆向工程,是一种技术手段,用于理解、分析和修改JavaScript代码的功能和行为。在这个过程中,开发者通常会研究JavaScript源码,以揭示隐藏的功能、修复漏洞或获取数据。在这个特定的...
js 逆向学习笔记之加速乐cookie加密.docx
04-03
### JavaScript逆向技术详解:加速乐Cookie加密案例分析 #### 一、背景介绍 随着互联网技术的不断发展,网站安全成为了不容忽视的重要问题。为了保护用户数据的安全性,很多网站采用了复杂的加密技术来防止数据被...
七麦数据js逆向(扣代码版)
码王吴彦祖的博客
01-12 719
这里使用的window.ooo加密方法,是需要把一大串变量抓下来,然后在后面补一下即可,当然也可以不抓一大堆变量,因为我懒的删多余变量了。最后这个e生成的位置,就是analysis参数,我们直接把代码扣下来放到本地,并还原一些混淆的字符串变量。本文目标地址如下,使用base64解码获得。最后,用python调用js成功生成数据
JS逆向案例(allchips)
qq_42519299的博客
09-27 455
js加密
js逆向七麦网站
自信人生二百年,会当水击三千里
02-23 1206
数据时代的到来,人们对于数据的需求越来越大,但对于数据的获取不再像以前那么简单。各大网站都对数据进行了加密处理来保护数据的安全。但是上有政策,下有对策。今天带来逆向的第一个案例。Let's Go!按F12进行常规抓包,发现这是一个url参数加密,只要我们破解了该参数,就可以正常获取数据啦!一般查找加密位置有三种基本方法:关键字搜索Hook方法XHR断点当前前提是网站走的XHR(XMLHttpRequest)请求,今天我们采取XHR断点方式来找加密位置。
【2021-01-22】JS逆向七麦数据analysis获取
骑毛驴的猴的博客
01-22 2933
文章目录前言一、页面分析二、analysis参数获取1.找加密位置2.参数破解三、源码 前言 地址:aHR0cHM6Ly93d3cucWltYWkuY24vcmFuaw== 加密类型:base64 一、页面分析 刷新页面,抓包,可以看到有个analysis参数,这就是我们要破解的参数 二、analysis参数获取 1.找加密位置 直接搜发现找不到 从堆栈入手,慢慢找加密位置 2.参数破解 下断点重新加载,这个a就是我们要找的analysis,分析一下,外面嵌套了两个方法p.d和,p.j,传了参数.
七麦数据js逆向(补环境版)
码王吴彦祖的博客
01-12 808
其中最后一个文件就是加载器的位置,这里稍微补一下window环境即可运行,最后我将加载器导出为pengyuyan。本文目标地址如下,使用base64解码获得。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值