JS逆向实战1——某省阳光采购服务平台

最新推荐文章于 2025-04-07 11:04:18 发布
原创 最新推荐文章于 2025-04-07 11:04:18 发布 · 683 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #前端 #java

文章介绍了如何通过抓包发现并分析动态请求参数,特别是params的变化,以及如何利用JavaScript生成类似于时间戳的t参数。作者强调了内容仅用于学习交流,禁止非法使用,并提供了JS代码示例来创建类似参数。同时,提到了Python实现虽未展示,但相对简单。

声明

本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!

参数分析

我们首先通过抓包

发现这个就是我们所需要的数据
然后我们通过fidder 发起请求

结果:

通过我们反复测试 发现这个params的参数是每次请求中都会变化的

断点查找

我们通过 这个t参数 可以看到 和时间戳有些相近,我们可以投机取巧一下
直接搜索
Date.parse(new date())

二次分析

通过几次分析可知

上述代码就是我们所需参数
然后我们魔改一下

js代码如下:

function get_t() {

    var chars = "0123456789abcdef";
    var curTime = parseInt(Math.random() * (9999 - 1000 + 1) + 1000) + "" + Date.parse(new Date());
    var sig = chars.charAt(parseInt(Math.random() * (15 - 15 + 1) + 10)) + chars.charAt(curTime.length) + "" + curTime;

    var key = "";
    var keyIndex = -1;
    for (var i = 0; i < 6; i++) {
        var c = sig.charAt(keyIndex + 1);
        key += c;
        keyIndex = chars.indexOf(c);
        if (keyIndex < 0 || keyIndex >= sig.length) {
            keyIndex = i;
        }
    }

    var timestamp = parseInt(Math.random() * (9999 - 1000 + 1) + 1000) + "_" + key + "_" + Date.parse(new Date());
    var tkey = "";
    var tkeyIndex = -1;
    for (var i = 0; i < 6; i++) {
        var c = timestamp.charAt(tkeyIndex + 1);
        tkey += c;
        tkeyIndex = chars.indexOf(c);
        if (tkeyIndex < 0 || tkeyIndex >= timestamp.length) {
            tkeyIndex = i;
        }
    }
    return {sig, timestamp, tkey}
}

python代码很简单 这里就不展示了。

web爬虫逆向笔记:js逆向案例一(AES加解密)
qq_49268524的博客
03-09 1493
1js逆向案例 2、AES加解密 3、逐步分析还原实现
js逆向案例-某知x-zse-96补环境与扣逻辑
十一姐的博客
02-25 2386
目录 一、流程简单了解 二、补环境的方式 三、扣算法的方式
Py爬虫之 js逆向实战:某案例
记录开发和安全学习过程中的点点滴滴
04-19 3005
在渗透学习的过程中,我们在测试未收权访问中,包括我们进行fuzz,都是需要获取js文件中的接口,然后进行进一步利用的,当然说这么多的根本原因是,越来越发现网络安全是一个全栈的学习路线,需要学习各种各样的知识,来提高自己的挖掘和利用能力,于是有了今天的这篇文章.
javascript逆向引用的小例子
hftyhv的博客
11-10 428
javascript逆向引用的小例子
JS逆向实战案例3——某房地产响应DES解密
zhu6201976的博客
01-12 2408
JS逆向实战案例3——某房地产响应DES解密
7天JS逆向实战讲解教程-视频教程网盘链接提取码下载 .txt
03-03
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下。 ...
7天JS逆向实战讲解教程-2.9G网盘链接提取码下载.txt
03-29
js逆向是让爬虫萌新们比较头疼的一块领域,因为市面上大部分的爬虫书籍等教程都未涉及这方面知识,需要爬取用js加密的网站时常常无从下手,只能使用selenium等自动化框架来模拟人工点击。但这种方式往往效率低下 ...
Python爬虫:小程序逆向实战教程——探索前沿技术与应用
最新发布
Sapphire521的博客
04-07 1546
随着小程序的广泛应用,它们不仅成为了商业和服务的一种重要形式,也为开发者提供了更多的创新机会。然而,很多时候我们需要对小程序进行逆向分析,以获取更深层次的功能、数据、接口以及运行机制。在本文中,我们将探讨如何通过Python爬虫进行小程序逆向实战,包括技术分析、经典代码示例、高级技巧、行业数据、趋势分析以及实际应用案例,帮助开发者掌握如何有效地逆向分析小程序,发掘隐藏的潜力。
Python爬虫进阶 JS 解密逆向实战.zip
03-23
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。...
[JS逆向]对某省人才服务平台政策数据爬取
qq_52688128的博客
11-16 1875
js逆向
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释)
热门推荐
五包辣条的博客
07-12 1万+
假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。
JS逆向案例】某产业大数据平台进制流参数逆向
m0_70423491的博客
09-20 1703
JS逆向案例】某产业大数据进制流逆向分析,hook破解无限debugger
js逆向案例三
十一姐的博客
06-04 4500
目录零、概述三、其它js混淆(⭐⭐)1、案例7_百变ip_eval2、案例8_聚合图床_sojson_v63、案例9_SH行政处罚_sojson_v6 零、概述 难度系数一颗星,简单的js逆向,适合初级新手练习,每个案例1小时内可完成破解 涉及到md5、aes、des、rsa,本地需安装node环境,然后再安装crypto-js库: npm install -g crypto-js base64、des、aes、rsa、eval加密解密、url码工具 eval之js的加密解密工具 sojson_v6、v
js逆向案例 | 加速乐反爬逆向
海哥python的博客
07-08 2708
前言 加速乐作为一种常见的反爬虫技术,在网络上已有大量详尽深入的教程可供参考。然而,对于那些初次接触的人来说,直接面对它可能仍会感到困惑。 声明 本文仅用于学习交流,学习探讨逆向知识,欢迎私信共享学习心得。如有侵权,联系博主删除。请勿商用,否则后果自负。 什么是加速乐? 加速乐采用了一系列的高级反爬虫技术,包括OB混淆、动态加密算法和多层Cookie获取,以确保整体校验的严密性。关键校验字段位于Cookie中的__jsl_clearance_s。其验证过程通常涉及三次关键的请求: 首次请求:当用户
JS逆向100题——第2题
weixin_44084602的博客
10-22 1212
某数据网站MD5加密参数构造
JavaScript逆向技术
前端御书房
05-07 1984
JavaScript逆向的目的,就是通过对这些经过处理的代码进行反混淆、解密或解压缩,还原出原始的代码逻辑,从而理解其工作原理或寻找潜在的安全漏洞。然而,JavaScript逆向技术仍在不断发展和完善中,未来的研究方向包括更高效的反混淆和解密算法、更精确的动态执行和调试技术等。同时,我们也应该意识到,JavaScript逆向并非万能的。此时,我们需要借助内存分析工具(如浏览器的Memory tab),对JavaScript对象的内存占用、引用关系等进行深入分析,以提取出隐藏在内存中的关键数据。
逆向案例二十六——新问题加密js代码是由eval函数运行的,中国观鸟记录中心参数逆向
m0_57265868的博客
07-19 803
报错,因为encrypt是JSEncrypt()对象,而这个对象中是没有这个函数的,这就是用库的弊端,但是全扣代码,太麻烦了。还记得原型链吗,这个函数是他自己定义的,这种情况我们怎么处理?beforeSend提示我们,在发包之前,经过这个函数加密。进入,k.beforeSend ,这是一个函数,发现创建了一个映射页面,里面有函数。由代码可以知道,c就是时间戳,d是requestid,f是sign。可以比较清楚的看到加密的结构,但是这不是在浏览器中,还是无法打断点分析。现在代码没问题了,我们做小的调整。
爬虫js逆向分析——x平台(实现)
ericf
01-25 2085
逆向出来用到的js代码,之后用python执行它,把下面文件保存为v1.js文件,与python文件在同一个目录。(仅供学习,本案例只是分析流程没有账号)网址:https://xuexi.chinabett.com/打开控制台,并勾选保存日志,然后点击登录看发送了什么请求。发送请求后,发现与浏览器登录返回的错误信息一样,成功。筛选出ajax请求。
js逆向-F12及网页重定向检测
逆向新手的博客
03-16 1730
本文只是一个简单的反调试案例,写的不对的地方希望有大佬指正。分析下来发现对F12有检测,然后触发到了一些window的api,如window.close()、window.location等。还是要多学习一些浏览器的内容,这样才能够做到知己知彼,百战百胜。
Python爬虫:JS逆向解析实战——顺序验证与请求头理解
该题主要围绕一个JavaScript逆向工程的挑战展开,目标是理解并处理动态加载的数据接口。首先,通过分析,我们发现目标网站的数据接口可能隐藏在看似无害的`3`和`3?page=xx`结构中,但实际接口参数仅包含一个名为`...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值