ast自动扣webpack脚本实战

最新推荐文章于 2025-04-04 16:05:52 发布
最新推荐文章于 2025-04-04 16:05:52 发布
阅读量7.8k 收藏 63
点赞数 12
分类专栏: javascript nodejs 文章标签: webpack javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjq592767809/article/details/122355530
版权
本文详细介绍了如何使用webpack自动化脚本(webpack_mixer.js)从加密的JavaScript模块中提取和解密代码。首先,解释了webpack作为模块打包器的作用,然后通过一系列步骤演示了如何识别和处理加载器js、函数模块js,以及在不同环境中解决依赖问题。最终,通过实际案例展示了如何完整地解密和重构加密的代码,包括密码加密和请求体加密的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ast自动扣webpack脚本实战

webpack是什么

webpack是一个现代 JavaScript 应用程序的静态模块打包器(module bundler),通俗来讲,我的理解就是把你在加解密过程中要调用的模块打包成为一个JS文件,然后引入它,自动展现出你要引入的资源。可能我这里说的不是很清楚,可以推荐一篇文章:https://www.cnblogs.com/Eeyhan/p/10584014.html

在这里插入图片描述

前置阅读

本文章主要是讲述脚本的使用方式,而js的分析过程在本文中会省略。文章中实战的来源于下方网址,请先阅读下方网站中的分析过程,再尝试阅读本文,会更加清晰。

阅读地址:用3个实战案例带你理解webpack

webpack自动扣代码脚本

项目地址: 渔滒 / webpack_ast

使用命令行的方式

node webpack_mixer.txt -l runtime.62249a5.js -m app.597640f.js -o webout.js

参数说明:

-l 加载器的js路径

加载器的js特征:

1.以自执行函数开头

2.定义导出函数,类似 return e[n].call(r.exports, r, r.exports, d), r.l = !0, r.exports

3.为导出函数添加多个方法,类似d.e,d.m,d.n等等

-m 函数模块的js路径

函数模块的js特征:

1.一般以(window.webpackJsonp开头

-o 输入结果的js路径

备注:如果js本身有检测等,需要自行补头或者其他处理

实战内容

文章中的第一个网站是猿人学的webpack,因为这个不是一个常规的,所以这里不适用,直接从第二个开始

从文章中可以知道,加密的方法来自于home.min.js这个js文件,那么直接将这个文件下载下来,这个文件就是一个加载器

在这里插入图片描述

下载完成后,把脚本文件webpack_mixer.js放到同一目录,并执行

node webpack_mixer.js -l home.min.js -o webpack_out.js

可以得到webpack_out.js这个已经扣取完成的文件,自己在同目录创建一个test.js的测试文件,直接导入文件

在这里插入图片描述

可以正常获取到所有的导出函数

在这里插入图片描述

当调用加密的时候,缺少环境。那么直接导入jsdom

在这里插入图片描述
继续运行发现ASN1未定义,主要是因为浏览器和node环境不同导致的,在下面三个位置前面加上window来调用就可以

在这里插入图片描述

再次运行得到加密结果

在这里插入图片描述
继续来到第三个实战

根据文章中的分析,密码的加密调用到了login.5170f665.js这个文件,但是这个文件只是一个模块,还要找到它的加载器app.f24d08e9.js一起下载下来

node webpack_mixer.js -l app.f24d08e9.js -m login.5170f665.js -o webpack_out.js

尝试对密码进行加密

在这里插入图片描述

出现这个错误,那么一定就是还是缺少需要的模块,经过查找是缺少了chunk-vendors.bb13f90f.js这个模块,那么继续下载这个模块放到一起

node webpack_mixer.js -l app.f24d08e9.js -m login.5170f665.js -m chunk-vendors.bb13f90f.js -o webpack_out.js

在这里插入图片描述
此时密码加密已经完成,还差一个请求体的加密,发现是调用另外一个文件DCSAPPClientAPI-0.0.0.7.js进行加密的,也下载下来

在这里插入图片描述

通过导入文件,就可以实现全部的加密了,至此实战完成

js逆向——webpack取代码
Tandy12356_的博客
09-27 2515
介绍了webpack取代码的通杀流程
JS逆向学习笔记
sinat_28371057的博客
02-13 1336
JS逆向学习笔记 寻找深圳爬虫工作,微信:cjh-18888 文章目录 JS逆向学习笔记 一. JS Hook 1. JS HOOK 原理和作用 原理:替换原来的方法. (好像写了句废话) 作用: 可以去Hook一些内置的函数, 例如Debugger, setInterval,JSON.stringify等等 2.JSHook 检测与过检测 原理: 其实就是检测代码是否和原来的相等. 绕过手段: 修改Function的.
exportific:抽象语法树(AST)简易教程,附加一个简单的源码编辑工具
03-23
Javascript就像一台精妙运作的机器,我们可以用它来完成一切天马行空的想法。 我们对javascript生态了如指掌,却经常重叠javascript本身。这台机器,究竟是哪些零部件在支持着它运行? -这时你需要懂得抽象语法树(AST)。 AST在日常业务中也许很难涉及到,但当你不止于想做一个工程师,而想做工程师的工程师,写出类似webpack,vue-cli前端自动化的工具,或者有批量修改源码的工程需求,那你必须懂得AST。 实际上,在javascript世界中,你可以认为抽象语法树(AST)是最可怕的。再往下,就是关于转换和编译的“黑魔法”领域了。 人生第一次拆解Javascript 小时候,当我们拿到一个螺丝刀和一台机器,人生中最令人怀念的梦幻时刻便开始了: 我们把机器,拆成一个一个小零件,一个个齿轮与螺钉,用简化的机械原理衔接在一起... 当我们把它重新照不同的方式组装起来
5. 药某局 webpack js逆向代码
冲击
03-08 1373
Webpack 是一个现代 JavaScript 应用程序的模块打包器。它的主要作用是将你项目中的各种资源(JavaScript、CSS、图片等)打包成少数几个文件(通常是一个或几个 JavaScript 文件),使得前端页面加载更快,并且优化开发过程。在webpack里面会有一个加载器,在网页加载的时候把函数都加载在里面 ,然后通过键值或者列表索引来调用 他是一个自执行函数如下的两种格式加载器的格式先通过下面的参数把函数传递进去,把函数存储起来,后面就可以通过把索引直接调用函数调用执行结果。
webpack利用简单的脚本实现自动代码
最新发布
qq_67590525的博客
04-04 194
这时可以看见aaa里面存储了需要的功能模块函数。最后使用简单的脚本将aaa里面的功能模块函数取出来。找到获取模块代码的位置,然后按F11或者点击开发者工具栏按钮进入webpack定义功能。输入脚本,便可以将存储在aaa里面的功能模块全部导入res;如图所示界面,然后我们可以在控制台定义一些变量来存储相关的模块函数。然后在if判断下加条件断点。定义aaa作为一个容器,存储功能模块。copy(res)来拿结果。
自动webpack脚本
ASSS55254的博客
06-29 676
自动webpack只需要在加载器初始化的时候将他断住,将下面的代码控制台输入,即可自吐webpack
浏览器webpack自动取代码
qq_42826222的博客
06-13 906
这种方式取的函数太多会取到我们不需要的函数我们查看两种方式所加载的函数的个数对比加载的函数还需要进一步处理,toString里面的函数都进行了转义,如何不进行转义呢?我们加载的函数进行加载到加载器里面,进行调用即可首次写帖,有什么改进的地方望提出建议。
[gadget] 半自动webpack
weixin_46874932的博客
12-07 1228
webpack去除没有被使用模块
webpack hook自动代码自动下载
weixin_45381845的博客
05-15 824
但是这里有个问题,在控制台输出的是一个字符串,如果直接复制粘贴到Python里面运行会报错,原因是控制台里面有很多转义符号“\”,如果我们一个个去替换,就很麻烦,而且会容易出错。针对这种情况,我找到一种笨方法,就是通过js直接把内容保存在文本里面下载到本地,下面代码是在网上找到,window.wbpk_是要保存的内容字符串。js逆向经常会遇到webpack,需要进行除模块,根据key手动搜索太慢,网上有个自动代码的脚本,玩逆向的小伙伴应该都很熟悉了。打开保存的文件,可以发现这里的转义已经正常了。
webpack-AST剖析
莫兮的博客
04-15 1469
webpack-AST 目录 文章目录前言推荐阅读拆解函数`AST`工具 - `recast`制作模具 - `recast.types.builders`如何改装实战 - 命令行修改`js`文件`recast.visit` - `AST`节点遍历`TNT` - 判断`AST`对象类型`AST`修改源码,导出全部方法`Builder`实现一个箭头函数`exportific`前端工具使用`NPM`发包 前言 抽象语法树(AST),是一个非常重要的知识 JavaScript的语言精髓 可以制作Vue, Rea
自动webpack
08-26
- *1* [ast自动webpack脚本实战](https://blog.csdn.net/zjq592767809/article/details/122355530)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
js逆向——webpack
sin_0119的博客
03-19 5672
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
利用AST解决项目webpack alias泛滥问题
weixin_33694620的博客
01-24 545
文章代码的源码仓库 AST 简单介绍 AST(Abstract Syntax Tree)既抽象语法树,或称语法树,简单来说就是代码语法结构的一种抽象表示。比如 var answer = 6 * 7; 会被解析为这么一棵树 那么代码怎样才能解析成这一棵 ASTAST在前端领域一般又可以干嘛? 编译器 ast是由编译器解析生成的,简单的编译器可以由以下几部分组成: tokenizer 分词器 ...
beike网自动webpack逆向
weixin_66580433的博客
11-11 565
可以在控制台执行以下语句,获取代码中包含o.en.encrypt(需要确保调用该函数的代码内包含o.en.encrypt,并且其他索引的函数内不能包含这个,不然会返回错误的索引号)内容的代码,并返回索引位置。发现code先调用了索引21的模块,并不是我们刚才查询得到的索引62的模块,说明在加载器中有一串代码,控制加载器先调用了索引21的模块。将本页代码拷贝并全部折叠,发现这个文件包括了加载器和模块,并且模块是用数组对象调用的,问题就是我们不知道o.en.encrypt处于索引为几的模块。
某云盘encryptMsg 加密之自动webpack
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
03-26 1272
本文主要介绍了webpack自动代码的流程。不需要ast基础。也不涉及加密的过程。网站硬的话很麻烦。特地挑一个模块多的网站去搞。着重介绍于webpack工具的使用与实现方式。这里的话。本人也开源到了github上了。本人代码写的烂。大佬勿喷,
webpack的使用小案例
trickyyoung的博客
01-13 278
webpack的安装和配置
JS逆向之Webpack自吐
qq_15326513的博客
07-15 4250
在这篇文章里面,我们重新利用两个方法来实现出代码优化代码。webpack自吐所有方法和webpack精减代码法。把这两个方法结合起来使用。一、Webpack是什么??webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块.概念:webpackJavaScript 应用程序的模块打包器,可以把开发中的所有资源(图片、js文件、css文件等)都看成模块,通过loader(加载器)和plugins(插件)对资源进行处理,打包成符合生产环境部署的前端资源。
打包神器webpack的一键式操作
qq_40665861的博客
08-19 561
创建基本的webpack4.x项目 运行npm init -y 快速初始化项目 在项目根目录创建src源代码目录和dist产品目录 在 src 目录下创建 index.html 使用 cnpm 安装 webpack ,运行cnpm i webpack webpack-cli -D 如何安装 cnpm: 全局运行 npm i cnpm -g 注意:webpack 4.x 提供了 约定大于配置...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值