web逆向-webpack代码自吐

原创 已于 2025-05-29 17:47:50 修改 · 1.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript

于 2025-05-29 16:49:39 首次发布

0 声明

本文仅用于技术交流

1 分析

网站:aHR0cHM6Ly9zcGEyLnNjcmFwZS5jZW50ZXIv
一个webpack练手网站
分析一下接口
一个简单的get请求,请求url中添加了一个加密参数token
在这里插入图片描述
定位加密位置的方式比较多,这里还是使用习惯用的请求拦截器,在代码中搜索interceptors.requets.use,找到了之后打断点定位
在这里插入图片描述
重新加载页面,通过堆栈去找token加密位置,发现params中的token值是e,在这里打断点
在这里插入图片描述
翻页,使断点定住,分析代码,方法i.a传入了两个参数,第一个参数是this.$store.state.url.index,发现其值固定为/api/movie,第二个参数e,是通过(page - 1) * 10计算得来,即第一页值为0,第二页值为10,依次类推,再看最重要的方法i.a,发现i并没有在在此方法内部,往上找,发现i = e("7d92"),看起来比较像webpack,还是打个断点跟一下
在这里插入图片描述
翻页的话在i处是断不住的,更加验证了是webpack,需要重新加载页面
断住了之后进入e方法内部
可以看到是一个标准的webpack的构造器,代码如下

function c(t) {
    if (r[t])
        return r[t].exports;
    var n = r[t] = {
        i: t,
        l: !1,
        exports: {}
    };
    return e[t].call(n.exports, n, n.exports, c),
    n.l = !0,
    n.exports
}

在控制台输出发现共加载了253个函数
在这里插入图片描述
按照往常的方式我们可能会把这个文件完整的复制过来,直接运行,但是会发现调用到的函数不全,是因为这个网站把一部分函数通过webpackJsonp放到了别的文件里
在这里插入图片描述
这就需要另辟蹊径,我们先把整体代码拿到本地,进行两处的修改

  1. 给代码头部添加!防止报错
    在这里插入图片描述

  2. 删除所有调用的函数
    在这里插入图片描述
    那么现在就开始补调用的函数
    我们在webpack构造器处发现r原本应该是传入的那些函数(也可叫模块),现在给置为空对象,再定义一个空对象
    在这里插入图片描述
    然后在构造器的if判断出打上条件断点wp[t] = e[t], false,之后放行在控制台输出看下总共调用了多少函数,调用多少就补多少
    在这里插入图片描述
    发现调用了47个,但是实际应该是48个,因为在我们使用条件断点的时候已经加载了7d92,但是48个函数补起来也比较麻烦,可以直接使用命令Object.entries(wp).map(([key, value]) => “${key}”: ${value}).join(", ")进行代码自吐,wp是一个object对象,使用Object.entries使其变成一个数组,在使用数组的map方法对数组内的每个元素进行解构赋值操作并返回一个新的数组,再通过join方法进行字符串拼接
    在这里插入图片描述
    直接右击复制字符串内容,插入到我们的代码中即可,别忘记补“7d92”放到最上面
    编辑器里格式化下可以看到比较清楚
    在这里插入图片描述
    之后还是做以下操作:

  • 定义window = global;
  • 在构造器下进行导出 window.duan = c;
  • 外部调用window.duan

测试下看到可以得到正确的结果
在这里插入图片描述
代码太长了,就不往文章里贴了

爬虫进阶(web逆向初步)
Roy_Allen的博客
01-16 1623
web逆向初识
js逆向——webpack实战案例(一)
Tandy12356_的博客
09-28 1679
首先通过跟栈的方法找到加密位置我们跟进u函数,发现是通过webpack加载的向上寻找u的加载位置,然后打上断点,刷新网页,让程序断在加载函数的位置u = r.n(a)
记一次Web逆向私活接单的全过程
python爬虫人工智能大数据
11-08 1485
每年双十一前后,是Python圈里的兼职接单旺季,爬虫类的私活订单会在此期间集中爆发,数量多价格高。其实,这些年业界对爬虫技术服务的需求量一直在暴增,当下早已供不应求,不平衡的供需关系使爬虫服务的价格变高。几乎所有的Python圈内人,都在利用爬虫技术接私活。本月已交付结款的订单????在这个万物互联的时代,人们在网络世界中的行为产生了大量数据,这些数据有着极大的商业价值。爬虫作为最好最快的数据采集技...
web逆向
weixin_35754962的博客
12-21 1267
web逆向是指分析和理解Web应用程序的内部工作方式,从而在未经授权访问源代码的情况下,提取和分析应用程序的功能和特征。这种技术通常被用于挖掘Web应用程序的安全漏洞,并帮助修复这些漏洞。 Web逆向的过程包括拆分Web应用程序的前端和后端,分析它们之间的交互方式,以及使用工具来提取和分析应用程序的内部结构。这种技术需要使用者具备良好的编程和调试技能,并且需要对Web应用程序的工作原理有深入的理解...
web逆向经验
cristianoxm的博客
12-22 2261
对于逆向老手而言,“补环境” 这个词不会陌生,当我们每次把辛辛苦苦扣出来的 “js加密算法代码”,并且放在浏览器环境中能正确执行后,就需要将它放到Node环境 中去执行,即对于这段 “js加密算法代码” 而言,我们补出来的环境与浏览器环境一致。将顺序执行的代码混淆成乱序执行,并加以混淆,以下两段代码的执行结果是相同的。要想 “补浏览器环境”,首先我们得知道 “js加密算法代码” 到底。补浏览器环境” 其实是补浏览器有 而Node没有的环境,即。补的越完善,我们能通杀JS环境检测越多。
Web逆向】某方数据平台正文的逆向分析(上篇--加密发送请求)—— 逆向protobuf
皮埃尔的博客
02-25 2263
序列化 (Serialization) 是指将对象转换为字节序列的过程,在序列化期间,对象将其当前状态写入到临时或持久性存储区,以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。看到writeMessage,后面有serializeBinaryToWriter关键函数,跟进去,就能再次得到此message的结构层次,一样分析,就能得出完整结构。我们在e赋值的地方下断点,看看a怎么来的,重新调试一次,主要看a怎么构成的。ok,我们到这里已经把a怎么来的理解清楚了,也明白了前面5位是怎么来的。
猿人学——web/js 逆向爬虫打卡(第一天)
m0_66044243的博客
04-02 1637
在network面板中随意搜索一个价格,定位到包的位置,然后可以看到,这是一个以json数据返回的,并且在负载中能够看到,携带了一个加密参数M,结构类似于md5加密 | 一个时间戳(这里有一个坑点,|这个符号不是英文的,而是中文,因此如果这个找错的话就搜索不到相对应的数据包了,只能用堆栈查找)(md5的结构常为16/32/40 0-9 a-f),接触密文多了后常见的几种就能够大致分辨出来,会减少很多时间。一步错就会导致加密参数的不正确性。2、JS逆向处理,这点需要具备JS语言,不说熟练,精通。
js逆向--webpack解密逻辑分析
Harden13_的博客
03-07 2378
webpack对于有研究过的人来说难度并不是很高,但是因为webpack代码,非常的繁多,一个webpack可能就是几万行代码。在逆向中对于webpack的加解密网站,一般是不建议去扣代码的,大多数解决办法是采用自。办法是把这整个js文件copy下来,然后改写一两处地方即可自主调用。这篇文章,我也是用自算法来做的。
js逆向 webpack_js逆向--webpack打包怎么办?
weixin_42271195的博客
12-23 1738
webpack打包是前端js模块化压缩打包常用的手段。同时对于后端的爬虫调试有着一下困扰。简单的认识下:https://zhuanlan.zhihu.com/p/79706247 原理性知识。1、webpack打包的特征定义上来说:自执行(例:!funtcion)函数的外边一个大的数组。举例说明:1、函数数值在自执行的函数后边(特征代码和上边原理链接有类似的代码地方)!function(t) {f...
webpack逆向实战
weixin_62819126的博客
10-14 1594
模块打包:Webpack能够识别并处理各种类型的模块(如JavaScript、CSS、图片等),并通过依赖关系图来确定它们之间的引用关系。代码转换:Webpack支持使用各种加载器(Loaders)对不同类型的文件进行转换。例如,可以使用Babel加载器将ES6+的JavaScript代码转换为浏览器可识别的ES5代码代码分割:Webpack可以将应用程序拆分为多个块(chunks),并在运行时动态加载它们。这有助于实现按需加载,提高应用程序的性能。
点点数据webpack环境
puppies的博客
03-28 1223
虽然群友已经搞出来了,但是前面扣某滑块的verifyParam参数时,扣了个webpack打包的加密,整整干了我俩个小时,中午吃饭的时候手都快抽抽了,正好这个加密又碰到了webpack打包索性就研究下怎么能快速导出下所需的函数解放一下我得双手。追进来后可以很明显看到这是一个webpack的加载器,正常我们扣的话就是把这个加载器拿出来然后打印e的值 然后在每次去页面上找缺失的e的值这样循环往复知道代码不报错位置,这样抠出来的代码,除了有点废手指外 代码逻辑还是很美观的。下断点,点击别的榜单,然后单步跟进。
逆向篇】Web逆向WebPack结构分析
MAI44的博客
12-23 3484
用需要找到这个加密代码段给扣下来,进行加密,方便我们写的爬虫或者采集工具去自动登录或者其他操作,一般前端加密代码一个难点是处理webPack打包结构的代码webpack字如其名,实际上是网页代码的一种打包机制将多个js文件(也可以是其他类型文件,比如.png)统一打包为一个js文件,一个png文件当然如果是webpack多打包机制就会生成多个js文件最终目的肯定是为了压缩代码,提高代码执行效率。好几万行代码,如果是高手能直接复制要用到的代码就当我是p话。ok.这样我们就得到了webpack加载器的代码
5个完整案例,一次性讲明白Web逆向
Python小二
01-08 1249
昨天在群里,看见有Python圈子里的朋友晒了张图,是他最近兼职赚钱的接单记录,在了解详情后我大为震撼,竟然有人单靠Python爬虫做副业就能半个月赚4W多!可仔细想想,现在正处于Python爬虫接单的高潮期,各类甲方对爬虫服务的需求量其实已经很大了,给出的报酬也很丰厚。所以对掌握企业级爬虫技术的朋友来说,兼职接单赚4W多似乎也简单。当下各领域对爬虫服务的需求量虽说很大,但其对技术的要求可一点都不...
Web逆向、软件逆向、安卓逆向、APP逆向,关于网络安全这些你必须懂_网络安全逆向
2401_83947398的博客
04-14 1408
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉优快云大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈​。
Web逆向、软件逆向、安卓逆向、APP逆向,关于网络安全这些你必须懂
xnxqwzy的博客
09-07 144
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
web逆向实战(一)-私募网
LAzzzzzzzz的博客
01-28 1431
web逆向
从开发和对抗的角度思考web网页中的接口逆向
ATFWUS的博客
03-05 1671
如何从开发和对抗的角度去思考web网页中的接口逆向
逆向
最新发布
03-26
### 逆向工程与反编译概述 逆向工程是一种通过对软件的目标代码进行分析,将其转化为更高级别的表示形式的过程。这一过程通常用于研究现有系统的内部结构、功能以及实现细节。在Java和Android领域,反编译工具被广泛应用于逆向工程中。 #### Java逆向工程中的Jad反编译工具 Jad是一款经典的Java反编译工具,能够将`.class`字节码文件转换为可读的`.java`源代码[^1]。虽然它可能无法完全恢复原始源代码,但它提供了足够的信息来帮助开发者理解已编译的Java程序逻辑。Jad支持多种反编译模式,并允许用户自定义规则以适应不同的需求。此外,其命令行接口和图形界面使得复杂代码的分析变得更加便捷。 #### Android逆向工程中的JEB反编译工具 针对Android应用的逆向工程,JEB是由PNF Software开发的一款专业级工具[^2]。相较于其他同类产品,JEB不仅具备强大的APK文件反编译能力,还能对Dalvik字节码执行高效而精准的操作。它的核心优势在于以下几个方面: - **广泛的平台兼容性**:除Android外,还支持ARM、MIPS等多种架构的二进制文件反汇编。 - **混淆代码解析**:内置模块能有效应对高度混淆的代码,提供分层重构机制以便于深入分析。 - **API集成支持**:允许通过编写Python或Java脚本来扩展功能并完成特定任务。 #### APK反编译流程及其意义 当涉及到具体的APK包时,可以通过一系列步骤提取其中的信息来进行全面的安全评估或者学习目的的研究工作[^3]。这些步骤一般包括但不限于获取资产目录(`assets`)内的资源数据;解密XML配置文档如`AndroidManifest.xml`定位应用程序启动点;最后利用上述提到的各种专用软件重现整个项目框架供进一步探讨。 ```bash # 使用apktool反编译APK示例 apktool d your_app.apk -o output_directory/ ``` 以上命令展示了如何借助开源工具ApkTool轻松拆卸目标安卓档案至易于探索的状态下。 ### 结论 无论是传统的桌面端还是现代移动端环境里头,恰当运用合适的反编译解决方案都是达成逆向工程项目成功不可或缺的一环。每种工具有各自专精之处,在实际应用场景当中应当依据具体需求做出明智的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值