- 博客(147)
- 收藏
- 关注
RSS订阅原创 某某通的接口分析记录(js逆向)
请求接口的载荷本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
2025-03-30 10:50:44
521
原创 音乐webpack(通杀webpack-1)
在i处下一个断点,刷新进去,看一下该逻辑的参数,发现最后o(t.data)函数返回值被i接收。然后把vendor.chunk.ab的代码也复制下来,加载器大概两百多行,这个两万多行,调用的是n(350),然后返回的值为i,下面直接传给sign,所以说要找的就是i。但是不知道为什么一直请求不到了,是因为search_id的问题吗?看一下载荷,第一个是时间戳,第二个是sign,是我们接下来的目标。单步进入加载器,直接把整个加载器抠出来。刷新一下,这是我们要逆向的接口。是能正常构造出来的,然后写一下py的请求。
2025-03-25 15:31:38
415
2
原创 scrapy_yield详解
在for循环执行时,每次循环都会执行fab函数内部的代码,执行到yield b时,fab函数就返回一个迭代值,下次迭代时,代码从 yield b 的下一条语句继续执行,而函数的本地变量看起来和上次中断执行前是完全一样的,于是函数继续执行,直到再次遇到 yield。yield 的作用就是把一个函数变成一个生成器(generator),带有yield的函数不再是一个普通函数,Python解释器会将其视为一个generator,单独调用(如fab(5))不会执行fab函数,而是返回一个 iterable 对象!
2025-03-23 11:36:46
765
原创 py中的迭代器与生成器有什么区别
•迭代器:更底层,适合需要完全控制迭代逻辑的场景。•生成器:更简洁高效,适合处理大数据流或异步任务。•核心公式生成器 = 迭代器 + 惰性计算 +yield语法掌握二者区别后,可以更灵活地选择工具优化代码性能和内存管理。
2025-03-23 11:35:35
255
原创 http请求常见返回状态码
所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。该状态码表示请求的资源已被分配了新的URI,以后应使用资源现在所指的URI。请求的资源已被永久的移动到新URI,返回信息会包括新的URI,浏览器会自动定向到新URI。只能切换到更高级的协议,例如,切换到HTTP的新版本协议。当301、302、303响应状态码返回时,几乎所有的浏览器都会把POST改为GET,并删除请求报文内的主体,之后请求会自动再次发送。该状态码表示客户端发送附带条件的请求时,服务器端资源已找到,但未符合条件请求。
2025-03-20 12:24:23
777
原创 scrapy入门(深入)
首先在items中定义一个需要爬取的数据结构# 创建一个类来定义爬取的数据结构那为什么要这样定义:在Scrapy框架中,是用于定义Item字段的特殊类,它的作用相当于一个标记。数据结构声明每个Field实例代表Item中的一个数据字段(如你代码中的name/title/url),用于声明爬虫要收集哪些数据字段。元数据容器虽然看起来像普通赋值,但实际可以通过Field()传递元数据参数:在这里定义变量之后,后续就可以这样进行使用item['name'] = '股票名称'
2025-03-20 12:06:51
1490
原创 控制流平坦化(js逆向知识)
平坦流就是把原来的js代码逻辑放到一个又一个case中,使用switch包括,然后再每一个case中处理逻辑,还可以在case中跳到下一个case语句中,从而实现代码的混淆。这里的u.sent是什么呢?这里的u.sent是上一个执行逻辑,也就是说这里的。
2025-03-19 18:10:52
465
原创 webpack初识(js逆向)
这里每个括号包括着的字符串都相当于一个函数,但是他们的逻辑在其他地方大概长这样作用就是把打包过的函数放到一个全局缓存里边。
2025-03-19 18:08:56
673
原创 过无限dubbger(js逆向)
今晚被某网站的无限debugger整的很烦,我之前笔记中记得使用油猴插件进行的debugger也失效了,于是我就想一探究竟,网站的debugger到底是什么原理?那么什么是debugger,过debugger的方法都有哪些?
2025-03-18 15:30:45
711
原创 js中的各种参数hook(js逆向)
首先下载油猴插件,进行一些初始配置其中我们可以在里面加上一个参数@run-at编辑好hook代码之后,直接命名好,保存并开启就好啦!就像这样。
2025-03-17 19:58:03
856
原创 hexo博客上传阿里云服务器(绝对详细!)
大家部署中的一些问题都可以在这里找到,包括域名购买,解析,备案,服务器购买,配置,搭建,hexo博客上传,一应俱全
2025-03-17 01:58:19
760
原创 王者荣耀道具页面爬虫(json格式数据)
首先这个和英雄页面是不一样的,英雄页面的图片链接是直接放在源代码里面的,直接就可以请求到,但是这个源代码里面是没有的。虽然在检查页面能够搜索到,但是应该是动态加载的,源码中搜不到该链接。然后就去看看是不是某个接口中返回的数据。估计一些数据在这里面,我们下载下来试试。没错,那接下来就是简单的拼接了。刷新了一下返回了一个json。
2025-03-15 15:51:59
1242
原创 米米账号接口逆向
链接:aHR0cHM6Ly9hY2NvdW50LnhpYW9taS5jb20vZmUvc2VydmljZS9sb2dpbi9wYXNzd29yZD9fbG9jYWxlPXpoX0NO首先请求两次登录接口,发现只有user和hash不一样的。
2025-03-15 15:19:46
1366
原创 第十四届蓝桥杯大学b组c++
插一嘴:1、产生闰年原因:地球绕太阳运行周期为365天5小时48分46秒(合365.24219天)即一回归年(tropical year).公历的平年只有365日,比回归年短约0.2422 日,所余下的时间约为四年累计一天,故四年于2月加1天,使当年的历年长度为366日,这一年就为闰年.
2025-03-04 18:36:50
319
原创 黑马管理系统综合案例(springboot)
那么对于阿里云的配置文件,可以直接放到springboot配置文件中的application中,java提供了value注解,通常用于外部配置的属性注入,具体用法为:@value(“${配置文件中的key}”) – 参数配置化。那么这个list方法的实现在deptservicelmpl.java文件里面,移步到该文件,定义了list方法和delete方法。然后方法里的deptMapper.list()又调用了deptMapper里面的方法,将数据库返回的数据相应到了list里边,这是我原来的page方法。
2025-03-03 11:23:57
868
原创 百度搜索引擎爬取,另外安全验证机制
在网上也找了很多方法,包括但不限于(requests库更换urllib.request库,更换代理,加入cookie,添加force_refresh参数,更换http请求)目前加了代理,并且更改了一些其他功能,第一次请求反正没问题,不知道后来怎么样。有的虽然可行,但是请求了一两次就直接寄了,大家有没有什么比较稳定的方法?百度的安全验证逻辑应该就是某个ip多次请求会给你封一段时间吧。功能,第一次请求反正没问题,不知道后来怎么样。
2025-03-03 11:21:24
551
原创 什么是tomcat
Tomcat 是由Apache软件基金会开发的一个开源的轻量级Web服务器,主要用于部署和运行Java Servlet和JavaServer Pages (JSP) 技术构建的Web应用。对于Java开发者来说,Tomcat是一个非常重要的工具,它为开发、测试和部署Java Web应用程序提供了必要的环境。
2025-02-19 22:03:31
347
原创 基于VirtualBox虚拟机部署完全分布式Hadoop环境
系统搭建首先创建一个新用户hadoop并且分配权限,切换到hadoop用户下成功切换然后可以先克隆一下另一个虚拟机,为了之后的相互通信直接点击虚拟机右键克隆即可但是这里有一个问题,就是在克隆之后两个主机的/etc/hosts里面的ip地址是相同的,待会在传输公钥的时候无法正确生效,所以可以先更改一下两台虚拟机的ip地址和映射,这个是需要的ip地址克隆虚拟机(salve01):主虚拟机(master)安装ssh这里已经安装过ssh公钥传输完毕对另一个主机名也是一样的配置,复制完公钥后删除
2025-02-19 22:00:30
824
原创 springboot请求响应(springboot)
类上有@RestController注解或@ResponseBody注解时:表示当前类下所有的方法返回值做为响应数据,方法的返回值,如果是一个POJO对象或集合时,会先转换为JSON格式,在响应给浏览器。因为日期的格式多种多样,那么对于日期类型的参数在进行封装的时候,需要通过@DateTimeFormat注解,以及其pattern属性来设置日期的格式。默认情况下,请求中参数名相同的多个值,是封装到数组。数组集合参数的使用场景:在HTML的表单中,有一个表单项是支持多选的(复选框),可以提交选择的多个值。
2025-02-18 22:19:56
909
原创 spring分层解耦(springboot)
使用以上四个注解都可以声明bean,但是在springboot集成web开发中,声明控制器bean只能用@controller。所以java会默认扫描启动类所在包及其子包,但是如果bean在启动类所在包之外,那么该组件不能生效。声明bean的时候,可以通过value属性指定bean的名字,如果没有指定,默认为类名首字母小写。高内聚:软件中各个功能模块内部的功能联系紧密,每个模块的功能实现具体。service层以及dao层的实现类,交给IOC容器管理。低耦合:软件中各个层/模块之间的依赖,关联的程度低。
2025-02-18 22:18:57
252
原创 青果教务系统逆向(js逆向)
doBarLogin函数对params初始赋值,除去document后如下,缺什么补什么。里边需要验证码登录,我们看一下第一次免密码登录是否需要验证码,这里打断点试一下。那就一个一个看呗,第一个是params,直接搜,可以看到它是在这里定义的。可以看到登录函数在checkrand中,直接去全局搜索函数。这是我们发起请求需要的参数,把这几个参数加进去直接登录就行。那么所有的参数都知道了,自己填进去即可,直接赋值就行。在这里,打个断点直接跳进去。可以看到参数在这里形成。嗯对,,,这是个半成品。
2025-02-14 15:28:23
1004
原创 acwing算法全总结-数学知识
如果b的二进制最小位为1,那么进入进行计算,比如8是100,那么第一位不计算,a在下一句进行累加取余,b去掉最小位,第二位不计算,a继续累乘取余,在第三位进行乘。每次把质数存在primes数组中,然后开始循环遍历数组,每一次把primes[j]*i筛掉,也就是被它的最小质因子筛掉,每次只筛一个,不重复,所以在o(n)的时间内得出结果。我们可以考虑这个情况:当p=1,b=0时,无论a取何值,循环都不会进入,那么如果这里不对q求余,那么res=1,可是正确答案为res=0;这里给出一个问题:求。
2025-02-13 20:01:07
643
原创 一个非常恶心人的编码错误(python调用execjs编码错误)
排除方式:引用的js文件种,是否有 未定义变量,是否有使用的库没有引入,例如使用 console.log(),这个库在js文件执行的时候不会用问题,但是通过python 的execjs 库使用 该JS 文件的时候,就会出现如上方式。https://blog.youkuaiyun.com/qq_35484495/article/details/143422112 这位大佬。解决了,今晚非常开心,我自己一直找都没有找到这个解决方法,果然计算机有时候就是玄学。另外我把这串密文直接复制到js代码的时候,它能正常解密!
2025-02-08 23:30:58
299
原创 什么是DDOS网络攻击?
攻击原理DDoS攻击的核心在于利用大量分布式设备(僵尸网络)制造超出目标系统承载能力的流量或请求,从而导致合法请求无法得到响应。防御措施流量清洗:借助专业服务商(如Cloudflare、阿里云盾)实时过滤异常流量。CDN加速与Anycast路由:分散流量,降低单点负荷。安全设备与策略优化:部署防火墙、入侵检测系统,定期更新安全策略,确保设备和服务软件均为最新版本。物联网设备管理:加强物联网设备的安全配置,防止其成为攻击者控制的跳板。
2025-02-08 12:29:51
1330
原创 油猴插件hook的基本用法(非常详细)
首先下载油猴插件,进行一些初始配置其中我们可以在里面加上一个参数@run-at编辑好hook代码之后,直接命名好,保存并开启就好啦!就像这样。
2025-02-05 11:40:00
464
原创 vue2语法速通
首先,git clone下来的项目要npm install下载依赖,如果是vue项目,运行通常npm run serve或者npm run dev。
2025-02-04 21:42:20
834
原创 scrape登录(js逆向)
进入encode,处理from后进行加密。首先这一段复制js,缺什么补什么,可以 看到token进行了加密。可以直接去全局搜索token。可以看到在这里进行了加密。
2025-02-02 11:20:42
940
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人