JS逆向之拉勾password

最新推荐文章于 2024-07-11 14:34:01 发布
最新推荐文章于 2024-07-11 14:34:01 发布
阅读量363 收藏
点赞数
分类专栏: APP及JS高级逆向 文章标签: js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/welggy/article/details/115638594
版权

https://www.lagou.com/

抓包

登录url:

GET https://passport.lagou.com/login/login.json

参数:

jsoncallback: jQuery11130510950445912626_1618227551741
isValidate: true
username: 15806204095
password: 990eb670f81e82f546cfaaae1587279a
request_form_verifyCode: 
challenge: c7a96a290ed4d75ca2a8bf139172dbe0
_: 1618227551745

分析

参数中password和challenge看起来是加密参数,其实challenge是极验验证码请求的参数,本文针对password进行参数分析,暂时先不做讨论。

在这里插入图片描述

搜索login/login.json并格式化js后,发现改password通过md5实现加密,在Watch界面输入g查看g的内容

在这里插入图片描述

放行程序后,在g.isValidate && (g.password = md5(g.password)处重新打上断点并登录

在这里插入图片描述

那么分析得出password=md5(“veenike”+md5(passwrod)+“veenike”)

在这里插入图片描述

爬虫实现

import requests
from hashlib import md5

username = '15806204095'
pwd = '123'
md5_pwd = md5(("veenike" + md5(pwd.encode('utf8')).hexdigest() + "veenike").encode("utf8")).hexdigest()
print(md5_pwd)
url = 'https://passport.lagou.com/login/login.json?jsoncallback=jQuery111306946515748870927_1618229101639&isValidate=true&username='+username+'&password=+'+md5_pwd+'+&request_form_verifyCode=&challenge=c3bebcad0648898aa58cb3f4dbf2f820&_=1618229101642'
r =requests.get(url)
print(r.text)

完整源码请关注微信公众号:ReverseCode,回复:JS逆向

onejane
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
最新拉勾JS逆向分析
猿小白的博客
09-27 922
目标网址:https://passport.lagou.com/login/login.html 重要说明:文章教程仅供参考学习,请勿用于非法用途,否则后果自负。 目录 ​ 一、接口参数分析 二、全局搜索关键词 三、加密结果验证 四、代码逻辑实现 一、接口参数分析 通过经验分析,password应该是经过md5进行加密的,我们通过全局搜索一下password找找看。 二、全局搜索关键词 通过全局搜索关键词password=,可以找到password的核心加密位置。..
某勾网之登录过程逆向
shanf7921的博客
09-07 3万+
拉勾网的登录过程逆向,包含请求头(X-S-HEADER、X-K-HEADER、X-SS-REQ-HEADER等) 以及 请求参数/返回数据的加解密。
2023版拉勾逆向wbepack版
qq_43122187的博客
12-31 1038
接下来改写加密函数,前面分析过T的定义就不再讨论了,做过webpack逆向的小伙伴都知道webpack需要补模块就是T = r(517)中的517模块,但是我们再修改加载器的时候就发现了里面有517模块,那能不能使用呢?查看代码发现这次的加载器代码和以前的有点不一样,定义了一些模块放在分发器之前,还有就是格式上有一些不同我们需要修改一下。可以看到请求头中有三个参数是加密的,而又有两个参数的值是一样的,所以只需逆向X-S-Header即可。一是webpack,Tt的定义可以再加载器文件中找到;
JS爬虫实战之极验四代
最新发布
CSDN_Xying的博客
07-11 1304
极验四代保姆级教程
【2022-01-11】JS逆向之拉钩登入(上)
骑毛驴的猴的博客
01-11 3200
文章仅供参考,禁止用于非法途径 文章目录前言一、页面分析二、加解密定位总结 前言 目标网站:aHR0cHM6Ly93d3cubGFnb3UuY29tLw== 一、页面分析 先来看下登入的接口吧,login.json这个,提交数据是加密的,看这样子一般都是AES了 (PS:前面流程会有jy无感+有感套餐,这里就略过,只讲数据的加解密) 二、加解密定位 既然判断出是AES,直接全局搜AES,然后每个下断点即可,然后重新点下登入,出发断电,这里可以看到入口参数t,然而t一看就不是明文,里面还有个code
【2022-01-19】JS逆向之拉钩登入(下)
m0_67390773的博客
03-02 158
文章仅供参考,禁止用于非法途径 文章目录 前言 一、页面分析 二、加解密定位和分析 三、测试 前言 年末实在是太忙了,这篇文章打开了好几次,终于拼凑完了 上篇【2022-01-11】JS逆向之拉钩登入(上)讲到了加密用到的aeskey,这篇继续讲 一、页面分析 这个https://gate.lagou.com/system/agreement 接口是激活aeskey的,然后回返回secretKeyValue,用于后续请求头里的X-SS-REQ-HEADER 和 X-K-HEADER 然后这个X-S
JS逆向之爱拍password
onejane
04-13 163
http://www.aipai.com/ 抓包 登录url: POST http://www.aipai.com/login.php 参数: action: loginNew user: 15806204095 password: 202cb962ac59075b964b07152d234b70 keeplogin: 1 comouterTime: 1 userNowTime: 1618281089 分析 参数中只有password加密,搜索/login.php,出现在了sea.js,header.js
password2逆向
12-23
淘宝登录接口的password2参数逆向js全代码
JS逆向之5173password
onejane
04-26 349
抓包 登录URL: POST https://passport.5173.com/?returnUrl=http%3A//www.5173.com/ 参数: smsLogin: 0 userName: 15806204095 password: 6a771c7ecf7ebe2c3d4c0075cdb96ae5 mobileNo: smsCaptcha: category: passpod: __validationToken__: 1680e6a3947c43aea45d83e69b0d7291 _
求助帖--拉钩登录中的challenge参数
进入python的世界-killeri
01-12 1316
这是一个求助帖,今天在练习爬虫时模拟登录拉勾网。有一个challenge参数,虽然用chrome断点判断出了它的值,也知道在哪个请求里可以得到哪个值,但是生成challenge参数的请求我怎么也构造不出来,因为他是一个post请求,它的请求体是一个request payload,但是不是字典形式的,而且每次都不一样。以下是我的分析过程。 首先,我们找到登陆的data 可以看到有一个password...
关于爬虫如何做js逆向的思路
04-26
阿里云资料ppt讲解介绍 来越的的公司注重数据,如何断绝他人独立网站数据是如今互联网公司的一个主题。js加密作为爬虫一个绕不过的关卡,如何更加有效率的破解加密参数,相信这节课会给你一个大概的思路。
Js逆向实现滑动验证码图片还原的示例代码
10-15
主要介绍了Js逆向实现滑动验证码图片还原的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
修改拉勾网的JS,跳过手机号码检测
skyer_lei的专栏
07-03 2767
本人在新加坡工作,近期想回国发展。拉勾网早有耳闻,就先来这里投递简历了。 在第一次投递简历的时候,会弹出下面的个人信息 确认界面,可是我只有新加坡手机号码,没有国内手机号码,就无法手机号码检测正常投递简历。我先给拉勾网客服发邮件,但是过了3天都没有回复。。。。 如果这个检测只是front end的JS检测而没有back end的检测的话,只要浏览器里修改下JS代码,就能通过这个检测
极验滑块js逆向
热门推荐
weixin_58584029的博客
03-19 12万+
登陆抓包后发现上传了几个参数,gt是别的包请求回来的,不做分析,w是要分析的加密参数。稍微正经的点公司,一般都是另外请求服务器,得到几个加密方法用的的几个值,多次刷新后发现几个值是变化的,返回的内容如下,八成是加密参数用到的。 然后一步步跟栈,找到加密位置 ,w是h + u所得到的结果,l是h用到的一个参数,那打上断点进入到第一个加密逻辑里面。 进入后发现没有vm虚拟机跳转,整体加密过程可能是在一个自执行方法里进行的。 进入后发现这个t值位空,并没有传值进去,往下看发现他是new了一个方法,...
JS逆向---极验三代系列详解-最全流程(三)分析JS, w值参数生成最终值
m0_52336378的博客
02-04 2060
原创文章,请勿转载!本文内容仅限于安全研究,不公开具体源码。维护网络安全,人人有责。JS逆向—极验三代系列详解-最全流程(一)分析接口,底图还原部分JS逆向—极验三代系列详解-最全流程(二)分析JS, w值参数生成-RSA算法部分JS逆向—极验三代系列详解-最全流程(三)分析JS, w值参数生成值最终值后续更新。
极验滑块(8-16,js逆向
weixin_44772112的博客
08-16 2283
网址:aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby9zbGlkZS1mbG9hdC5odG1s 一、抓包分析 无痕模式,刷新页面, 这里第一次获取gt和challenge 然后携带gt和challenge请求…gettype.php?..网址(保持session) 然后就是第三个请求,这里的w可以设置为空(保持session) 走完前三个流程后,就真正开始分析了 点击验证按钮,携带的参数中gt和challenge是上面已经拿到的 然后分析返回的数据,这里注意gt和c
js逆向之过无限debugger
05-15
过无限debugger是一种常见的JavaScript逆向技巧,它可以绕过网站的 JavaScript 代码保护,使得黑客可以在网站上执行任意的 JavaScript 代码。具体步骤如下: 1. 打开浏览器的开发者工具(F12)。 2. 在 Sources ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

onejane

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值