javascript逆向引用的小例子

最新推荐文章于 2025-06-23 10:12:38 发布
最新推荐文章于 2025-06-23 10:12:38 发布
阅读量1.2w 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 前台技术 文章标签: javascript 正则表达式 null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/softwave/article/details/8079070
本文通过多个实例展示了如何使用JavaScript中的正则表达式进行字符串匹配与检索,包括验证IP地址、提取HTML标签内容及模式匹配等常见应用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

javascript逆向引用的小例子:

<script language=javascript>
function isIP(strIP) {
if (strIP=="") return false;
var re=/^(\d+)\.(\d+)\.(\d+)\.(\d+)$/g //匹配IP地址的正则表达式
if(re.test(strIP))
{//这里的$1,$2..就是后项引用
if( RegExp.$1 <256 && RegExp.$2<256 && RegExp.$3<256 && RegExp.$4<256)
{
return true;
}
}
return false;
}
if(isIP("123.108.208.42")) a="True"
alert(RegExp.$3);
</script>
<script language=javascript>
function RegExpTest(){
var src = "<第一个><第二个><第三个><第四个>";
var re = /<([^>]*)>/g;
var arr,msg="";
while ((arr = re.exec(src)) != null)
msg+=arr[1] +"\r\n";
alert(msg);
}
RegExpTest();
</script>
<script language=javascript>
var s;
var re = new RegExp("d(b+)(d)","ig");
var str = "cdbBdbsbdbdz";
var arr = re.exec(str);
s = "$1 contains: " + RegExp.$1 + "\n";
s += "$2 contains: " + RegExp.$2 + "\n";
s += "$3 contains: " + RegExp.$3;
alert (s);
var r, re;                     // 声明变量。
var s = "The rain in Spain falls mainly in the spain";
re = new RegExp("Spain","ig");  // 创建正则表达式对象。
r = s.match(re);
alert (r);
</script>
<script language=javascript>
var re = new RegExp("(第一个).*(第二个)","gi");
str="<第一个><第二个>"
var arr = re.exec(str);
alert (RegExp.$1)
alert (RegExp.$2)
</script>



js逆向】数据解析
lxtx
11-07 654
Regular Expression, 正则表达式, 一种使用表达式的方式对字符串进行匹配的语法规则.我们抓取到的网页源代码本质上就是一个超长的字符串, 想从里面提取内容.用正则再合适不过了.正则的优点: 速度快, 效率高, 准确性高 正则的缺点: 新手上手难度有点儿高.不过只要掌握了正则编写的逻辑关系, 写出一个提取页面内容的正则其实并不复杂正则的语法: 使用元字符进行排列组合用来匹配字符串 在线测试正则表达式
js逆向
weixin_42584586的博客
12-30 3426
JavaScript 逆向是指对 JavaScript 程序进行反汇编或反编译的过程。它可以帮助你了解 JavaScript 程序的工作原理,并且可以用来修改或扩展程序的功能。 逆向 JavaScript 程序的一种常见方法是使用反汇编工具,这些工具可以将 JavaScript 代码转换成可读的形式,方便人类理解。另一种常见方法是使用反编译工具,这些工具可以将 JavaScript 代码转换成类似...
JS逆向学习之JS语法(一)
m0_67170526的博客
06-23 1621
在黑盒渗透测试实践中,我们频繁遭遇各类请求加解密场景。这是由于为满足等保合规要求,大量行业系统(如金融、政务领域)开始对 HTTP 请求体进行加密处理,并引入动态签名、时间戳校验、随机 RequestId等防御机制。这些技术手段直接导致传统渗透方式(如暴力破解、数据包重放/篡改)失效——攻击者无法直接解析请求结构,更难以构造有效攻击载荷。典型困境示例无法爆破登录接口:密码字段被前端 RSA/AES 加密,原始字典直接发包将被服务端拒绝。
js逆向解析
guodejie的博客
08-05 1万+
过程:       知道如何寻找登录的接口       知道如何确定js的位置       知道如何观察js的执行过程       知道js的执行方法 1. 确定网站的登录的接口 登录的form表单中action对应的url地址 通过抓包可以发现,在这个url地址和请求体中均有参数,切换到手机版,参数的个数少,分析js 2. 确定js的位置 通过点击按钮,然后点击Event Lis...
Js逆向分析
GJQI12的专栏
08-20 1780
目录 一、总结 一句话总结: 1、js逆向分析一般过程? 2、Js逆向分析 确定网站的登录接口? 3、Js逆向分析 确定JS的位置? 4、Js逆向分析 观察js的执行过程? 5、Js逆向分析 执行js:观察代码中都需要那些参数? 6、Js逆向分析 的具体实现思路? 二、Js逆向分析 回到顶部 >一、总结(点击显示或隐藏总结内容) 一句话总结: 1、知道如何寻找登录接口 2、知道如何确定Js的位置 3、知道如何观察js的执行过程 4、知...
【万字解析】JS逆向由浅到深,3个案例由简到难,由练手到项目解析(代码都附详细注释)
五包辣条的博客
07-12 1万+
假设有一个网站,它使用了JavaScript来进行表单验证。当用户在登录表单中输入用户名和密码后,点击登录按钮时,JavaScript代码会对输入的用户名和密码进行验证,如果验证通过,则允许用户登录,否则会提示错误信息。
JavaScript 逆向 ( 一 ) --- JavaScript 语法基础
墨鱼菜鸡
07-11 1161
js 逆向:https://www.cnblogs.com/wuxianyu/category/1940304.html js逆向2:https://www.cnblogs.com/wuxianyu/category/1941486.html JS 中的类型转换:https://segmentfault.com/a/119000001367922...
Python3网络爬虫开发实战(11)JavaScript 逆向爬虫
bigcrab的博客
08-16 1450
JavaScript Hook,无限 debugger,模拟执行 JavaScript
JavaScript 逆向爬虫中的浏览器调试常见技巧
静觅
03-21 3010
这是「进击的Coder」的第 592篇技术分享作者:崔庆才“注:本文来自《Python3网络爬虫开发实战(第二版)》一书。”现在越来越多的网站也已经应用了这些技术对其数据接口进行了保护,...
JavaScript逆向工程】:淘宝网页数据提取的高级技巧
随着Web开发技术的发展,JavaScript逆向工程在数据提取、网络请求分析及安全测试领域变得越来越重要。本文首先概述了JavaScript逆向工程的基本概念,随后介绍了JavaScript代码结构解析、调试工具使用以及网络请求...
JavaScript 逆向调试常用技巧
Logic_luo的博客
03-26 1816
以chrome浏览器为示例(可按 f12 快捷键打开或鼠标右键选择“检查”):Elements:元素面板,用于查看或修改当前网页 HTML 节点的属性、CSS 属性、监听事件等等,HTML 和 CSS 都可以即时修改和即时显示。Console:控制台面板,用于查看调试日志或异常信息。另外我们还可以在控制台输入 JavaScript 代码,方便调试。
JS逆向解析
Lucifer__god的博客
10-21 1746
JS逆向解析一、什么是JS逆向?二、密钥加密种类三、逆向解密实战   3.1.1 实战演练:微信登录方式解密 一、什么是JS逆向?   我们经常在浏览网页的时候并且想要通过网页进行复制粘贴某文本的时候会蹦出来一个弹窗显示让你进行账号登录,你可能有时会有疑问,当我们对网页源进行抓包的时候,会发现我们输入的密码是一串由字母或数字等符号组成的,其实这就是一个密码经过加密呈现的一段加密文字,而我们所做的解密工作,通过解密步骤得到密码的过程,称为JS逆向。 二、密钥加密种类   密码加密的方式肯定不止一种,如果所有网
AES链接加密逆向案例
Gerhardzm的博客
07-01 315
本节内容是AES链接加密案例,主要内容是对列表页url的加密分析。
JavaScript 逆向 ( 一 ) --- JavaScript 语法基础、逆向技巧
freeking101的博客
05-11 7788
JavaScript 语法基础、逆向技巧
JavaScript逆向(有道翻译为例)
遇事不决,问春风
08-03 1680
PYTHON网络爬虫概述 第六节 JavaScript逆向 #以有道翻译为简单例子 第一种:post提交表单 按照post方法可以直接提交表单然后进行json.loads()化输出为dict的python对象得到结果。 第二种:JavaScript逆向(签名验证反爬虫) 简介:签名是根据数据源进行计算或者加密的过程,签名的结果是一个具有唯一性和一致性的字符串,签名结果的特性使得它成为验证数据来源和数据完整性的条件,可以有效的避免服务器端伪造的数据或被篡改的数据当成正常数据处理,目前是后端api的防护方法之
js逆向js基础】
夜风的博客
02-20 2733
jsJavaScript是一种弱类型语言,也就是说不需要指定变量的类型,JavaScript的变量类型由它的值来决定,定义变量需要用关键字var,一条JavaScript语句应该以;结尾// 定义函数// 调用函数test();// 定义带参数的函数// 常见的函数形式// js 自执行方法console.log('匿名函数');})();// 自执行方法 - 内部函数外部调用var aa;!aa = test;aa();})();
JS逆向---令人抓狂的JavaScript混淆技术
m0_52336378的博客
08-16 8734
JavaScript 压缩、混淆和加密技术JavaScript 代码运行于客户端,也就是它必须要在用户浏览器端加载并运行。JavaScript 代码是公开透明的,也就是说浏览器可以直接获取到正在运行的 JavaScript 的源码。声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
个人总结 - JS逆向解析
热门推荐
老鹰的博客
08-13 2万+
目前加密的方式总结有下面几点: 对称加密(加密解密密钥相同):DES、DES3、AES 非对称加密(分公钥私钥):RSA 信息摘要算法/签名算法:MD5、HMAC、SHA 前端实际使用中MD5、AES、RSA,自定义加密函数使用频率是最高的 几种加密方式配合次序:采用非对称加密算法管理对称算法的密钥,然后用对称加密算法加密数据,用签名算法生成非对称加密...
JavaScript逆向
摔不死的笨鸟的博客
07-16 559
JavaScript 显示数据 JavaScript 可以通过不同的方式来输出数据: 使用 window.alert() 弹出警告框。 使用 document.write() 方法将内容写到 HTML 文档中。 使用 innerHTML 写入到 HTML 元素。 使用 console.log() 写入到浏览器的控制台。 JS在线调试 http://js.jsrun.net/new JS本地调试 谷歌浏览器火狐浏览器 开发者模式快捷键 F12 按钮从左往右,功能依次是 Resume【F8】继续执行,直到下个断
安卓逆向微信小程序
最新发布
07-19
<think>首先,用户的问题是:“安卓逆向 微信小程序 分析 方法 工具”,意思是询问关于安卓逆向分析微信小程序的方法和工具。 我的回答需要基于系统级指令: - 所有行内数学表达式用 `$...$` 格式。 - 独立公式用 `$$...$$` 格式并单独成段。 - LaTeX 语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,如 `[^1]`。 - 回答结构清晰,帮助用户逐步解决问题。 - 尽量保证回答真实可靠。 参考的引用是: - [^1]: 关于微信小程序抓包和逆向的工具,如解密工具和逆向工具(wxappxxxxcker)。 - [^2]: 类似内容,强调工具准备和社区。 - [^3]: 微信小程序逆向分析,涉及 hook 和 Java 层方法。 - [^4]: 微信小程序逆向实例,包括签名脚本。 用户意图是安卓逆向分析微信小程序,所以我需要提供方法、工具和步骤。 结构化回答: 1. **引言**:简要介绍微信小程序逆向分析的目的和挑战。 2. **方法**:分步解释分析过程。 3. **工具**:列出常用工具。 4. **实例**:基于引用,给出一个简单示例。 5. **相关问题**:生成相关问题。 确保引用标识:在回答中引用参考内容时,末尾添加 `[^1]` 等。 生成相关问题:在回答结束时,添加相关问题部分。 内容大纲: - **步骤 1:准备工具** - 需要解密工具、逆向工具等。 - 提到 wxappxxxxcker 或其他工具。 - **步骤 2:获取小程序包** - 如何提取小程序包。 - **步骤 3:解密和反编译** - 使用工具解密和反编译代码。 - **步骤 4:分析代码** - 查看 JavaScript 或 WXSS/WXML 文件。 - 使用 Hook 技术,如 Frida 或 Xposed。 - **步骤 5:调试和抓包** - 使用开发者工具或抓包工具如 Charles。 - **工具列表**: - 解密工具:如 wxappUnpacker。 - 逆向工具:如 Jadx、Apktool for Android part。 - Hook 工具:Frida、Xposed。 - 抓包工具:Charles、Wireshark。 - **实例**:基于引用[^4],给出签名计算的例子。 - **注意事项**:法律和道德考虑。 引用标识: - 当提到工具时,引用 [^1] 或 [^2]。 - 当提到 Hook 方法时,引用 [^3]。 - 当提到签名计算时,引用 [^4]。 语言:全中文。 最后,生成相关问题。</think>### 安卓逆向分析微信小程序的方法与工具 微信小程序在安卓平台上的逆向分析主要涉及提取小程序包、解密、反编译、代码分析和抓包等步骤。由于微信小程序的代码通常加密存储在设备上,且微信官方不断更新安全机制(如使用云服务加强防护),逆向过程需要专业工具和技巧。以下是基于行业实践的结构化方法,结合参考引用内容,确保真实可靠。分析过程需注意法律合规性,仅用于安全研究和学习目的。 #### 一、分析流程与方法 微信小程序逆向分析的核心是获取并解析小程序包(通常为 `.wxapkg` 文件),然后通过反编译和调试理解逻辑。以下是关键步骤: 1. **提取小程序包**: - 在安卓设备上,微信小程序包存储在路径 `/data/data/com.tencent.mm/MicroMsg/{user_id}/appbrand/pkg/` 下,文件扩展名为 `.wxapkg`。 - 需要 root 权限或使用 ADB 命令提取文件。例如,通过 `adb pull` 导出包文件到本地。 - 如果设备未 root,可使用虚拟环境工具(如 VirtualXposed)模拟运行微信,再导出包文件[^1][^3]。 2. **解密小程序包**: - 微信小程序包默认加密,需使用解密工具移除加密层。参考引用中提到,工具如 `wxappUnpacker`(原 `wxappxxxxcker`)是常用选择,它基于 Node.js 开发,能自动处理解密[^1][^2]。 - 解密命令示例: ```bash node wuWxapkg.js input.wxapkg output_dir ``` 解密后生成原始代码文件(包括 JavaScript、WXML、WXSS 等)。 3. **反编译与代码分析**: - 使用反编译工具将 JavaScript 代码转换为可读格式。推荐工具: - **Jadx**:用于反编译 Android APK 中的 Java 代码(微信本体),辅助分析小程序桥接逻辑。 - **Chrome DevTools**:将反编译后的代码导入微信开发者工具,进行调试和动态分析[^1][^2]。 - 分析重点: - 查找 `wx.request` 等 API 调用点,这些是网络请求的入口。 - 使用 Hook 技术(如 Frida)拦截方法调用。例如,引用[^3]提到 Hook `com.tencent.mm.appbrand.commonjni.AppBrandJsBridgeBinding` 类获取响应数据。 - 逆向签名算法:小程序常用 MD5 或 SHA 签名,参考引用[^4]提供了签名计算示例(如排序参数 + 密钥的 MD5 哈希)。 4. **抓包与动态调试**: - 网络抓包:使用 **Charles Proxy** 或 **Wireshark** 捕获 HTTPS 请求。由于微信启用证书校验,需在设备上安装 Charles 根证书并配置代理。 - 动态调试:在反编译代码中插入日志或使用 **Frida** 脚本实时监控。例如: ```javascript // Frida 脚本示例:Hook wx.request 方法 Java.perform(function() { var bridgeClass = Java.use("com.tencent.mm.appbrand.commonjni.AppBrandJsBridgeBinding"); bridgeClass.subscribeMessage.implementation = function() { console.log("Request data: " + arguments[0]); return this.subscribeMessage.apply(this, arguments); }; }); ``` 此脚本可捕获请求和响应数据[^3]。 5. **安全验证绕过**: - 微信小程序可能启用白名单验证(如域名检查),引用[^3]指出需分析代码逻辑绕过验证。常见方法包括修改反编译代码或 Hook 验证函数。 #### 二、常用工具列表 以下工具均开源或免费,部分需从社区获取(如 GitHub)。工具选择需匹配安卓版本和微信版本。 | 工具类别 | 推荐工具 | 功能描述 | |----------------|--------------------------------------------------------------------------|--------------------------------------------------------------------------| | **解密工具** | wxappUnpacker(原 wxappxxxxcker)[^1][^2] | 解密 `.wxapkg` 文件,支持批量处理。 | | **反编译工具** | Jadx、Apktool | 反编译微信 APK 和小程序代码,生成 Java/JS 源码。 | | **Hook 工具** | Frida、Xposed | 动态注入代码,拦截 API 调用(如 `wx.request`)。 | | **抓包工具** | Charles Proxy、Wireshark | 捕获网络请求,分析 HTTPS 数据。 | | **调试工具** | Chrome DevTools、微信开发者工具 | 导入反编译代码进行单步调试。 | | **辅助工具** | ADB(Android Debug Bridge)、VirtualXposed | 提取文件或模拟环境运行微信。 | 注意事项: - **版本兼容性**:微信频繁更新,工具可能失效。建议测试环境使用旧版微信(如 v7.0.x)。 - **道德与法律**:逆向分析可能违反微信用户协议,仅限授权研究。 - **性能优化**:复杂小程序反编译后代码量大,使用 IDE(如 VSCode)搜索关键字提高效率。 #### 三、实例分析 基于引用[^4]的签名计算示例,假设在分析小程序时发现签名算法。以下是一个简化版 Python 脚本,用于验证签名逻辑: ```python import hashlib def sign_md5(data, secret_key): sorted_data = sorted(data.items()) # 参数排序 joined_data = ''.join(f'{key}{value}' for key, value in sorted_data) # 拼接字符串 joined_data_with_key = joined_data + secret_key # 添加密钥 md5_hash = hashlib.md5(joined_data_with_key.encode()).hexdigest() # 计算 MD5 return md5_hash # 示例数据 data = { "uid": 100123, "token": "216A3906F97C26A29EC0FE10F3956692", "timestamp": 1713088270 } secret_key = "rDJiNB9j7vD2" # 通过逆向分析获取的密钥 signature = sign_md5(data, secret_key) print(f"签名值: {signature}") # 输出: 类似 "d41d8cd98f00b204e9800998ecf8427e" ``` 此脚本复现了签名过程,可用于测试或自动化请求[^4]。在实际逆向中,需先通过反编译找到密钥和参数结构。 #### 四、总结 安卓逆向分析微信小程序涉及多步协作:从提取包、解密、反编译到动态 Hook 和抓包。关键工具如 `wxappUnpacker` 和 Frida 能高效处理加密和拦截。随着微信安全机制升级,建议关注开源社区更新工具。始终优先使用合法途径获取数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值