某平台登录-账号密码逆向分析(脱敏版)

原创 已于 2025-03-04 11:05:48 修改 · 1.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #爬虫 #javascript

于 2025-03-04 10:34:08 首次发布
部署运行你感兴趣的模型镜像

声明

本文章中所有内容仅供学习交流使用,不得用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。

若擅自使用本文讲解的技术而导致的任何意外,作者均不负责。文中若有侵权内容,请立即联系作者删除!

〇:友情提示

  1. 本文章已在微信公众号【逆向学习日记】发布,若在【优快云】中无法全部查看,可以直接点击【某平台登录-账号密码逆向分析(脱敏版)】查看。

  2. 在微信公众号【逆向学习日记】也可以阅读更多文章。

  3. 感谢关注微信公众号和阅读文章的朋友!

Ⅰ:目标

  1. 网址:aHR0cHM6Ly9sb2dpbi5kZW1vLmNuL2xvZ2luLmh0bWw/Y2hhbm5lbElEPTEyMDM0JmJhY2tVcmw9aHR0cDovL3d3dy4xMDA4Ni5jbi9pbmRleC9zZC9pbmRleF81MzFfNTMxLmh0bWw=
  2. 接口:https://login.demo.cn/login.htm
  3. 目标: account password

Ⅱ:抓包分析

  1. 首先我们先进行登录抓包,观察其接口参数和响应。在这里插入图片描述在这里插入图片描述在这里插入图片描述

  2. 我们发现 其中 account password 参数是加密了的。这个时候我们就需要进行分析他们的加密逻辑,观察调用栈,可以看到调用栈不是很长,同时可以看到前面4个含有 jquery 关键字,此时我们可以不看这几个,直接从 login 开头的调用栈进行断点分析,我们直接断点,并重新登录。在这里插入图片描述

  3. 很清楚的看到这就是 ajax 发送请求的模板,同时可以看到 params 对象包含我们的参数,并且已经加密,这个时候就需要向上观察 params 对象是谁赋值的,我们向上观察可以看到赋值的地方。其中 et 就是关键函数。此时可以断点,并重新登录。在这里插入图片描述在这里插入图片描述

  4. 我们在控制台测试,发现结果和我们之前抓取的结构很像,这时就需要进入看 et 函数的逻辑,直接单独进入。在这里插入图片描述

  5. 其实到了这一步,就很清楚是 RSA 加密了,这时我们用在线测试不好测试是否被魔改了,只有模拟发送请求。我们先用nodejs 模拟其算法。前提安装好模块。npm i node-jsencrypt在这里插入图片描述

  6. 接着我们用 python 来实现该方法以及协议模拟器登录。在这里插入图片描述在这里插入图片描述在这里插入图片描述

  7. 通过 python 模拟登录,发现 account password 就是 RSA 算法。

  8. 具体代码,可公众号回复【本文标题】获取。

Ⅲ:总结

以上就是本次分析逆向的全过程,主要就是RSA算法,由于RSA算法结果会变化,只有通过模拟调用才能测试是否正确。需要具体调试,公众号【逆向学习日记】回复【某动】获取地址。

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

数据脱敏的7种高效方法,建议收藏
AI架构师小马
08-23 1616
本文将系统梳理数据脱敏的7种高效方法,从基础的掩码替换到进阶的差分隐私,从静态脱敏到动态脱敏,涵盖理论原理、适用场景、实现步骤和代码示例。无论你是开发工程师、数据分析师,还是系统管理员,都能找到适合自己场景的解决方案。数据脱敏是通过技术手段对敏感数据进行处理,使其在保留业务价值的同时,无法关联到真实个体或泄露敏感信息。核心目标是“脱敏后的数据 ≠ 原始敏感数据”,且“脱敏后的数据仍能满足业务需求”(如测试、分析)。替换/掩码:部分隐藏(如手机号),简单高效,适合UI展示和测试。加密脱敏
对某小程序的一次渗透记录
布啦啦
03-25 1133
最近报了一个驾校,然后在报名回家以后,就开始疯狂的挂科目一的时长,突然想到这个小程序会不会存在漏洞呢,如果发现了,还可以去CNVD(https://www.cnvd.org.cn/)报一下,一是拿个积分,二是间接修复一下漏洞,毕竟自己的所有信息都在这个小程序里,不想自己有一天因为它存在什么漏洞,导致自己的信息被人偷走,所以本着保护自己的原则,我开始了一次【试探】。具体是哪个小程序,这里我就不说啦,漏洞已经报到CNVD了,写本文只是做一个分享。
JS实现:手机号脱敏、邮箱脱敏、身份证号脱敏、姓名脱敏等常见脱敏
热门推荐
如果相遇,那么你好哦~
11-09 2万+
在前端项目开发中,数据的展示与渲染是非常关键的一步。通常我们会从后端接口直接拿到数据,但是在某些情况下渲染一些隐私信息,比如身份证号,手机号等。这些我们就需要进行脱敏处理,比如前三后四的格式,又或者其它格式。这样有利于布局和保密。接下来,就让我们看一下常见的脱敏种类吧!
资金账号,手机号等中间添加*(星号),脱敏
weixin_30823683的博客
07-22 619
例:var str = '12345678'; str.replace(/(\d{3})\d{2}(\d{3})/, '$1**$2'); 效果:123**678; 详情参考:http://blog.mingsixue.com/effect/JS-phone-to-asterisk.html 转载于:https://www.cnblogs.c...
账号脱敏(加密吧)
weixin_44624120的博客
07-05 403
一个小小小功能的记录 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> <style> .box {
ios手机号和邮箱(支付宝账号)脱敏
timtian008的博客
12-24 3533
支付宝账户名(包括手机号或邮箱地址)显示必须脱敏显示。 手机号显示建议: 显示前3位 + ****** + 后2位, 如137******50 邮箱地址显示建议: @前面的字符显示3位, 3位后显示3个*, @后面完整显示如:com***@163.com , 如果@前字符少于三位, 则全部显示并在@前加***, 例如tt@163.com则显示为tt***@163.com + (NSStrin...
某酒店网站登录接口逆向分析
weixin_65215590的博客
09-05 1471
本文章分析了某酒店登录接口的加密机制,重点破解了password参数的AES加密和sw参数的MD5加密。详细说明了如何通过调试JS代码还原加密算法,包括随机字符串生成、账号参数处理等。同时解析了验证码接口的imagekey生成方式,并推荐使用ddddocr进行识别。文章指出该案例难度适中,涉及AES和MD5等基础加密算法,适合逆向学习入门练习,旨在为安全研究学习者提供参考。
B站login逆向-极验分析
weixin_44697518的博客
04-23 1546
我开了个知识星球,把本期的成品已放到了里面,有需要的小伙伴可以自行去取,jd的参数,阿里bxet纯算、快手滑块,Pdd—Anti,ikuai,b站login之-极验3文字,某音ab等等,主要是某些大佬加我问成品,很多人都打着白嫖的手段去加我好友为目的,问完基本就以后没有任何的交集,这样的交好友雀氏没有任何意义。星球如果你们遇到了什么问题的话,也可以直接提出来,我肯定以我最大的能力去回答,后续的话,随着知识星球的作品越来越多,涨价是必然的。往上追溯是个异步,从控制流找到个异步,单步追踪。
Js逆向 某花顺登录滑块逆向
Bushixiana的博客
08-20 1634
本文分析了某网站账号登录及滑块验证的实现流程,主要包括五个关键请求步骤:获取预处理参数、获取加密参数、滑块校验、获取滑块图片和最终登录校验。重点解析了随机数生成、RSA加密、滑块距离计算等核心算法,并提供了Python实现代码片段。文章指出滑块验证需调整滑动距离偏差以提高识别率,登录阶段涉及多重加密流程。
【验证码逆向专栏】某安登录流程详解与验证码逆向分析与识别
K哥爬虫
08-06 1632
最近知识星球有粉丝表示自己在逆向某安的过程中有一些疑惑,过来咨询,K 哥一向会尽力满足粉丝需求。本文就对某安进行深入研究,包括登录接口逆向、验证码识别、风控等方面进行全方位的分析
某东登录参数与流程分析(包含滑块)
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
03-06 1525
上次介绍了H5st的加密。这次来研究一下模拟登陆。即登录+滑块这里先贴一张图 下图所示 是登录要的所有参数。至于所得所有参数 怎么来的?如何来的?请往下看。有能力的同学可以加下本人星球哦很好 这里该解密的都解密的都解密出来了。这里简单叙述一下流程其实就三个请求。g请求拿到验证码a. 但是 e呢 需要访问fcf请求b. fcf请求需要逆向e,g,ds请求根据g请求返回结果a. e参数同上b. d参数是通过加密轨迹得到。loginService请求 发起请求。
js逆向-国密SM2初探
逆向新手的博客
07-29 1663
无意中看到一个网站采用国密SM2算法进行登陆参数进行加密,之前接触的加密基本都是国外的算法,例如RSA、DES、MD5等等。国密接触的比较少,所以分析一波。SM2算法简介。
动态Token生成机制大揭秘(基于v1.5.7分析):透视京东接口安全演进的5层防护
# 接口安全的现代攻防:从京东动态Token看移动防护的演进 在今天这个自动化脚本横行、黑产工具链高度成熟的时代,你有没有想过——为什么你在“双十一”抢不到一台iPhone,却总有人能秒光限量款?...
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
solarset的博客
12-04 1316
团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)等认证,已构建了网络安全行业合格的资质体系;
python __init__.py的意义与使用
CoolGirl
12-19 775
本文介绍了Python中利用__init__.py文件优化模块导入的两种方式。当__init__.py中已导入子模块时,外部可直接使用简洁导入语句(如from project.input import FileInput);若未导入则需完整路径导入。通过示例对比展示了不良设计(需完整路径导入每个子模块)和良好设计(在__init__.py中集中导入并定义__all__),后者使主程序导入更简洁清晰。合理使用__init__.py能显著提升代码可读性和维护性。
MobaXterm 高效运维实战:从入门到进阶的 Linux 运维 “瑞士军刀” 用法
hy行者勇哥的博客
12-18 826
MobaXterm 作为 Linux 运维的 “全能工具包”,不仅集成了 SSH 终端、SFTP 文件传输、X11 图形转发等基础功能,更隐藏着批量执行、宏命令、会话分组等高级特性,能轻松解决新手常遇到的 “重复操作繁琐”“多服务器切换麻烦”“文件传输低效” 等痛点。本文用 “运维指挥中心” 的通俗比喻,拆解 MobaXterm 的核心架构,针对 Linux 运维中的高频问题,分享可直接上手的高级技巧与自动化脚本案例,帮助新手快速从 “手动跑腿” 升级为 “高效指挥”,大幅提升运维效率。
[Python实战] 解决Outlook同步中的字符编码问题:表情符号也能正确处理了!
每日出拳老爷子的博客
12-16 250
摘要:本文分享了在使用Python同步Outlook会议信息时遇到的GBK编码问题解决方案。当处理包含表情符号(如📧)的会议内容时,Flask返回JSON会报"'gbk' codec can't encode"错误。作者通过封装ensure_utf8函数对文本进行UTF-8编码处理,同时建议设置Flask响应头编码为UTF-8和调整控制台输出编码,有效解决了特殊字符导致的编码异常问题。文章提供了从问题分析到完整解决方案的实践过程,适用于处理Python中的Unicode编码问题。
C++23中的模块应用说明之一基础分析
最新发布
fpcc的专栏
12-20 518
C++20模块机制解析:摆脱头文件困境的新范式 本文分析了C++20引入的模块机制,旨在解决传统头文件带来的编译污染、命名冲突等问题。模块通过export显式控制接口导出,提供更安全的代码组织方式。文章详细介绍了模块应用的五个方面:接口与实现分离、export规则限制、文件命名规范、全局模块片段(兼容传统头文件)和私有模块片段的使用方法,并提供了具体示例代码。与Go、Java等语言的包管理机制类似,C++模块通过显式接口导出和严格作用域控制,实现了更高效的编译管理和更清晰的代码组织。作者建议开发者参考其他语
Python 数据序列化与反序列化全景解析:从基础到最佳实践》
windowshht的博客
12-17 1034
本文全面解析Python数据序列化与反序列化技术,涵盖JSON、Pickle、CSV、YAML等常见格式,并深入探讨自定义序列化、异步处理、分布式系统应用等高级主题。通过实战案例展示Web API交互、机器学习模型保存、自动化配置管理等场景的最佳实践,同时展望Protocol Buffers等前沿技术。文章既适合初学者掌握基础,也为资深开发者提供性能优化与安全合规的进阶指导,是Python数据处理领域的实用指南。
Android登录界面账号密码记忆功能实现
在Android平台上开发登录界面时,实现记住账号密码的功能是一个常见的需求。这不仅可以提升用户体验,还可以让用户在重新登录时无需再次输入账号和密码,从而提高应用的易用性。以下,我们来详细探讨在Android开发中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值