【js逆向学习】极志愿 javascript+python+rpc

已于 2024-10-07 15:19:14 修改
阅读量1.6k 收藏 22
点赞数 13
CC 4.0 BY-SA版权
分类专栏: javascript 文章标签: javascript 学习 python 逆向 rpc
于 2024-10-07 11:40:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/andrew_wf/article/details/142736809

JSRPC使用方式

逆向目标

网址:https://www.jizhy.com/44/rank/school
接口:https://www.jizhy.com/open/sch/rank-list
加密参数:
- sign
- app_id

逆向过程

此目标网站前面已经分析过了,感兴趣的可以去我的主页看下具体的分析过程 大学竞争力2021排行榜, 本篇文章只介绍 rpc 的使用

逆向分析

要使用 rpc 必然要先了解websocket

1、什么是 websocket

  • WebSocket是HTML5下一种新的协议(websocket协议本质上是一个基于tcp的协议)
  • 它实现了浏览器与服务器全双工通信,能更好的节省服务器资源和带宽并达到实时通讯的目的
  • Websocket是一个持久化的协议

2、websocket的原理

  • websocket约定了一个通信的规范,通过一个握手的机制,客户端和服务器之间能建立一个类似tcp的连接,从而方便它们之间的通信
  • 在websocket出现之前,web交互一般是基于http协议的短连接或者长连接
  • websocket是一种全新的协议,不属于http无状态协议,协议名为"ws"

3、总体过程

  • 首先,客户端发起http请求,经过3次握手后,建立起TCP连接;http请求里存放WebSocket支持的版本号等信息,如:Upgrade、Connection、WebSocket-Version等;
  • 然后,服务器收到客户端的握手请求后,同样采用HTTP协议回馈数据;
  • 最后,客户端收到连接成功的消息后,开始借助于TCP传输信道进行全双工通信。
3.1 环境说明
pip install websockets
3.2 python服务端代码
import asyncio
import websockets

# 接收客户端消息并处理,这里只是简单把客户端发来的返回回去
async def recv_msg(websocket):
    while True:
        recv_text = await websocket.recv()
        response_text = f"your submit context: {
     recv_text}"
        await websocket.send(response_text)

# 服务器端主逻辑
# websocket和path是该函数被回调时自动传过来的,不需要自己传
最低0.47元/天 解锁文章
js逆向rpc远程调用(你强任你强,我无视一切)
云霄IT的博客
04-28 5170
保存成功后,把所有断点去掉,运行下面python代码,然后刷新页面,即可进行python调用了。修改完成后按 ctrl+s 进行保存,出现下载紫色点表示成功。,注:部署到服务器用flask写个接口就可以提供远程调用啦。进行(1)操作后可直接编辑js代码了,做以下修改。注意:先运行python代码再去刷新页面。资源>>替换>>随便选一个空文件夹。
js逆向进阶系列-rpc远程调用
2401_84808679的博客
07-13 1280
js逆向rpc调用
js逆向专题】12.RPC技术
情不知所起一往而深
10-24 3931
WebSocket是HTML5下一种新的协议(websocket协议本质上是一个基于tcp的协议)它实现了浏览器与服务器全双工通信,能更好的节省服务器资源和带宽并达到实时通讯的目的Websocket是一个持久化的协议为什么要使用RPC技术呢?
JS逆向靶场:encrypt-labs实现爆破登录(没有混淆)
最新发布
m0_62296424的博客
05-11 1785
(4)打开kali自带的Burp Suite,依次点击Proxy->Intercept off,开始拦截,点击登录,数据发送接口选择AES固定key,burp抓到请求包(火狐浏览器要在网络设置中配置好HTTP代理,不然抓不到包,具体配置代理可参考。(2) 打开kali自带的Firefox ESR(windows下的谷歌浏览器也可以访问,不过我的加载不出来),把IP粘贴到搜索框,并输入:82/easy/php(没有混淆),回车。,在eth0:中,inet后面的IP即为自己靶场的IP,复制。
Python爬虫之Js逆向案例(13)-某乎最新x-zse-96的rpc方案后续
玛卡`三少 的博客
11-02 2585
jsrpc的原理是利用websocket通信技术实现的通过调用socket服务,通知放在浏览器端的socket执行相关代码,拿到结果后客户端发送给服务器,然后再返回给接口调用者技术(个人理解,不一定很准确),说白了就是websocket的具体应用罢了!
jsRpc js逆向远程调用加密函数
weixin_43639743的博客
05-29 2295
RPC远程调用在js逆向中的使用,用来破解加密字段
志愿sign值逆向学习
Way_TG的博客
08-28 316
认真分析源码,其实还是挺简单得。python爬虫,欢迎交流
大佬齐聚PyCon 2019上海站,现场到底啥情况?
nightteam的博客
09-24 1378
导语 在 NightTeam 读者群里的朋友应该都知道,上周末的时候(9月21-22日),PyCon China 2019 的第一站在上海开始了,而我很荣幸地被组委会邀请到上海蹭吃蹭喝,白嫖了一个晚宴+两天的大会门票…在这里先感谢一下组委会。 既然今年的主力站是上海,那么自然而然地,更多的大佬、干货都会聚集于此。 那么今年的 PyCon 上海站,都有哪些有意思的东西呢?跟我来看看吧~ 晚宴 首先...
模糊测试--强制性安全漏洞发掘
热门推荐
软件性能测试专栏
01-20 2万+
文档分享地址链接:http://pan.baidu.com/share/link?shareid=2723797392&uk=2485812037 密码:r43x 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序
js逆向jsRpc
weixin_41318005的博客
09-04 164
github:https://github.com/jxhczhl/JsRpc简介:通过远程调用(rpc)的方式免去抠代码补环境原理:在网站的控制台新建一个WebScoket客户端链接到服务器通信,调用服务器的接口 服务器会发送信息给客户端 客户端接收到要执行的方法执行完js代码后把获得想要的内容发回给服务器 服务...
爬虫+RPC+js逆向---直接获取加密值
金灰的博客
04-10 2091
免责声明:本文仅做技术交流与学习,请勿用于其它违法行为;如果造成不便,请及时联系...
JS逆向新技术--JSRPC
Harden13_的博客
03-26 7596
RPC 技术不需要加载多余的资源,稳定性和效率明显都更高,RPC 不需要考虑浏览器指纹、各种环境,如果风控不严的话,高并发也是能够轻松实现的,相反,由于 RPC 是一直挂载在同一个浏览器上的,所以针对风控较严格的站点,比如检测 UA、IP 与加密参数绑定之类的,那么 PRC 调用太频繁就不太行了。总之 RPC 技术还是非常牛的,除了 JS 逆向,且没有针对 RPC 进行检测的话,可以说是目前比较万能、高效的方法了,一定程度上真正做到了加密参数一把梭!!
python实现的RPC例子
09-07
在win7下运行的一个thrift的简单的RPC例子。客户端向服务端发送字符串,服务端加上前缀"result"后返回。
node.jsRPC(远程过程调用)的实现原理介绍
10-25
主要介绍了node.jsRPC(远程过程调用)的实现原理介绍,本文基于一个简单的RPC库nodejs light_rpc实现,需要的朋友可以参考下
玩转 JS 逆向RPC 加持,Python爬虫效率飙升
xiaoganbuaiuk的博客
11-01 1149
一些复杂的网站针对参数是层层加密,如果选择硬刚,去扣代码、补环境,耗时耗力的同时,不一定能获取完整的加密逻辑 在 JS 逆向中,我们可以通过 RPC 通信,直接调用浏览器的方法生成加密参数,这样可以省去扣代码的时间
js逆向rpc远程调用
快乐的大大大飞猪
10-08 1708
2.js本地替换,先下断点测试一下,然后右键js代码保存以备替代,最后单独测试一下,如果下断点没走,说明断点没找对,建议用alert()测试一下。1.一般来说开启的顺序是,服务端python代码,然后是浏览器中的js代码(调试一下),最后可以按照客户端模式调用rpc加密接口。值得注意的一点是,需要替换到本地注入的js代码。例子:这里用rsa加密为例。
远程RPC调用用于js逆向
yuliana的博客
01-08 1851
初用RPC
自己写了一个python版的jsrpc远程调用
wgnms的博客
01-24 594
github上面的jsrpc是用go语言写的,需要自己编译成exe文件,虽然可以用功能也很强大。但还是想用python来实现。动手自己写一个很简单直接上代码了。简单功能实现了,够用了啊。
韭研参数逆向解析:JavaScriptPython案例
总结以上,该资源为逆向工程师提供了分析和理解特定参数“韭研”的基础,通过提供JavaScriptPython两种语言的实现,为逆向工程的实践者提供了参考和学习的机会。同时,该资源也强调了在进行逆向工程时必须考虑的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

诗雅颂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值