某招标采购网逆向参数分析【加密函数逆向】(第三期)

最新推荐文章于 2025-12-22 21:38:10 发布
原创 最新推荐文章于 2025-12-22 21:38:10 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #开发语言

往期回顾

上期,我们详细剖析了加密函数的逆向过程,揭开了该网站核心加解密方式的神秘面纱。本期,我们将深入探索加密函数的具体实现细节,进一步挖掘其背后的技术逻辑 。

加密函数逆向

key的生成

首先来到生成64位字符串的位置,分析该函数主要的流程。

第一步便是e参数(密钥)的生成,我们步入这个函数当中

发现同样是一个await异步语句,进入SMFSDK.WEB_SDK.getInstance().getRsKeyMgr()).genSessionKey方法

分析函数流程,首先生成一位32位随机字符串,随后使用Qr.calculateSessionKeyHandle(i)继续生成生成一个64位字符串,我们步入到这个方法中

发现使用了SM3加密算法,对32位随机字符串进行加密生成64位的字符串,但是后续分析得出这个32位随机字符串才是真正的key,中间采用了sm算法进行加解密是为了混淆试听。

最低0.47元/天 解锁文章
招标采购网逆向参数分析【解密函数逆向】(第二期)
asknh的博客
03-17 1231
本文回顾了上期对解密函数位置的阐述,重点聚焦本期解密函数的算法逆向过程。通过在特定断点处单步调试,发现解密函数疑似采用 SM4 算法,并获取到固定的 IV 值以及 16 位字符串形式的密钥关键信息。最终给出了解密代码,同时明确指出所提供技术信息仅供参考,强调读者应遵守法律法规,严禁将相关程序或方法用于非法目的,否则需自行承担法律责任。​
python中文语料分词处理,按字或者词cut_sentence
热门推荐
高颜值的杀生丸(此博客转载自我的博客园)
02-19 2万+
cut_sentence.py import string import jieba import jieba.posseg as psg import logging #关闭jieba日制 jieba.setLogLevel(logging.INFO) jieba.load_userdict("./corpus/keywords.txt") stopwords_path = "....
【JS逆向】某招标公告逆向分析
weixin_71462234的博客
12-07 1700
招标公告逆向分析,分享反混淆思路。
招标采购网逆向参数分析参数定位】(第一期)
asknh的博客
03-16 1177
本文围绕对网址为 “aHR0cHM6Ly93d3cueGlhb2hvbmdzaHUuY29tL2V4cGxvcmU=” 的网站进行逆向工程展开。通过参数分析,发现网站请求负载加密逆向时需解密响应数据。利用跟栈法定位函数,在启动器末尾设断点,经单步调试,先定位到疑似解密函数位于请求完成后调用的网络拦截器处,最终确定了解密函数位置。重新发起请求进行断点调试,通过跟栈逐步分析,推测加密函数存在于请求发送前执行的拦截器函数中,并定位到加密函数。同时,文中强调所提供技术信息仅供参考,使用时应遵守法律法规,严禁用于非
全国招标公告搜索引擎JS逆向
jinmingzhou的博客
12-26 1853
3.根据经验任选一种分析方式,这里结合经验通过分析我们发现该接口程序链因为只有一点点,涉及到的js文件不多所以首选通过分析程序链来找到返回数据解密算法位置。通过分析我们发现疑似解密js的位置,我们打上断点,重复请求流程发现确实在附近断住了,这就证明解密函数就是decryptByDES。通过定位decryptByDES发现加密函数定义文件是utils.js,将utils.js函数全部复制出来发现是标准的des加密。1.先按F12,打开浏览器,按照如下步骤获取到数据。
中国期刊服务平台逆向(瑞数6+补环境)
2401_85468967的博客
05-22 3192
目标网站:某期刊服务平台目标接口: 如下逆向前提:清楚了解瑞数6加解密流程,与对代码混淆后补环境的方法。注意:本次逆向仅基于瑞数6文档逆向提供方法思路,不进行后续爬取操作,遵守目标网站的爬虫规则,对任何网站切忌大量异步爬取(危害堪比ddos)。三、入口定位:首先,我们要知道瑞数并不是一个加密算法,而是一家安全公司,其中部分业务就是为国家政府等行政机构对应的网站做反爬,6呢就是反爬系统更新到第6代。而关于瑞数具体的加解密流程这里就不过多说明,想要了解的,可以自行搜索。
全国招标公告公示搜索引擎DES des加密,des加密逆向,解密
ohh11的博客
07-04 7137
全国招标公告公示搜索引擎DES des加密,des加密逆向,解密
中国招标投标平台JS逆向:DES加密与Python纯算还原
switch616的博客
08-31 863
在中国招标投标公共服务平台的分析过程中,发现了数据加密采用了DES算法。DES(数据加密标准)作为对称加密算法的一种,通过特定的密钥对数据进行加密和解密。这些函数不仅执行了密钥的初始化,还对待解密的数据进行了逐步还原。在完成对JS中DES解密逻辑的理解后,下一步是通过Python代码实现这一过程。Python作为一种强大的脚本语言,具备灵活的加密解密能力,可以完美地复现JS中的逻辑。通过构建Python版本的DES解密算法,可以逐步还原加密数据,验证解密结果的准确性。
js逆向:瑞数
T-mars的博客
04-10 2180
声明:本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!1. 瑞舒介绍瑞数动态安全 Botgate(防火墙)以“动态安全”技术为核心,通过动态封装、动态验证、动态混淆、动态令牌等技术对服务器网页底层代码持续动态变换,增加服务器行为的“不可预测性”,实现了从用户端到服务器端的全方位“主动防护”,为各类 Web、HTML5 提供强大的安全保护。
[渝粤教育] 沈阳理工大学 电子商务基础与应用 参考 资料
渝粤题库
03-19 1721
教育 -电子商务基础与应用-章节资料考试资料-沈阳理工大学【】 随堂测验 1、【单选题】电子商务的核心是( )。 A、信息系统 B、互联网 C、人 D、物流 参考资料【 】 2、【多选题】电子商务的对象是( )。 A、生产 B、分配 C、交换 D、消费 参考资料【 】 3、【判断题】电子商务随着互联网的产生而产生,随着互联网的发展而发展。 A、正确 B、错误 参考资料【 】 随堂测验 1、【判断题】电子商务具有封闭性的特点。 A、正确 B、错误 参考资料【
瑞数5.5逆向笔记(纯扣算法)
weixin_45515807的博客
03-24 7696
人均瑞数的年代,加油吧,5.5都这么难了,后面的路太难了
JS逆向 | 瑞数四代入门指南
浏览器开发教学
03-16 8051
瑞数的难点在于繁琐,只要有耐心就可以解决。可是小白往往无法过掉最开始的反调试,也没办法定位到cookie加密的位置,更对瑞数没有基本的了解。 无限debugger推荐使用右键单击‘永不在此暂停’,当然也可以本地替换(FD\chrome都可以)和清除定时器,但并不推荐。 再来看一张图,然后回答几个问题。 1.怎么知道rs的cookie是服务器返回的,还是本地生成的? 看菜单栏中的HttpOnly,打上√的是服务器返回的,所以要扣的是8...
爬虫破解瑞数js逆向动态混淆
qq_43704986的博客
08-13 9073
巧用selenium破解瑞数js逆向 实战站点:湖北省生态环境厅:http://sthjt.hubei.gov.cn/site/sthjt/search.html?searchWord=%E7%A2%B3%E6%8E%92%E6%94%BE&siteId=41&pageSize=10 前言:爬虫界的一座大山,瑞数信息,看了网上的资料就算硬破也得搭建简易的文本服务. 不过再难,他都有解决方案,就是通过selenium+js逆向过程中的一些有用信息。 # -*- coding: utf-8 -*
js cookies 存数组_js逆向分析之商 标局版本瑞数(上)
weixin_42467896的博客
12-25 1715
(文章内容仅供研究使用,若涉及到侵权请联系作者删除)这次文章分上下来讲商标局的几个坑。总所周知,商标局一直是爬虫界的一座山。怎么说呢,瑞数的反爬措施对于大部分人来说却是比较有难度。但是还是那句话,耐心,耐心。一.分析请求。 1.我们从首页开始请求,清除缓存。返回200,里面是带有瑞数js的页面,然后浏览器运行js,下次访问一个/txnNotice01.ajax的页面带上了cookie字段o3...
商标局瑞数绕过与反爬学习
xiwang800的博客
08-11 4208
商标局瑞数绕过与反爬学习 贴逆向好的js代码…剩下靠你们自己了 需要返回cookie,否则无限跳转,文件夹中带有nginx静态服务配置 增加2020年7月30号的逆向学习代码 1.对代码格式 2.处理控制流平坦化,减少对键盘伤害 3.对加密方法名解密,减少对鼠标伤害 4.删除无限debugger 备注:index.html为原始页面代码,index2.html为处理后页面代码,eval.js为格式化后的evaljs代码,eval2.js为处理后代码 快速阅读: index2.html
JS混淆系列,瑞数(一)
ggl1438的博客
11-05 1万+
每周一更 针对于瑞数吃下了很多政府网站,爬虫之路越来越难走。特开此系列记录自己的破解流程,给自己两个月的时间去搞它。本次研究对象4QbVtADbnLVIc/d.FxJzG50F.cd477cf.js,希望能成功。 2019.11.5 由于加密Js代码每次请求变量名都不一样,在线分析会很不方便,所以需要将文件离线下载到本地,再进行分析。 准备工具,fiddler、hubuilder。 基础调试周六日...
前端性能优化之Webpack篇
最新发布
程序员小寒的博客
12-22 511
虽然现在vite比较火,但很多公司中还是存在一些将webpack作为构建工具的前端老项目。最近在优化公司的一个webpack项目,所以整理了webpack常见的优化手段,一起来看看吧!
vue + iview + vue-i18n中英翻译
pingguocu3的博客
12-22 74
)星期一:'mon',星期二:'tue',星期三:'wed',星期四:'thu',星期五:'fri',星期六:'sat',星期日:'sun',©著作权归作者所有,转载或内容合作请联系作者平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
vue2/vue3前端创建脚手架并引入RBAC权限模型
demotang的博客
12-18 211
本文介绍了基于Vue的RBAC权限管理系统实现方案。主要内容包括:1) 使用VueCLI创建项目并配置基础结构;2) 封装axios请求,实现请求/响应拦截;3) 通过Vuex管理角色和权限状态;4) 实现路由守卫和动态路由生成;5) 开发权限指令和按钮组件进行细粒度控制;6) 完整RBAC流程实现,包括登录认证、权限获取和访问控制。该方案覆盖了前端RBAC的核心功能,可根据项目需求灵活调整。
某点评mtgsig1.2参数逆向与动态加密分析
某点评网mtgsig1.2算法逆向是一项典型的Web端加密参数逆向工程案例,涉及前端JavaScript代码混淆、动态加密逻辑分析、环境模拟(补环境)、AST反混淆技术以及前后端接口联调等多个核心技术环节。该案例的核心目标是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小爬菜…

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值