js逆向-----webpack打包

原创 已于 2025-10-30 20:01:15 修改 · 1.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#webpack #学习 #前端 #爬虫

于 2025-10-30 19:59:36 首次发布

温馨提示:本案例仅供学习和参考,禁止商用

本案例的重点是webpack打包的逆向,定位和跟栈就不细讲了

1,看到这个直接从第一个t.shift()进去

2,看待这个代码可以猜测是一个webpack

3,从上面这个n函数进去

4,观察代码的结构

5,直接全拿复制到pycharm里面

6,运行代码,去除报错信息

7,没有报错信息,就将加载器导出,打上日志

8,重新建一个js文件,将这个加载器导入到这个js文件

9,先逆向请求头和载荷信息

将这个行加密代码拿下来

这个是拿下来的结果,其中这个变量u需要被window.loader赋值

逆向结果,也是成功,

10,下一个是响应数据的解密,也是一样的,webpack的代码已经扣下来的话

11,拿下来后是这样

12 ,结果也是成功的

13,在py代码里,字符串的话,这个请求这里就是data,

14,在py代码里面,也可以用eval取消表达式两边的引号,让它变成字典,请求里的data就得改成json

15,py代码的运行结果也是成功的

看到这个位置的小伙伴希望你能有所收获,要是能给一个免费的赞万分感谢

interception
关注
Python爬虫JS逆向webpack 打包站点原理与实战
梦想橡皮擦,专栏100例写作模式先行者,现象级专栏 《Python 爬虫 100 例》作者、《滚雪球学 Python 专栏》原创者
05-23 2万+
webpack 原理说明扣JS代码 webpack前端程序员用来进行打包JS的技术,打包之后的代码特征非常明显,例如下述代码。
百炼成钢;JavaScript逆向九大专题详解
ch950401的博客
05-19 1941
AST是一种将代码转换为树形结构的数据结构,它可以帮助我们更好地理解代码的结构和含义。在JavaScript中,AST可以用于代码分析、代码优化、代码混淆等方面。AST的生成过程一般分为三个步骤:词法分析、语法分析和AST构建。词法分析将代码分解为一个个的词法单元,语法分析将词法单元组合成语法树,AST构建则是将语法树转换为AST。
JS逆向 webpack解密
lmttlw的博客
11-18 4446
JS webpack解密 ,这个网站很坑,那个验证字段搜不到,XHR断点也断不到,就很奇怪,不过竟然我敢写这篇文章,就代表我是过了的。
JS逆向实战19——通杀webpack逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-30 4400
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 aHR0cHM6Ly9mb2dhbmctbS5pdG91Y2h0di5jbi9tZWRpYURldGFpbC8zODc1Nw== aHR0cHM6Ly93d3cuZ205OS5jb20v webpack是什么?...
JS逆向Webpack(一)
Wxc的Blog
03-09 6653
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
爬虫JS逆向Webpack-乾坤大挪移
gwb0516的专栏
11-21 3738
通俗易懂webpack逆向的教程,方便初学者可以对照着一步一步验证调试。
JS逆向Webpack打包方式(实战案例)
最新发布
m0_64408930的博客
04-09 2万+
本文讲webpack打包方式,可以对代码进行分割,按需加载模块,提高爬虫性能。
js逆向-webpack-python
Sdwq12的博客
07-12 1192
-发现不同执行方式会有不同得生成n得值也就是 e(直接将代码copy进本地)--t.header.user 是动态变得,获取时通过响应头获取,在传参。--我们需要找到其加载器,都知道本地,使用加载器调用函数。-- e 为 key 并且是随机变换得(但只有两个值)10、需要将另一个其参数的映射文件复制本地。-- 分析发现ee是一个webpack--发现一部分是一个标准的加载器写法。--en函数错误,在将en导入本地。--然后把加载器赋值给全局变量。--有参数说明是单文件传入。--搜索参数找到其位置。
js逆向 webpack_js逆向--webpack打包怎么办?
weixin_42271195的博客
12-23 1769
webpack打包前端js模块化压缩打包常用的手段。同时对于后端的爬虫调试有着一下困扰。简单的认识下:https://zhuanlan.zhihu.com/p/79706247 原理性知识。1、webpack打包的特征定义上来说:自执行(例:!funtcion)函数的外边一个大的数组。举例说明:1、函数数值在自执行的函数后边(特征代码和上边原理链接有类似的代码地方)!function(t) {f...
【JavaScript源代码】vue项目配置 webpack-obfuscator 进行代码加密混淆的实现.docx
12-29
`webpack-obfuscator`是一个用于webpack的插件,它能够对构建出的JavaScript代码进行深度混淆,包括添加随机废代码、字符编码转义等手段,以降低代码可读性和可逆向工程的可能性。虽然前端代码难以做到完全加密,但...
js逆向--webpack解密逻辑分析
Harden13_的博客
03-07 2434
webpack对于有研究过的人来说难度并不是很高,但是因为webpack的代码,非常的繁多,一个webpack可能就是几万行代码。在逆向中对于webpack的加解密网站,一般是不建议去扣代码的,大多数解决办法是采用自吐。办法是把这整个js文件copy下来,然后改写一两处地方即可自主调用。这篇文章,我也是用自吐算法来做的。
js逆向 webpack_Webpack打包逆向分析
weixin_39557419的博客
01-13 2242
webpack前端js源码进行压缩打包后,一般会生成如下几个文件:bootstrap.js 入口文件:(function (modules) { // webpackBootstrap// install a JSONP callback for chunk loadingvar parentJsonpFunction = window["webpackJsonp"];window["webpa...
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 3250
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
js逆向webpack打包网站
weixin_55205599的博客
12-05 1196
在工作之余看到此篇文章,之前没有了解过js逆向,更没有了解到webpack打包。src漏洞挖掘篇之前端接口爬取测试思路 - FreeBuf网络安全行业门户。问题一:如何识别此网站是用webpack网站打包?可以大概知道是webpack打包js代码。且这篇帖子附上了爬取脚本,拿过来。类似于:n:["xxx"]问题二:js逆向是什么?
js逆向 webpack_webpack的简单使用(js模块化打包超级详细)
weixin_32204175的博客
12-23 620
webpack的简单使用(js模块化打包超级详细)1.安装node或者检查node的版本webpack的使用依赖node,所以要先安装node,另外node的版本也不能过低此处建议版本不要低于8.9附上一篇很详细的node安装教程链接https://www.cnblogs.com/li150dan/p/10451772.html。查看node的版本,在终端运行 node -v2.安装webpack...
某站webpack打包JS逆向,keyCipher、keySM2Cipher参数分析
tiebanggg的博客
09-12 2087
文章目录前言一、抓包分析二、参数解析1.加密定位2.参数分析总结 前言 今天来水一篇文章,某站webpack打包类型,登录、数据解密参数keyCipher、keySM2Cipher。本文章仅供学习研究,如若侵犯到贵公司权益请联系229456906@qq.com第一时间进行删除;各位朋友切忌用于一切非法途径,否则后果自行承担! 地址:gov地址就不放了,主要讲思路。。。 一、抓包分析 老规矩,打开登录框输入138****8888,1111111点击登录按钮进行抓包。 当点击登录后,看第一条请求: 看
JS逆向——webpack实战
Fleehom的博客
09-27 8463
乍一看加密很简单,但是这只是body的值,而l方法的断点后续还没运行(即y.encrypt(o)还未执行,这是生成signature值的过程),我们让该方法执行完就会发现signture的值,如图。对于这种情况,根据加密参数格式以及长度,大佬就会想到常见的非对称加密,如RSA、DES、AES、DSA等等,然后就可以通过关键词搜索、DOM断点、hook方法、启动器启动等方式寻找入口,当然,我们可以根据某种方法会遇到的问题,去选择其他捷径方法作为最优解(比如异步操作导致跟栈困难等问题)。
逆向webpack打包,还原出原始文件。
w2sft的博客
08-09 9034
Web前端安全需重视:map文件导致的源码泄露案例。 偶然间,看到一个很高端、大气、科幻的网站: 立即就有学习该网站技术的想法。 查看源码、调出开发者工具,看到如上内容。 简单分析发现,这是一个经webpack打包js: 而且map文件也存在: 有js、map两个文件,可以很轻松的还原出源码。 NodeJS环境下,安装shuji,这是一个webpack还原工具,借助它,可以很轻松恢复出源代码。 安装过程略。执行还原: 瞬间得到项目源文件,js代码、obj模型、贴图等。In
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值